Wireshark
Co je WireShark a k čemu se používá
Wireshark je aplikace, která analyzuje provoz počítačových sítí. Používá se i pro zjišťování a odstraňování problémů. Jednoduše zkoumá a analyzuje co se děje uvnitř síťového kabelu (samozřejmě na vyšší úrovni.) Lide používájí Wireshark za různými účely. Například správci sítě jej používají k řešení problému se sítí, vývojáři zase k ladění implementovaných protokolů atd.
Instalace a začátek
Nejdříve abychom s ním mohli pracovat tak si jej nainstalujem pomocí:
root@ubuntu:~$ sudo apt install wireshark
Po nainstalování a otevření WireSharku začneme odchytáváním packetů.
Začneme odchytávat pomocí kliknutím na modrou ikonu vlevo
Při odchytavání Wireshark zobrazuje packety, které byly odchyceny v realném čase.ł
Analýza packetů
Pro analyzování packetu, který jsme odchytily si jej můžeme rozkliknout. Po rozkliknutí se ná v spodní časti zobrazí další dvě okna, které na ukazují detaily o danném packetu. O packetu může zjistit mnoho i z prvního okna a jeho sloupců.
No. - je číslo dané pořadím, v kterém jsme jej odchytili.
Time - tento sloupec zobrazuje v jakém čase po spuštění odchytávání byl packet odchycen. Jeho hodnota se dá změnit v Setting menu jestli potřebujete mít zobrazené něco jiného.
Source: - Toto je adresa systému, který poslal tento packet.
Destination: - Toto je adresa kam je packet směřován.
Protocol: - Toto je jaký typ packetu, například: TCP, DNS, DHCPv6 nebo ARP.
Length: - Tento sloupec ukazuje délku packetu v bytech.
Info: - Tento sloupec zobrazuje více informací o danném packetu. Liší se podle typu packetu.
Ve střední části se vám zobrazují co nejvíce možných detailu o packetu, které může nabídnout. Také záleží na typu packetu. Můžete také kliknout pravým tlačítkem a vytvářet filtry na základě zvýrazněného textu. Ve spodní části se zobrazují byty packetů v hexidecimálním formátu tak jak byli zachyceny.
Wireshark Filters
Jedny z nejlepších features ve WireSharku jsou Capture filters a Display filters
Zde je vpisujeme filtry
Capture filters vám omezují zachycené packety filtrem. To znamená, že pokud packety neodpovídají filtru tak je WireShark nezobrazí.
Zde je pár příkládů zachytávání:
host IP-address - tento filtr omezuje provoz z a do IP adresy
net 192.168.0.0/24 - tento filtr zachycuje celý provoz v subnetu
dst host IP - zachytí packety poslané specifickému hostu
port 53 - zachycuje provoz pouze na portu 53
port 53 and not arp - zachytí celý provoz až na DNS a ARP.
Display filters mění pohled na zachycen během analýzy. Po zastavení zachycování použije filtry ke zúžení seznamu packetů.
Jeden z nejvice používaných filterů
ip.src==IP-address and ip.dst==IP-address - ukazuje packety z jednoho počítače ip.src do druhého ip.dst.
Další příklady:
ip.addr - zobrazuje packety z dané IP
tcp.port eq 25 - tento filtr zobrazuje provoz na portu 25.
icmp - tento filtr zobrazuje je ICMP provoz. Nejčastěji ping.
ip.addr != IP_address - zobrazuje všechen provoz až ten z specifického PC
Tcpdump
tcpdump se používá pro analyzu komunikace v počítačových sítích s různými protokoly a to zejména TCP/IP.s
Běžné použití TCPDUMP
Používáme jej zejména pro analýzu chování sítí, které generují nebo přijímají packety. Můžeme jej také použít pro analýzu síťové infrastruktury nebo je možné použití i pro specifičtější účely jako je zachytávání komunikace jiného uživatele nebo počítače.s
Nainstalování tcpdump
root@ubuntu:~$ sudo apt install tcpdump
Nejužitečnější možnosti jak použit tcpdump v řádku.
tcpdump -w - možnost -w v příkazovém řádku umožňuje výstup, který je kompatibilní s Wireshark. Soubor s názvem tcpdump. nebude mimo Wireshark čitelný, protože data jsou uloženy spíše v binary než v ASCII.
tcpdump -C - možnost -c umožňujě nastavit maximální velikost souboru v bytech. Tato možnost funguje pouze společně s -w.
Tento příkaz určuje max. velikost záznamu 1MB výstupu do souboru capture.pcap.
root@ubuntu:~$ tcpdump -C 1048576 -w capture.pcap
pokud je výstup větší než 1MB tak se vytvoří nové soubory s velikostí 1MB. Například kdyby výstup byl 3MB tak se vytvoří capture.pcap a k tomu capture1.pcap,capture2.pcap.
tcpdump -s - možnost -s nastavuje maximální délku packetu v bytech. Po dosažení max. limitu packet zkratí.
