Sniffers

Sniffing é uma tecnologia de intercepção de dados que pode ser utilizada tanto para propósitos maliciosos como também para o gerenciamento de rede, monitoramento e diagnóstico de ambientes computacionais. Invasores podem tentar capturar o tráfego da rede com diversos objetivos, dentre os quais obter cópias de arquivos importantes durante sua transmissão, e obter senhas que permitam estender o seu raio de penetração em um ambiente invadido ou ver as conversações em tempo real.

Sniffer  (também conhecido como analisador de protocolos) é um programa ou dispositivo que captura as informações vitais do tráfego em uma rede específica.

O objetivo do Sniffer, para um criminoso, é roubar:

  • Senhas (do email, da web, SMB, ftp, SQL ou telnet)
  • Texto de e-mail
  • Arquivos em transferência (arquivos de e-mail, arquivos ftp ou SMB)

Para se usar um Sniffer com eficácia é necessário o conhecimento dos protocolos da pilha de protocolos da Internet.

A suite IP usa o encapsulamento para abstração de protocolos e serviços. Geralmente um protocolo em um nível superior usa um protocolo em um nível mais baixo para atingir seus objetivos.

A pilha de protocolos da Internet pode ser representada por quatro camadas, como descritas abaixo.

4 – Aplicação – DNS, TLS/SSL, TFTP, FTP, HTTP, IMAP, IRC, NNTP, POP3, SMTP, SNMP, SSH, TELNET, ECHO, BitTorrent, RTP, rlogin, ENRP, …

Os protocolos de roteamento, como o BGP e RIP, que por várias razões rodam sobre TCP e UDP, respectivamente, também podem ser considerados parte da camada de aplicação ou camada de rede.

3 – Transporte – TCP, UDP, DCCP, SCTP, IL, RUDP, …

Os protocolos de roteamento como o OSPF, que roda sobre IP, também podem ser considerado como parte da camada de transporte ou de rede. ICMP e IGMP, executados sobre IP, também podem ser considerados como parte da camada de rede.

2 – Rede – IP (IPv4, IPv6)

ARP e RARP operam abaixo do IP mas acima da camada de Enlace, em algum lugar entre eles.

1 – Enlace – Ethernet, Wi-Fi, Token ring, PPP, SLIP, FDDI, ATM, Frame Relay, SMDS, …

Exemplo de encapsulamento de dados em um datagrama UDP dentro de um pacote IP:

UDP-IP.jpg

Protocolos Vulneráveis à Sniffing

Dentre os protocolos susceptíveis a vulnerabilidades estão:

  • Telnet e Rlogin: digitação em teclas, incluindo nomes de usuários e senhas
  • HTTP: dados enviados em texto claro
  • SMTP: senhas e dados enviados em texto claro
  • NNTP: senhas e dados enviados em texto claro
  • POP: senhas e dados enviados em texto claro
  • FTP: senhas e dados enviados em texto claro
  • IMAP: senhas e dados enviados em texto claro

Tipos de sniffing

Existem dois tipos de sniffing

  • Sniffing Passivo

A varredura ativa consiste no envio de pacotes de solicitação de broadcasting para sondagem e posterior recebimento dos pacotes das respostas dos pontos de acesso. Este é o método padrão usado pelos clientes para identificar redes sem fio disponíveis nas proximidades. A desvantagem deste método é que um ponto de acesso pode ser configurado para ignorar a solicitação enviada e para excluir seu SSID dos beacons (AP escondido), neste caso, a varredura ativa não tem sucesso.

É chamado de passivo porque é difícil detectar

Em redes cabeadas faz-se através de um Hub; o invasor simplesmente conecta o laptop à LAN

  • Sniffing Ativo

A varredura passiva proporciona melhores resultados em relação ao reconhecimento wireless e é o método adotado pelos scanners sem fio. Na varredura passiva, não ocorre o envio das solicitações de sondagem. O adaptador sem fio é, em vez disso, colocado no modo de monitoração  ou modo RFMON, o que permite o monitoramento de todo o tráfego recebido da rede wireless. Diferente do modo promíscuo, que também é utilizado para “sniffar” pacotes em um determinado canal do Wi-Fi. Os pacotes capturados são analisados ​​para determinar qual pontos de acesso estão transmitindo, a partir do BSSID contido nos beacons, e quais clientes estão conectados. Desta forma, os pontos de acesso que estão escondidos podem ser revelados.

