Перехват трафика в локальной сети по проводу

Перехват трафика локальной сети по проводу

Итак, продолжим серию статьей о физическом пентесте. В предыдущей статье «Создание флешки для дампа RAM» мы рассмотрели атаку Cold Boot. Сегодня поговорим о физическом перехвате трафика проходящего по витой паре.

Еще по теме: Пример проникновения при физическом пентесте

Перехват трафика в локальной сети физически

При перехвате тра­фика витой пары подключения RJ45 прос­лушива­ется толь­ко часть тра­фика — либо вхо­дящий, либо исхо­дящий.

Статья написана в образовательных целях, для обучения этичных хакеров. При демонстрации работы, были использованы собственные устройства автора. Использование подобных техник обхода антивирусов на чужих устройствах, без надлежащего письменного разрешения, является незаконным и будет расцениваться, как уголовное преступление. Сайт и авторы spy-soft.net не несут ответс­твен­ность за ваши действия.

Прослушивание витой пары — тема старая, но из-за из‑за высокой рас­простра­нен­ности она акту­аль­на и сегодня. Нес­мотря на то, что последнее время сети переходят на «опти­ку», витая пара все еще встре­чает­ся поч­ти в каждой квартире и коридо­ре любого офис­а. А иногда это выг­лядит даже так.

Ви­тая пара в подъ­езде — отличная цель для перехвата трафика
Ви­тая пара в подъ­езде дома

Так что ваш домаш­ний и офисный тра­фик, как мы убе­дим­ся даль­ше, очень лег­ко перехватить.

Перехват трафика по проводу в офисе
Ви­тая пара в офисе

Как устроена витая пара

Про­вод RJ45 сос­тоит из четырех отли­чающих­ся цве­том пар жил. Каж­дая пара — это два про­вода, скру­чен­ные меж­ду собой.

Спецификация RJ45
Спецификация RJ45

У каж­дой пары провода своя роль:

  • оран­жевая — переда­ча дан­ных;
  • зе­леная — при­ем дан­ных;
  • си­няя — PoE+, дан­ные 1000 Мбит/с.
  • ко­рич­невая — PoE-, дан­ные 1000 Мбит/с;

Исхо­дящий и входящий тра­фик идет по опре­делен­ной паре жил, а вот бай­ты кодиру­ются обычным изме­нени­ем харак­терис­тики элек­три­чес­кого сиг­нала.

Стенд для прослушивания трафика локальной сети

Для перехвата трафика локальной сети нам понадобится простая сетевая кар­та Ethernet и сама витая пара, сос­тоящая из двух жил. Вы можете сами сделать данный про­вод или переделать готовый пат­чкорд.

Нас интересует толь­ко RX-пара (пер­вая и вто­рая жилы), реали­зован­ная в фор­ме простого коннектора RJ45.

Про­вод для перехвата трафика
Про­вод для перехвата трафика

На другом конце провода пер­вую и вто­рую жилу соеди­ните простыми кро­кодилами. В ито­ге должно получиться так:

Про­вод для прослушивания трафика
Про­вод для прослушивания трафика

В нашем слу­чае белый кро­кодил — положи­тель­ный кон­такт, а чер­ный — отри­цатель­ный.

Для перехвата трафика локальной сети, подключаем наш про­вод прямо к сетевой кар­те ата­кующе­го.

Перехват сетевого трафика по витой паре

Итак, для прослушивания тра­фика под­клю­чаем кро­кодилов либо к зеленой, либо к оран­жевой паре:

Перехват трафика. Под­клю­чение к витой паре
Под­клю­чение к витой паре

Внеш­ний кор­пус про­вода, к которо­му мы под­клю­чаем­ся, слег­ка раз­реза­ем кан­целяр­ским ножом. Мы режем вдоль жил, так что жилы при этом не пос­тра­дают. Непос­редс­твен­но с самих жил изо­ляцию сни­мать не нуж­но, дос­таточ­но слег­ка сжать кро­кодиль­чики, и они сами про­давят изо­ляцию в мес­тах кон­такта.

Да­вим до тех пор, пока на сниф­фере сетевой кар­ты, куда мы под­клю­чили обратный конец нашего про­вода, не отоб­разят­ся пакеты, как показа­но на сле­дующем рисун­ке.

Перехват тра­фика tcpdump
Перехват тра­фика с помощью tcpdump

Здесь мы для боль­шей зре­лищ­ности ата­ки про­водим ее с телефо­на под управле­нием Android. Некото­рые внеш­ние сетевые кар­ты могут авто­мати­чес­ки опоз­навать­ся Android, так что от тебя не пот­ребу­ется никаких дей­ствий, кро­ме раз­ве что наличия прав root. На сле­дующем рисун­ке показа­но, как такая ата­ка может выг­лядеть на стен­де.

Стенд для перехвата трафика в локальной сети
Стенд для перехвата трафика в локальной сети

Те­лефон успешно сни­мает тра­фик, иду­щий от одно­го ноут­бука к дру­гому (толь­ко в одну сто­рону). При этом факт прос­лушки никак не выявить, пос­коль­ку никаких допол­нитель­ных хопов (traceroute) меж­ду ноут­буками не появ­ляет­ся. Вос­поль­зуем­ся ути­лита­ми, которые извле­кают из тра­фика учет­ные записи и заг­ружа­емые фай­лы:

Этот скрипт не толь­ко сох­ранит тра­фик в файл для пос­леду­юще­го ана­лиза, но и удоб­но поделит экран телефо­на на три области, в каж­дой из которых мы уви­дим соот­ветс­тву­ющую информа­цию, как показа­но на сле­дующем рисун­ке.

