Hej Studencie!
Przygotujmy się razem do labu z packet sniffing i spoofing. To ważny temat w bezpieczeństwie sieciowym!
Podstawy Packet Sniffing
Packet sniffing, czyli przechwytywanie pakietów, to proces monitorowania ruchu sieciowego.
Używamy do tego specjalnych narzędzi.
Wireshark jest bardzo popularny. Słyszałeś o nim?
Pozwala na analizę danych przepływających w sieci.
Promiscuous mode to tryb karty sieciowej. W tym trybie karta przechwytuje wszystkie pakiety, a nie tylko te adresowane do niej.
Jak działa Wireshark?
Wireshark przechwytuje pakiety.
Następnie analizuje ich zawartość.
Możemy filtrować pakiety według różnych kryteriów, np. adres IP, port, protokół.
Filtrowanie pomaga skupić się na interesujących nas danych.
Na przykład, możemy filtrować pakiety HTTP, aby zobaczyć zawartość stron internetowych.
Pamiętaj o etyce. Packet sniffing bez zgody jest nielegalny!
ARP Spoofing – Atak na Sieć
ARP spoofing to atak, w którym napastnik wysyła fałszywe wiadomości ARP (Address Resolution Protocol).
Celem jest powiązanie adresu MAC atakującego z adresem IP ofiary.
W efekcie, ruch sieciowy ofiary jest przekierowywany do atakującego.
Atakujący może podsłuchiwać komunikację lub ją modyfikować.
ARP to protokół, który tłumaczy adresy IP na adresy MAC.
Komputery w sieci używają ARP do znalezienia adresu MAC urządzenia o danym adresie IP.
Przebieg Ataku ARP Spoofing
Atakujący wysyła fałszywe wiadomości ARP do ofiary i routera.
Wiadomości te informują, że adres IP routera odpowiada adresowi MAC atakującego (dla ofiary) i adres IP ofiary odpowiada adresowi MAC atakującego (dla routera).
Ofiara i router aktualizują swoje tablice ARP z fałszywymi informacjami.
Od tego momentu ruch sieciowy przeznaczony dla ofiary przechodzi przez atakującego.
Atakujący może użyć narzędzi, takich jak ettercap lub arpspoof.
Obrona przed ARP Spoofing
Statyczne wpisy ARP w tablicach ARP mogą pomóc.
Jednak zarządzanie nimi jest trudne.
ARP spoofing detection tools mogą wykrywać anomalie w ruchu ARP.
Używanie HTTPS dla bezpiecznej komunikacji jest bardzo ważne. Uniemożliwia przechwycenie danych.
Dynamic ARP Inspection (DAI) na przełącznikach to kolejna metoda obrony.
DNS Spoofing – Fałszywe Strony
DNS spoofing, znany też jako DNS poisoning, to atak, w którym napastnik podmienia adres IP związany z daną domeną w serwerze DNS.
W efekcie, użytkownik próbujący wejść na daną stronę, zostaje przekierowany na fałszywą stronę kontrolowaną przez atakującego.
DNS (Domain Name System) tłumaczy nazwy domen (np. google.com) na adresy IP (np. 172.217.160.142).
Jak działa DNS Spoofing?
Atakujący wysyła fałszywe odpowiedzi DNS na zapytania o tłumaczenie nazwy domeny.
Jeśli atakujący wyśle odpowiedź szybciej niż prawdziwy serwer DNS, jego fałszywa odpowiedź zostanie zaakceptowana.
Użytkownik zostanie przekierowany na fałszywą stronę.
Atakujący może użyć narzędzi, takich jak ettercap lub metasploit.
Obrona przed DNS Spoofing
DNSSEC (Domain Name System Security Extensions) to zestaw rozszerzeń do protokołu DNS, który zapewnia autentyczność odpowiedzi DNS.
Sprawdzaj certyfikaty SSL/TLS stron internetowych. Upewnij się, że certyfikat jest ważny i pochodzi z zaufanego źródła.
Używaj zaufanych serwerów DNS. Publiczne serwery DNS, takie jak Cloudflare (1.1.1.1) lub Google DNS (8.8.8.8), są często lepiej zabezpieczone.
Regularnie aktualizuj oprogramowanie. Aktualizacje często zawierają poprawki bezpieczeństwa, które chronią przed atakami DNS spoofing.
Podsumowanie
Pamiętaj:
- Packet sniffing to przechwytywanie pakietów.
- ARP spoofing to atak na tablicę ARP.
- DNS spoofing to przekierowanie na fałszywe strony.
Używaj Wireshark do analizy pakietów.
Zabezpieczaj sieć przed atakami spoofing.
Powodzenia na egzaminie!
