web-dev-qa-db-fra.com

Des paquets reniflés, y a-t-il un moyen de rassembler le fichier?

J'aimerais savoir, au cas où un attaquant était porté capturer des paquets de mon trafic réseau, peut-il en tirer un dossier ou une chose facile à comprendre?

Je sais que le protocole TCP/IP utilise le TCP/UDP pour segmenter les fichiers (ou tout ce qui est envoyé) afin de l'envoyer via le réseau, de sorte que si le fichier est suffisamment important est segmenté à certains paquets. Si tout ce que vous pouvez obtenir de renifler n'est qu'une aiguille de texte à l'intérieur de la blob (autant que j'ai vu que les résultats de renifler), pourquoi se soucier de chiffrer le trafic de réseaux sans fil, il y a le SSL/TLS qui sont principalement utilisés pour chiffrer la première authentification (nom d'utilisateur/mot de passe), pourquoi chiffrer tout le trafic?

Ma principale préoccupation concerne la possibilité de créer un fichier à partir des paquets capturés, existe-t-il un moyen facile de le faire?

19
Hanan N.

Les paquets de capture produisent déjà un fichier de sortie (un fichier de capture, qui inclut le contenu du paquet, les informations de synchronisation, les en-têtes, etc. Si vous souhaitez séparer ces paquets en flux individuels, un programme comme Wireshark peut faire la recherche et le filtrage appropriés pour vous. Il peut même déchiffrer le trafic SSL/TLS si vous avez la clé de certification.

Si tout ce que vous voulez faire, c'est séparer le contenu des flux individuels TCP, un programme appelé TCPFlow le fera pour vous. Notez que ce faisant de sorte que de nombreuses données utiles, y compris la synchronisation, des en-têtes, etc. Mais il peut être très utile si vous avez beaucoup de trafic que vous souhaitez grep. Et sur le sujet du trafic de greffing, regardez NGREP pour rechercher le contenu du trafic en temps réel.

Et cela gratte à peine la surface de l'interception réseau, de l'analyse, de la modification et des outils associés.

16
tylerl

Si le Sniffer a tous les paquets que vous avez envoyés, il peut reconstruire toutes les données (fichiers, mails, peu importe) que vous avez envoyé, pour la simple raison qu'il a tout ce que le destinataire prévu a. Si le renifleur n'a que quelques paquets, il peut toujours reconstruire une partie de votre trafic - fichiers avec des trous, pour ainsi dire. Par exemple, s'il n'a que quelques-uns des paquets que vous avez reçus d'un serveur HTTP, il a des morceaux de fichier, sait dans quel ordre de les mettre, et a une idée approximative de combien il a manqué, car chaque TCP Paquet contient un numéro de séquence incrémenté de 1 pour chaque paquet successif, et TCP Les paquets ont des tailles différentes mais souvent avec pas beaucoup de variance.

Si la connexion est cryptée (par exemple, car il utilise SSL), le Sniffer ne voit que le CIPHERText. Donc, il sait qui vous communiquez et combien de données vous échangez (à l'exception des protocoles rares qui conservent la cible des paquets confidentiels à partir d'espionneurs, mais qui rend le routage difficile, cela n'est pas souvent fait).

Si vous avez un cryptage de travail sur un réseau sans fil, un écouteur qui n'a pas accès au réseau (c'est-à-dire que le mot de passe WIFI ou toute l'authentification est requis) pourrait toujours savoir combien de trafic que vous échangez, mais pas avec qui. Il y a donc un gain dans l'utilisation du cryptage WiFi, même si vous cryptez de toute façon au niveau de l'application. Un autre avantage du cryptage WiFi est qu'il ne fuit pas les données non cryptées telles que les demandes DNS, ce qui peut révéler plus d'informations sur votre réseau que vous ne vous souciez d'obtenir un écoute pour obtenir sans effort. Un autre avantage du cryptage WiFi est que quelqu'un pourrait vouloir suivre le trafic de votre réseau, que ce soit pour lisser votre bande passante ou pour commettre des actes illégaux qui vous seront retrouvés. Un troisième avantage est que si vous avez accidentellement laissé une application non sécurisée sur votre réseau local, le cryptage WiFi protégera cette application d'un attaquant externe sans accès physique à brancher son propre appareil.

En résumé, le cryptage WiFi fournit une protection significative contre les menaces externes. Notez que j'ai écrit "Cryptage WiFi de travail" ci-dessus: [~ # ~ # ~] wep [~ # ~] est célèbre cassé (prend juste quelques minutes à craquer), WPA2 va bien contre les attaquants externes. WEP et WPA (2) sont censés également assurer la protection contre les initiés, mais cet aspect est brisé: sous WPA2-PSK, la variante la plus courante (avec une seule clé secrète partagée), tout participant peut effectivement écouter et utiliser d'autres participants (voir tout avantage de sécuriser le WiFi avec un PSK, autre que de rester non autorisé et autres WPA2 questions).

Si un attaquant renifle le trafic, ils peuvent assembler tout ce qui était dans ces paquets. À titre d'exemple, essayez d'exécuter WireShark sur votre réseau tout en transférant un fichier entre deux ordinateurs.

La trace de paquets vous permettra de reconstruire l'intégralité du fichier. Très facilement!

Même si vous ne saisissez que 50% des paquets, cela vous fournira encore beaucoup d'informations.

Alors oui - cela devrait vous inquiéter, c'est facilement possible, et c'est pourquoi le cryptage est utilisé!

6
Rory Alsop

Y a-t-il un moyen facile de le faire?

Cela dépend, quels protocoles êtes-vous intéressé à renifler? Http, smtp, etc.

Avec les ID BRO, vous pouvez spécifier des types MIME que vous souhaitez avoir décodé du trafic HTTP et FTP. Il va ensuite jeter ces fichiers au disque, pour d'autres protocoles, il peut enregistrer le contenu du fichier, mais il sera mélangé avec le protocole de la couche d'application, cela peut ne pas être une grosse affaire pour vous.

Ce message de blog contient la plupart des informations que vous recherchez Sans.ed

6
Mark McDonagh