Sniffing através de uma Switch; a swith olha para o endereço MAC associado a cada quadro, enviando dados apenas para a porta conectada, o invasor tenta envenenar a switch enviando um MAC falso

  • Difícil de rastrear endereços
  • Pode ser facilmente detectado

Técnicas para sniffing ativo:

  • MAC Flooding (Inundação de MAC)
  • ARP spoofing

Protocolo de Resolução de Endereço (ARP)

ARP é um protocolo de camada de rede usado para converter um endereço IP para um endereço físico (chamado de endereço MAC), um endereço Ethernet

Para obter um endereço físico, o host transmite uma solicitação ARP para a rede TCP/IP

O host com o endereço IP contido na solicitação responde com seu endereço físico.

Snif01

Ferramentas para ARP spoofing

Aviso: muitas empresas não autorizam a varredura/escaneamento de endereços TCP e/ou portas. Estes métodos podem ser identificados e são considerados como ataques contra a rede. Se você não tiver os direitos de escanear a rede, ou não tem certeza se possui esses direitos, NÃO USE estas ferramentas ou faça isso por seu próprio risco. Não me responsabilizo por danos e/ou penalidades resultantes do uso destes softwares.

Existem algumas plataformas, tal qual a Fabric Watch, que monitora o desempenho e o status de uma Switch/Router e alerta, automaticamente, ao Administrador da rede quando surgem problemas enviando notificações usando vários métodos, incluindo mensagens de e-mail, armadilhas SNMP, e entradas de logs.

Estas plataformas monitoram constantemente eventos e contadores no tecido da rede. Por exemplo:

  • Reconfigurações do tecido, mudanças de zoneamento, novos logins, alterações no ID de domínio, falhas E_Port e mudanças de segmentação;
  • Mudanças ambientais, como temperatura, flash, CPU, uso de memória e VIOLAÇÕES DE SEGURANÇA;
  • Transições de estado de portas, erros e informações de tráfego para várias classes de portas.
  • …aliás, quem quiser entender um pouco sobre hacker ético, o Sr. Ghaznavi-Zadeh publicou um capítulo de seu livro “”Kali Linux – A guide to Ethical hacking” em https://www.vpnmentor.com/blog/kali-linux-a-guide-to-ethical-hacking/, vale à pena conferir.

Network View

O Network View faz uma varredura na rede e localiza dispositivos

Snif02.jpg

The Dude

O Dude, desenvolvido por MikroTik, é um monitor de rede que pode melhorar a maneira de gerenciar o meio ambiente da rede.

Vou ficar devendo um print porque tem que instalar o RouterOS, que é o sistema operacional do RouterBOARD, que, ao ser instalado, transforma o PC em um roteador com todos os recursos – roteamento, firewall, gerenciamento de largura de banda, ponto de acesso sem fio, link backhaul, gateway hotspot, servidor VPN e muito mais. Estou recuperando um notebook legado para fazer isto ;>))

Funções:

  • Verifica automaticamente todos os dispositivos dentro das sub-redes especificadas
  • Desenha e estabelece um mapa das redes
  • Monitora os serviços dos dispositivos
  • Alerta em caso de algum serviço com problemas

Está escrito em duas partes:

  • Dude Server, que é executado em segundo plano
  • Dude Client, que pode se conectar ao servidor Dude local ou remoto

Wireshark

O Wireshark é um analisador de protocolos para Windows, Linux, macOS, Solaris, FreeBSD, NetBSD, e outros.

Permite ao usuário examinar dados de uma rede ao vivo ou de um arquivo capturado.

