Искать
Вы превысили запрос на
0 знаков

14. Захват и анализ сетевого трафика (Wireshark, tcpdump)

0
0
Не пройден
Автор статьи никого не призывает к правонарушениям и отказывается нести ответственность за ваши действия. Вся информация предоставлена исключительно в ознакомительных целях. Все действия происходят на виртуальных машинах и внутри локальной сети автора. Спасибо!
Инструменты

- Wireshark

- tcpdump

Кратко

- Wireshark - инструмент для захвата и анализа сетевого трафика, используется в образовательных целях и для устранения неполадок в сети.

- В этом уроке применяется Wireshark для пассивного поиска хостов в сети.

- Статья поверхностная и ориентирована на знакомство с Wireshark в контексте прохождения лабораторного стенда GOAD.

- Wireshark имеет следующие основные окна: фильтр, панель пакетов, панель уровней и панель метаданных.

- Знание базовых протоколов модели OSI может быть полезным при анализе сетевого трафика.

- Wireshark позволяет фильтровать пакеты по IP-адресу источника и анализировать "общение хостов" (conversations).

- tcpdump - еще один инструмент для захвата сетевого трафика, который может быть мощным и полезным в умелых руках.

- В реальной сети захват трафика осуществляется намного сложнее, чем в лабораторном стенде GOAD. Обсудим это позднее.

В предыдущем уроке научились перебирать DNS-имена при помощи aiodnsbrute и создавать словари утилитой Crunch. В разделе по разведке нельзя не сказать про Wireshark - инструмент для захвата и анализа сетевого трафика. Он используется как в образовательных целях, так и с целью устранения неполадок в сети. Мы в этом уроке применим Wireshark для пассивного поиска хостов в сети. Есть нюанс, который стоит понимать при захвате трафика, о котором будет сказано в конце статьи. Дополнительно о захвате сетевого трафика (сниффинг) поговорим в следующих уроках.

Также познакомимся со встроенной во многие дистрибутивы Linux утилитой tcpdump, предназначенной для захвата трафика.

Сразу скажу, статья очень поверхностная и ориентирована на знакомство с Wireshark в контексте прохождения лабораторного стенда GOAD. Более детальную информацию ищите на просторах интернета, так как в одной статье невозможно описать все возможности программы. Статья даст вам начальную точку, от которой нужно двигаться в изучении Wireshark и его возможностей.

Как использовать программу Wireshark?

Откроем Kali Linux и найдем в ней предустановленный Wireshark:

Здесь изображение или скриншот.
Они доступны только авторизованным пользователям.

Откроется главное окно:

Здесь изображение или скриншот.
Они доступны только авторизованным пользователям.

Лаборатория GOAD находится в подсети 192.168.56.0/24 (интерфейс eth1):

Здесь изображение или скриншот.
Они доступны только авторизованным пользователям.

На стартовом окне Wireshark мы видим множество сетевых интерфейсов, трафик которых можем захватить. Нам достаточно выбрать eth1. После увидим следующее:

Здесь изображение или скриншот.
Они доступны только авторизованным пользователям.

Рассмотрим основные части окна подробнее:

1. Фильтр. Для поиска и вывода нужной информации.

2. Панель пакетов. Основное окно, на котором отображаются перехваченные пакеты в реальном времени.

3. Панель уровней. Разбиение по модели OSI выбранного пакета.

4. Панель метаданных. Представление данных в шестнадцатеричном коде и символах.

Анализ сетевого трафика в Wireshark

Знание базовых протоколов модели OSI не помешает при анализе сетевого трафика. Для примера выберем пакет протокола Kerberos:

Здесь изображение или скриншот.
Они доступны только авторизованным пользователям.

Как видите, в панели уровней можно найти множество полезной информации, например: DNS-имя хоста 192.168.56.22 и его обращение к хосту 192.168.56.11.

Поиск необходимых пакетов

Запустив буквально на пару минут Wireshark в такой небольшой сети, было собрано огромное количество пакетов, в которых что-то найти довольно сложно. Попробуем отфильтровать по IP-адресу источника:

ПРИМЕР
 
ip.src==192.168.56.22
 

В панели пакетов отображаются все пакеты, источник которых хост с IP-адресом 192.168.56.22.