Tento příkaz nastavuje neomezenou délku, aby zajistil zachycení celého obsahu.
root@ubuntu:~$ tpcdump -s 0
tcpdump -i - možnost -i které síťové zařízení chcete sledovat. Pokud není zadáno žadné rozhraní ,použije rozhraní s nejnižším číslem, které je teď aktuálně spuštěno.
tcpdump -list-interfaces - tato možnost vám vypíše seznam všech rozhraní, která jsou k dispozici pro připojení tcpdump.
tcpdump -c - možnost -c říká tcpdump, aby ukončil relaci po zachycení danného packetu.
tcpdump -n - tato možnost dává příkazu tcpdump pokyn, aby nerozlišoval adresy IP na názvy hostů.
tcpdump -v| -vv| -vvv - tyto tři možnosti vám umožní zvýšit podrobnost vámi zachycené relace. -v uloží TTL hodnoty pro každý packet s ToS informacemi.s -vv vypíše TTL s ToS s dalšími informacemi v NFS packetech. -vvv zaznamená vše, co dělají předešlé dvě možnosti, spolu s dalšími informacemi z telnetu.ss
tcpdump -F - tato možnost dává pokyn tcpdump aby použil filtry pro zachycení ze zadaného souboru. Filtry: host, net, dst host, port, gateway, broadcast atd.
Nmap
Co Nmap je?
Nmap je skenovací nástroj, který pomocí IP packetů identifikuje všechna zařízení připojená k síti a poskytuje informace o službách a operačních systémech, které používají.
Co Nmap dělá?
Nmap se používá k poskytování podrobných informací o vašich sítích a zařízení k ním připojených. Použití Nmap se dá rozdělit do tří základních procesů. Nejprve vám program poskytne podrobné informace o každé aktivní IP ve vaší síti a poté se lze každou skenovat. Za druhé, Nmap poskytuje informace o vaší siti jako o celku. Poskytnut je seznam hostů a otevřených portů, stejně jako poskytuje identifikaci OS každého připojeného zařízení. Za třetí, používání Nmapu ke skenování vlastního webového serveru, zejména pokud hostujete své webové stránky z domova, v podstatě simuluje proces, který vy hacker použil k útoku na váš web. Neboli pomáha k identifikaci slabě zabezpečených míst.
Instalace Nmap
root@ubuntu:~$ sudo apt install nmap
Příklady použití Nmap
nmap -sn - deaktivuje skenování portů
nmap -v - umožňuje verbose mode neboli jinak řečeno poskytuje informace o tom, co počítač dělá a jaké ovladače a software načíta během spouštění
nmap -sV - scanuje otevřené porty, aby určil service/version info.
nmap -p - scanuje jen specifické porty
nmap -F - Fast scan neboli scanuje více portů než default scan
nmap -r - scanuje porty postupně ne randomizovaně
Netcat
Netcat je počítačový program sloužící jako nástroj pro zápis a čtení u TCP nebo UDP spojení.
Na co se používá
Netcat funguje jako back-endový nástroj, který umožňuje skenování portů a naslouchání portů. Kromě toho můžete skutečně přenášet soubory přímo přes Netcat nebo je použít jako backdoor do jiných síťových systémů.
Instalace Netcat.
root@ubuntu:~$ sudo apt install netcat
Zakladní příkazy Netcat
nc -help - Tento příkaz zobrazí seznam všech dostupných příkazů, které múžete použít v Netcat.s
nc -z -v <web-adressa> - Spustí základní kontrolu portů zadaného webu nebo serveru.
nc -l - Tento příkaz dá místnímu systému pokyn, aby začal odposlouchávat připojení TCP a aktivitu UDP na konkrétním portu.
nc <web-adressa> <port> <název_souboru> - tento příkaz zahájí přenos souboru na základě zadaného portu.s
ARP
Neboli Address Resolution protocol je protokol, který slouží v rodině TCP/IP. ARP je používán v situaci, kdy je třeba odeslat IP datagram na adresu ležící ve stejné podsíti jako odesílatel. Data se tedy mají poslat přímo adresátovi, u něhož odesílatel zná pouze IP adresu. Pro odeslání prostřednictvím například Ethernetu, ale potřebuje znát cílovou eth adresu.