O usuário pode, interativamente, navegar pelos dados capturados visualizando informações detalhadas para cada pacote capturado.

Snif03.jpg

Filtros no Wireshark

Os filtros de exibição são usados para alterar a exibição de pacotes em arquivos capturados

Filtragem de protocolo

  • arp, http, tcp, udp, dns

Filtragem por endereço IP

  • ip.addr == 10.0.0.4

Filtragem de múltiplos endereços IP

  • ip.addr == 10.0.0.4 or ip.addr == 10.0.0.5

Monitorar Portas Específico

  • tcp.port==443
  • ip.addr==192.168.1.100 machine
  • ip.addr==192.168.1.100 && tcp.port=443

Outros Filtros

  • ip.dst == 10.0.1.50 && frame.pkt len > 400
  • ip.addr == 10.0.1.12 && icmp && frame.number > 15 && frame.number < 30
  • ip.src==205.153.63.30 or ip.dst==205.153.63.30

Snif04.jpg

O Wireshark remonta todos os pacotes em uma conversa TCP e exibe ASCII em um formato fácil de ler. Isso facilita a identificação de nomes de usuários e senhas inseguras em protocolos como Telnet e FTP.

Também é possível salvar e remontar chamadas VoIP usando o menu “Telephony->VoIP Calls…”. Os protocolos VoIP suportados são: SIP, H323, ISUP, MGCP, UNISTIM

Exemplo: seguir o fluxo de uma sessão HTTP e salvar a saída em um arquivo. Depois seleciona-se TCP em Summary Window e Analyze->Follow TCP Stream e a janela “Follow TCP Stream” será exibida

Você também pode clicar com o botão direito do mouse em um pacote TCP na Janela de resumo e escolher “Folow”

Seguindo o TCP Stream com o Wireshark

Snif05.jpg

O Wireshark merece um post exclusivo, aguardem.

Tcpdump

Tcpdump é uma ferramenta comum de depuração da rede de computadores que é executada sob a linha de comando.

Permite ao usuário interceptar e exibir o fluxo TCP/IP e outros pacotes sendo transmitidos ou recebidos através de uma rede à qual o computador está conectado.

Snif06.jpg

Comandos Tcpdump:

  • # tcpdump port 80 -l > webdump.txt & tail -f webdump.txt
  • # tcpdump -w rawdump
  • # tcpdump -r rawdump > rawdump.txt
  • # tcpdump -c1000 -w rawdump
  • # tcpdump -i eth1 -c1000 -w rawdump

Captura o tráfego em uma porta específica

  • # tcpdump port 80

Seleciona vários hosts na LAN e captura o tráfego que passa entre eles

  • # tcpdump host workstation4 and workstation11 and workstation13

Captura todo o tráfego da LAN entre a estação de trabalho4 e a LAN, exceto estação de trabalho 11

  • # tcpdump -e host workstation4 and workstation11 and workstation13

Captura todos os pacotes, exceto aqueles para determinados portos

  • # tcpdump not port 110 and not port 25 and not port 53 and not port 22

Filtra por protocolo

  • # tcpdump udp
  • # tcpdump ip proto OSPFIGP

Captura o tráfego em um host específico e restrita por protocolo

  • # tcpdump host server02 and ip
  • # tcpdump host server03 and not udp
  • # tcpdump host server03 and ip and igmp and not udp

Sniffers do Kali Linux

O Kali Linux, baseado no Debian, inclui uma ampla gama de ferramentas para reconhecimento e coleta de informações já pré-instaladas, incluindo vários Sniffers.

Snif07.jpg

Na próxima postagem mostrarei como funciona o ataque do tipo ARP-Poisoning (ou ARP-Spoofing), que é o meio mais eficiente de executar o ataque conhecido por Man-In-The-Middle e que permite que o atacante intercepte informações confidenciais posicionando-se no meio de uma conexão, entre duas ou mais máquinas; e quais riscos em que esta técnica pode implicar…

Anúncios

2 comentários

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair /  Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

Conectando a %s