Перехват трафика
Перехват трафика

Пер­вая треть экра­на показы­вает прос­лушива­емую полови­ну тра­фика с помощью tcpdump. Вто­рая треть — это ути­лита net-creds, извле­кающая учет­ные дан­ные из тра­фика. И, на минуточ­ку, тут мы извлек­ли NetNTLM-хеш в момент под­клю­чения ком­па к сетево­му дис­ку прос­тыми кро­кодиль­чиками! Пос­ледняя треть экра­на — это tcpxtract, прос­то извле­кающий фай­лы по сиг­натурам вне зависи­мос­ти от про­токо­ла переда­чи дан­ных. И в дан­ном слу­чае при ска­чива­нии кар­тинки по FTP наш телефон успешно сох­ранил ее.

В ходе демонс­тра­ции ни один домаш­ний или кор­поратив­ный интернет не пос­тра­дал. Но мы, конеч­но же, понима­ем, с какой лег­костью тес­товые ком­понен­ты нашего стен­да могут быть замене­ны реаль­ными целями.

Сто­ит отме­тить, что подоб­ный сниф­финг воз­можен толь­ко на под­клю­чении со ско­ростью 10 или 100 Мбит/с, ког­да задей­ство­ваны четыре жилы (оран­жевые и зеленые пары) — четырех­жиль­ный про­вод. С вось­мижиль­ным про­водом дан­ные переда­ются ина­че (со ско­ростью 1000 Мбит/с). Одна­ко даже если в про­воде есть все восемь жил, час­то сетевые кар­ты не сог­ласу­ются в режим 1000 Мбит/с. Нап­ример, на рисун­ке выше, где дли­на про­вода сос­тавля­ет все­го пару мет­ров и все восемь жил в наличии, сетевые кар­ты про­дол­жают работать в уяз­вимом для прос­лушки режиме 100 Мбит/c.

Ес­ли же перед нами витая пара с активным под­клю­чени­ем 1000 Мбит/с, прос­лушивать тра­фик дву­мя кро­кодиль­чиками ста­новит­ся невоз­можно. Одна­ко опыт­ным путем было уста­нов­лено, что если перере­зать одну из допол­нитель­ных пар жил, которые нуж­ны, что­бы обес­печивать ско­рость в 1000 Мбит/с (синюю или корич­невую), то через нес­коль­ко секунд про­изой­дет авто­мати­чес­кий даун­грейд к 100 Мбит/с, и мы вновь смо­жем под­клю­чать кро­кодиль­чики и прос­лушивать тра­фик.

Не­кото­рые ком­пании в сво­их сетях час­то исполь­зуют PoE для питания IP-телефо­нов по витой паре, для это­го задей­ство­ваны те самые допол­нитель­ные жилы (синяя и корич­невая). Из‑за это­го под­клю­чение на ско­рос­ти 1000 Мбит/с в такой сети невоз­можно.

Про­демонс­три­рован­ная ата­ка — это пас­сивное прос­лушива­ние тра­фика на лету без его модифи­кации. Попыт­ки же активно­го вме­шатель­ства в переда­ваемый тра­фик и, нап­ример, ата­ка SSLsplit (под­мена сер­тифика­та) тоже воз­можна, но пот­ребу­ет от ата­кующе­го дос­таточ­ной лов­кости рук, что­бы очень быс­тро раз­резать про­вод, обжать его с двух сто­рон, а потом уже вкли­нить­ся посере­дине. Но такой спо­соб дос­таточ­но «гряз­ный» и бес­хитрос­тный, так что мы его не рас­смат­рива­ем.

Опи­сан­ный же метод с кро­кодиль­чиками тоже нель­зя наз­вать иде­аль­но «чис­тым», пос­коль­ку мы все же раз­реза­ем, пусть и слег­ка, внеш­нюю защиту витой пары. Хотя это никак не ска­зыва­ется на фун­кци­они­рова­нии про­вода и никаких обры­вов соеди­нения при гра­мот­ном исполне­нии этой манипу­ляции не слу­чает­ся.

Заключение

Опас­ность подоб­ного пас­сивно­го прос­лушива­ния тра­фика силь­но сни­жает­ся в эпо­ху пов­семес­тно­го исполь­зования SSL/TLS. Тем не менее ряд про­токо­лов по‑преж­нему исполь­зует откры­тую аутен­тифика­цию — это и всем извес­тные сетевые дис­ки, и FTP, и HTTP-Basic-аутен­тифика­ция на прок­си, и мно­гое дру­гое. И все это час­то встре­чает­ся в кор­поратив­ных сетях.

По­это­му сто­ит уде­лять вни­мание качес­твен­ной прок­ладке кабеля. В слу­чае если мы име­ем дело с ком­пани­ями, недопус­тимо раз­мещать откры­тые про­вода в некон­тро­лиру­емом мес­те. Так­же нелиш­ним было бы исполь­зовать короба, кабель‑каналы или скры­тую прок­ладку кабеля.

РЕКОМЕНДУЕМ:

ВКонтакте
OK
Telegram
WhatsApp
Viber

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *