Перехват трафика Wi-Fi со своего роутера: техники и снифферы

Этот материал посвящен перехвату трафика Wi-Fi роутера для обнаружения утечек в личной сети. Мы узнаем, как злоумышленники пытаются осуществлять подобные атаки, рассмотрим методы защиты и услышим некоторые нелепые истории. В общем, кратко и по существу.

Наш ресурс MoiSovety.ru и автор не поддерживают незаконные действия. Все описанное применяется исключительно в сети, где у вас есть разрешение на подобные действия, с целью повышения безопасности этой сети. Все злоумышленники идут своей дорогой.

Очень мало теории

Все методы перехвата сетевого трафика основаны на технике MITM — Man In The Middle — Человек посередине. Это означает, что злоумышленное устройство вступает между отправителем и получателем, перенаправляя весь трафик через себя. В локальной сети такое становится возможным из-за уязвимости протокола ARP. С помощью поддельного широковещательного ответа злоумышленник может заставить все устройства в одном сегменте сети думать, что он является, например, роутером.

На этой уязвимости ARP основаны многие программы и скрипты. Конечно, все это доступно бесплатно и общедоступно, при условии использования для проверки безопасности собственной сети. Ниже мы рассмотрим несколько методов их применения.

Внимание! Используя социальные сети, вы ставите себя под угрозу возможного злоупотребления этой уязвимостью. Будьте бдительны, не открывайте в таких сетях ресурсы, которые могут привести к утечке ваших паролей.

Методы защиты

Существуют различные методы защиты от любой атаки, без которых было бы невозможно укрыться от негативных последствий. Вот основные способы защиты:

• Использование специальных ARP-мониторов, таких как arpwatch и BitCometAntiARP. Их основная функция заключается в установлении соответствия между IP-адресами и MAC-адресами, а также в принятии решения об их блокировке в случае подмены.
• Создание виртуальных сетей VLAN для отделения доверенных сегментов сети от «гостевых», что помогает предотвратить возможность атаки внутри сегмента.
• Использование VPN-подключений, таких как PPTP и PPPoE.
• Шифрование трафика с использованием, например, IPSec.

Cain&Abel

Классический инструмент для проведения ARP-атак — Cain&Abel (Каин и Авель). Данный инструмент упоминается в учебниках по безопасности уже много лет (и даже в последней редакции EC-Council). Он представляет собой графический инструмент для Windows, все в нем интуитивно понятно. Далее приведен пример использования.

1. Для начала запустите программу и перейдите на вкладку «Сниффер»:

1. Для того чтобы увидеть список устройств в сети, необходимо нажать на значок «плюс» в данном разделе:

1. Далее перемещаемся в раздел ARP и повторно кликаем на знак плюс:

1. Надо решить, какую подмену использовать – слева будет адрес жертвы, а справа другое устройство (давайте притворимся, что это роутер):

1. Проверяем состояние. Отравление означает, что перехват начался и подмена прошла успешно:
2. На вкладке Пароли будут отображены перехваченные данные.

Airodump и Wireshark

Использование вышеупомянутых инструментов не ограничивается данной конкретной ситуацией.

Этот краткий раздел предназначен для пользователей Kali Linux. Всем известно, что здесь имеется готовый инструментарий для проведения перехвата, поэтому это руководство исключительно для справки. Приблизительный алгоритм действий (для использования беспроводного адаптера):

1. Переводим нашу Wi-Fi карту в режим монитора. В таком режиме беспроводной адаптер не фильтрует все пакеты (которые были отправлены не ему), а принимает все. Способов сделать это много, наверняка вы знаете свой самый удобный.
2. Запускаем Airodump. Например, следующая команда выведет открытые сети:
3. Теперь для выбранного канала можно начать перехват данных и записать их в отдельный файл:

sudo airodump-ng ИНТЕРФЕЙС –channel НОМЕР –write openap

1. Собранные данные сохраняются в файле с расширением .cap. Множество программ могут открывать и читать этот файл, но наиболее популярной из них является WireShark. Вы запускаете WireShark, загружаете файл и анализируете полученные пакеты в соответствии с вашими потребностями или целями перехвата данных. На скриншоте ниже показано применение фильтра для анализа HTTP пакетов (которые используются сайтами):

Intercepter-NG

Ещё одна простая и понятная программа. Эксперты отмечают её больше среди новых статей, чем даже классику «Каин и Авель». Так что давайте кратко рассмотрим эту удивительную утилиту.

Итак, здесь происходит та же операция — выбираются устройства, происходит подмена, ожидаются пакеты, из которых извлекаются пароли. При более тщательном исследовании можно обнаружить полезные инструменты, такие как подмена HTTPS и сайтов (да, это еще один швейцарский нож, способный перехватывать трафик).

А что для Android?

Я не рекомендую использовать Android и особенно iOS для профессиональных целей безопасности в настоящее время. За исключением использования мобильной версии Kali… В общем, для перехвата трафика с телефона сейчас практически ничего не осталось общедоступного. Если вы не профессионал, то лучше воздержаться, но если вы разбираетесь – используйте Kali.

Раньше на Android был доступен DroidSheep. Но со временем возможности этой программы стали ограниченными. Однако поддерживает DNS и ARP-спуфинг. В теории можно использовать как поддельную точку доступа.

Fern Wifi Wireless Cracker

Недавно стала популярной программа для пользователей Linux, которая представляет собой интерфейс для множества известных утилит. Она обладает возможностью перехватывать и сохранять данные, включая пароли и куки.

Это всё, что я хотел сказать. Инструменты и технологии меняются не так часто, но если в будущем появится что-то более популярное, чем описанное выше, я обязательно добавлю его в список. А вы можете поделиться своими мыслями в комментариях. Берегите себя и своих близких!