Jak ARP pracuje
ARP odešle ARP request obsahující hledanou IP adresu a údaje o sobě. Tento dotaz se posíla broadcastem na MAC adresu identifikující všechny účastníky dané sítě. ARP dotaz nepřekročí danou podsíť. Všechna zařízení v dáné podsíti obrží dotaz a automaticky si zapíší iformace o uživateli do své ARP cache. Hledaná IP adresa pak odešle ARP odpověď, která vlastní MAC a IP adresu.Tu si tazatel zapíše do ARP cache a může odeslat datagram.
Arp-spoof
ARP-spoofing je zneužití ARP neboli Address Resolution protocol, umožňující útočníkovi se vydávat v místní síti za jiný počítač podvržením odpovědi na ARP dotaz. ARP dotaz jsme si již vysvětlili předtím. Podvržením odpovědi může útočník packety určené oběti nasměrovat na vlastní MAC adresu.
Popis Útoku
MAC adresa jednoznačně identifikuje síťovou kartu a používá se k adresaci na linkové vrstvě. Ale při cestě packetů počítačovou sítí je příjemce adresován pomocí IP adresy. Na každém směrovači po cestě musí být proto IP packet zabalen do rámce linkové vrstvy opatřeného MAC adresou. Právě teď přichází řada na ARP protokol. Směrovač použije ARP dotaz a čeká na odpověď. A poté co dostane odpověď tak si uloží MAC a IP adresu. Princip ARP spoofingu, neboli podvržení MAC adresy spočívá v neustálém zasílání „odpovědi“ s MAC adresou útočníka. Směrovač si zaznamená falešnou adresu do své ARP tabulky, pakety následně zasílá na ni. Pokud chce útočník odposlouchávat komunikaci mezi dvěma uzly lokální sítě, stačí mu oběma z nich podstrčit svoji MAC adresu, a přijatá data posílat dál skutečným adresátům.
Jak se bránit proti Arp-spoofingu
Statické ARP záznamy
Přeložené IP adresy na MAC adresy můžou být staticky uloženy v lokální ARP tabulce. V takovém případě mohou být počítače nastaveny, aby ignorovaly všechny pakety s ARP odpovědí. Statické záznamy poskytují dokonalé zabezpečení proti APR spoofingu, aktualizaci obsahu ARP tabulky pak je ale nutné zajistit jinak, například její distribucí z DHCP serveru (který IP adresy MAC adresám přiděluje).
Zabezpečení portů switche
Útoku lze předejít za pomocí L3 switche zapnutím funkce Dynamic ARP Inspection. Switch pak sleduje DHCP komunikaci a zjišťuje tak, jaké IP adresy byly přiděleny stanicím na daných portech. Zahazuje pak neoprávněné ARP odpovědi.
Software detekující ARP spoofing
Software, který detekuje ARP spoofing obecně závisí na nějaké formě certifikace nebo ověřování ARP odpovědí. Nepotvrzené ARP odpovědi jsou pak blokovány.
Arp flood
Neboli také MAC flooding narozdíl od jiných webových útoků neútočí na hosta v síti, ale na síťové přepínače. Arp flooding neboli MAC flooding je metoda útoku ,která má ohrozit síťové přepínače. Hlavním úkolem arp flooding je zastavit šíření dané MAC tabulky v přepínači. Aby jsme toho dosáhli tak jako útočník začneme posílat obrovské množtví Ethernetových framů. Při odesílání mnoho framů do přepínače tyto přepínače budou mít různe adresy odesílatele. Naším hlavním umyslem je spotřebovat paměť přepínače, která se používá k ukládání MAC adres do tabulky. Tímto způsobem postupně vytlačíme adresy oprávněných uživatelů z tabulky. V tuto chvíli přepínač nebude moct doručit příchozí data do cíle. Takže značný počet portů bude zaplaven nově příchazejícími framy.Poté co MAC tabulka je plná a není možno uložit nové adresy, tak přepínač jde do režimu otevření při poruše. Přepínač se teď chová jako rozbočovač neboli vysílá data do celé sítě a nejen do cíle. Poté co arp flooding byl úspěšný útočník může navázat arp spoofingem. Jak funguje arp spoofing jsme si již vysvětlili.
Ochrana proti Arp flooding
Můžeme se bránit několika metodami jako jsou například níže popsané.
Ověřování pomocí serveru AAA - tento server je program, který zpracovává požadavky uživatelů. Tento server často interaguje s databázemi nebo s gateway, které obsahují informace o uživateli. Takže se zde jsou zjištěné adresy MAC ověreny pomocí ověřovacímu a autorizačnímu serveru AAA.
Zabezpečení portů - tato možnost je jako jedna z nejpoužívanějších proti tomuto typu útoku. Přepínače jsou nakonfigurovány tak, aby omezily počet adres, které lze zjistit na portech připojených k cílovým stanicím.
Implementováním sady IEEE 802.1X - Tato sada umožní, aby filtrování paketů bylo explicitně nainstalováno serverem AAA.s