Искать
Вы превысили запрос на
0 знаков

15. Дополнительно про захват сетевого трафика (сниффинг)

0
0
Не пройден
Автор статьи никого не призывает к правонарушениям и отказывается нести ответственность за ваши действия. Вся информация предоставлена исключительно в ознакомительных целях. Все действия происходят на виртуальных машинах и внутри локальной сети автора. Спасибо!
Кратко

- Умение захватывать сетевой трафик полезно на этапе разведки.

- Коммутаторы отправляют пакеты на нужный порт, а не на все порты, как концентраторы.

- Для захвата пакетов в такой сети можно использовать SPAN или TAP.

- Сетевая карта компьютера имеет MAC-адрес, который определяет, какие кадры она принимает.

- В неразборчивом режиме работы сетевая карта принимает все проходящие через нее пакеты.

- Захват трафика лучше производить устройством, настроенным в режиме listen only.

- Сетевая карта отбрасывает кадры, у которых не сходится контрольная сумма или имеющие неправильный размер.

В предыдущем уроке мы научились захватывать трафик с помощью Wireshark и tcpdump и разобрались, почему это было так просто сделать на виртуальном стенде GOAD.

Умение захватывать сетевой трафик для его последующего анализа является полезным навыком на этапе разведки, поэтому продолжим разбираться в тонкостях.

После хабов появились коммутаторы. Коммутаторы, в отличии от концентраторов, при получении пакета отправляют его на нужный, а не на все порты. То есть все остальные порты никогда не увидят этот пакет (если он не широковещательный (broadcast) или многоадресный (multicast)), включая устройство захвата трафика. Напомню, коммутатор - устройство второго уровня и работают с MAC-адресами устройств.

Что же делать, чтобы захватить пакеты в такой сети? Хотя бы часть сетевого трафика? Поговорим об этом далее

SPAN и TAP

Если у вас есть доступ к коммутатору и у него есть функция SPAN, то проблем с захватом сетевого трафика, проходящего через этот коммутатор у вас не возникнет.

Другим способом захвата является использование ответвителя сетевого трафика (TAP) - аппаратное устройство для перехвата, дублирования и передачи в аналитические системы.

Мы ушли немного в сторону. Как правило, доступ у нас есть только к сетевой розетке или компьютеру, подключённому к ней. Вернёмся назад.

Сетевая карта

Сетевая карта компьютера имеет уникальный (почти) физический адрес, который называется MAC-адресом. Проблема захвата сетевого трафика состоит в том, что в нормальном режиме работы сетевая карта принимает только те кадры, которые адресованы ей. Тогда как работает захват трафика при помощи Wireshark и tcpdump, которые мы рассмотрели ранее?

Было бы неплохо отключить фильтр MAC-адресов. И это возможно. Такой режим работы сетевой карты называется неразборчивым (Promiscuous Mode).

В неразборчивом режиме работы сетевая карта принимает все проходящие через нее пакеты.

Такие программы как Wireshark и tcpdump по умолчанию включают Promiscuous Mode при захвате трафика.

Что ещё важно при захвате сетевого трафика? Захват трафика лучше производить устройством не участвующем в обмене данными и настроенном в режиме listen only - прием кадров.

То что сетевая карта выкидывает все кадры, которые ей не адресованы мы выяснили. Но и это не все. Она также отбрасывает все кадры, у которых не сходится контрольная сумма, слишком большого или маленького размера.

По этому вопросу, думаю, хватит. Если хотите углубиться в данный материал, то рекомендую прочитать следующий цикл статей.

Далее мы будем учиться сканировать порты найденных активных хостов.

Тест

Две секундочки...
@codebra_official
Подписывайся на наш Telegram-канал!
Новости, полезный материал,
программирование и ИБ
Впервые на сайте Codebra?

Извините за это всплывающее окно, меня они тоже раздражают.

Образовательный ресурс codebra.ru полностью посвящен программированию и компьютерной безопасности. Все курсы и уроки находятся на главной странице. Ради интереса можете посмотреть на содержимое курсов по Пентесту Active Directory, Python, HTML и CSS, JavaScript, C++ и другие, размещенные на главной странице.

Если что-то не нашли, то воспользуйтесь поиском по сайту, который находится на главной странице в самом верху.

Удачи в обучении!

Закрыть окно