Здесь изображение или скриншот.
Они доступны только авторизованным пользователям.

Статистика "общения хостов" (conversations)

Сейчас мы используем Wireshark с целью разведки, поэтому полезно узнать какие хосты засветились в трафике и кто с кем "общается". Нажимаем Statistics -> Conversations:

Здесь изображение или скриншот.
Они доступны только авторизованным пользователям.

Откроется окно. Для удобства переименуем номера портов на названия соответствующих протоколов:

Здесь изображение или скриншот.
Они доступны только авторизованным пользователям.

Переходим на вкладку IPv4 и сортируем по Address A, например:

Здесь изображение или скриншот.
Они доступны только авторизованным пользователям.

Видим, что в сети 5 хостов. Можем добавить их в заметки для последующего изучения. Ранее мы их уже обнаруживали при помощи CrackMapExec и Nmap. Далее можем изучить порты (протоколы), которые используются при взаимодействии между хостами и сделать выводы (предположения) о ролях каждого хоста в сети.

Откроем вкладку TCP и поищем хосты, на которых открыт порт 88 (протокол аутентификации Kerberos):

Здесь изображение или скриншот.
Они доступны только авторизованным пользователям.

Или откроем вкладку UDP и выясним, какие хосты являются DNS-серверами (порт 53):

Здесь изображение или скриншот.
Они доступны только авторизованным пользователям.

Накопив информацию, можно сделать предположение, какие хосты являются контроллерами домена, клиентскими машинами, сервером с веб-ресурсом и так далее.

На этом закончим знакомство с Wireshark в рамках разведки лабораторного стенда GOAD.

Захват сетевого трафика с помощью tcpdump

Кратко пробежались по Wireshark, теперь попробуем перехватить пакеты с помощью tcpdump:

ПРИМЕР
 
sudo tcpdump -i eth1
 

Флаг -i указывает название интерфейса, с которого будет захватываться трафик. Конечно, tcpdump не обладает визуализацией и удобством как Wireshark, но в умелых руках он очень мощный и полезный инструмент.

Здесь изображение или скриншот.
Они доступны только авторизованным пользователям.

Мы можем сохранять захваченные пакеты в файл .pcap для последующего анализа через Wireshark:

ПРИМЕР
 
sudo tcpdump -i eth1 -w 1.pcap
 
Здесь изображение или скриншот.
Они доступны только авторизованным пользователям.
Здесь изображение или скриншот.
Они доступны только авторизованным пользователям.
Здесь изображение или скриншот.
Они доступны только авторизованным пользователям.

Возможности tcpdump огромные. Рекомендую ознакомиться со статьей: [ссылка доступна авторизованным пользователям]

Нюанс про захват трафика

В начале статьи я заикнулся про какой-то нюанс захвата трафика, с которым вы столкнетесь в реальной сети, а не в лабораторном стенде (GOAD).

Не будем углубляться в историю сетей и сетевого оборудования, когда все устройства были подключены к общей передающей среде, в которой использовалась технология CSMA/CD. В такой случае каждый в сети видит все гуляющие в ней пакеты, включая устройство захвата трафика.

В нашем стенде GOAD все устройства подключены к, можно сказать, концентратору, поэтому мы захватываем весь трафик.

Заключение

Это ещё не всё, что хочется сказать про захват сетевого трафика. В следующем уроке обсудим в каком режиме должна работать сетевая карта и что означают понятия SPAN и TAP.

В этом уроке познакомились с инструментами Wireshark и tcpdump, научились перехватывать трафик в локальной сети для его последующего изучения.

Тест

Две секундочки...
@codebra_official
Подписывайся на наш Telegram-канал!
Новости, полезный материал,
программирование и ИБ
Впервые на сайте Codebra?

Извините за это всплывающее окно, меня они тоже раздражают.

Образовательный ресурс codebra.ru полностью посвящен программированию и компьютерной безопасности. Все курсы и уроки находятся на главной странице. Ради интереса можете посмотреть на содержимое курсов по Пентесту Active Directory, Python, HTML и CSS, JavaScript, C++ и другие, размещенные на главной странице.

Если что-то не нашли, то воспользуйтесь поиском по сайту, который находится на главной странице в самом верху.

Удачи в обучении!

Закрыть окно