Tegenwoordig wordt het gebruik van internet steeds frequenter en belangrijker voor veel mensen, omdat we dankzij deze verbinding toegang hebben tot verschillende platforms zoals e-mail, bedrijfspagina's, interessante sites of entertainment en in het algemeen alles wat internet biedt ons.
Het is echter erg belangrijk dat we rekening houden met netwerkbeveiliging. We weten dat een hoog percentage aanvallen op informatieapparatuur via het netwerk wordt gedaan en vaak is het onze schuld (slechte wachtwoorden, downloaden van onbekende bestanden, openen van uitvoerbare bestanden in e-mails), maar als u niet over de basiskennis beschikt van hoe het netwerk werkt u kunt (als u dat nog niet bent geweest) nog een slachtoffer zijn van dit type aanval.
Het internet is echt een gigantisch web van protocollen, diensten en infrastructuur waarmee netwerkconnectiviteit overal kan worden vervoerd en meer dan 90% van ons heeft gehoord van TCP / IP, HTTP, SMTP, enz.
Dit zijn allemaal protocollen die een sleutelrol spelen in de manier waarop het netwerk uw pc of apparaat bereikt, maar daarachter zitten routers en andere componenten die, als ze falen, twee dingen gebeuren, of u krijgt geen toegang tot het netwerk. je bent vatbaar voor aanvallen. Dat is de reden waarom de ontwikkelaars van netwerk- en netwerkproducten zich hebben ingespannen om applicaties te maken die we kennen als Sniffers en netwerkanalysatoren en hoewel ze over het algemeen erg technisch zijn, is de waarheid dat het een waardevol hulpmiddel is om te bepalen op welk communicatiepunt een fout kan optreden.
Wat is een snuffelaar?Een Sniffer of netwerkanalysator zijn zowel hardware- als softwarehulpprogramma's die zijn ontwikkeld met als doel een constante monitoring van het lokale of externe netwerkverkeer te genereren. Deze tracking is in feite verantwoordelijk voor het analyseren van de datapakketstromen die worden verzonden en ontvangen tussen de computers op het netwerk, zowel intern als extern.
Het gebruikt een volgmodus genaamd "promiscue modus" waarmee het ons de mogelijkheid geeft om alle pakketten te onderzoeken, ongeacht hun bestemming. Dit kan enige tijd duren, maar het is essentieel om met zekerheid te weten wat er door ons netwerk gaat.
We kunnen een Sniffer op twee verschillende manieren configureren, afhankelijk van de ondersteuningsvereiste, deze modi zijn:
- We kunnen het configureren zonder filter, zodat de tool alle beschikbare pakketten vangt en er een record van opslaat op de lokale harde schijf om ze later te analyseren.
- Het kan worden geconfigureerd met een specifiek filter dat ons de mogelijkheid geeft om pakketten vast te leggen op basis van de criteria die we vóór de zoekopdracht specificeren.
Sniffers of netwerkanalysatoren kunnen zowel in een LAN- als in een Wi-Fi-netwerk worden gebruikt. Het belangrijkste verschil is dat als het in een LAN-netwerk wordt gebruikt, we toegang hebben tot de pakketten van alle aangesloten apparatuur. Of u kunt een beperking instellen op basis van de netwerkapparaten, in het geval van gebruik van een draadloos netwerk, kan de netwerkanalysator slechts één kanaal tegelijk scannen vanwege de netwerkbeperking, maar als we meerdere draadloze interfaces gebruiken, kan dit een beetje verbeteren, maar het is altijd beter om het op een bekabeld of LAN-netwerk te gebruiken.
Wanneer we de pakketten traceren met behulp van een Sniffer of een netwerkanalysator, hebben we toegang tot details zoals:
- Informatie van de bezochte sites
- Inhoud en ontvanger van verzonden en ontvangen e-mails
- Bekijk gedownloade bestanden en nog veel meer details
Het belangrijkste doel van een Sniffer is om alle pakketten op het netwerk te analyseren, met name inkomend verkeer, om te zoeken naar elk object waarvan de inhoud kwaadaardige code bevat en op deze manier de beveiliging in de organisatie te vergroten door te voorkomen dat elk type apparaat op een client wordt geïnstalleerd computer malware.
Als we een beetje weten hoe de netwerkanalysator werkt, gaan we enkele van de beste netwerkanalysatoren of Sniffer kennen die beschikbaar zijn voor Windows en Linux.
Wireshark
Als u op enig moment hebt geprobeerd een netwerkanalyse uit te voeren zonder twijfel dat u WireShark hebt gezien of aanbevolen als een van de beste oplossingen en het niet onredelijk is om erover na te denken, is de reden eenvoudig, WireShark heeft zichzelf gepositioneerd als een van de meest gebruikte netwerkprotocolanalysatoren door miljoenen mensen ter wereld, niet alleen dankzij het gebruiksgemak, maar ook dankzij de ingebouwde functies.
KenmerkenOnder de kenmerken ervan benadrukken we het volgende:
- Het kan soepel worden uitgevoerd op systemen zoals Windows, Linux, macOS, Solaris, FreeBSD, NetBSD en meer.
- Het integreert een krachtige analyse voor VoIP.
- Het kan een diepgaande inspectie van meer dan 100 protocollen uitvoeren.
- Het kan live-opname en offline analyse van netwerkpakketten uitvoeren.
- Het ondersteunt lees- en schrijfformaten zoals tcpdump (libpcap), Pcap NG, Catapult DCT2000, Cisco Secure IDS iplog, Microsoft Network Monitor, Network General Sniffer® (gecomprimeerd en ongecomprimeerd), Sniffer® Pro en NetXray®, Network Instruments Observer, NetScreen snoop, Novell LANalyzer, RADCOM WAN / LAN Analyzer, Shomiti / Finisar Surveyor, Tektronix K12xx, Visual Networks Time Up Visual, WildPackets EtherPeek / TokenPeek / AiroPeek en meer.
- De gegevens die live worden vastgelegd kunnen worden uitgelezen van platforms zoals Ethernet, IEEE 802.11, PPP/HDLC, ATM, Bluetooth, USB, Token Ring, Frame Relay, FDDI wat ons een breed scala aan toegangsmogelijkheden geeft.
- De netwerkgegevens die worden vastgelegd, kunnen worden onderzocht met behulp van een grafische interface (GUI) of via Tshark in TTY-modus.
- Ondersteunt het decoderen van meerdere protocollen zoals IPsec, ISAKMP, Kerberos, SNMPv3, SSL / TLS, WEP en WPA / WPA2
- We kunnen kleurregels implementeren voor een beter beheer van de verkregen gegevens.
- Resultaten kunnen worden geëxporteerd naar XML, PostScript®, CSV of platte tekst (CSV)
De download is beschikbaar via de volgende link:
Daar kunnen we het uitvoerbare bestand voor Windows 10 downloaden en in het geval van Linux kunnen we de broncode downloaden of de volgende opdrachten in de terminal uitvoeren:
sudo apt update sudo apt install wireshark sudo usermod -aG wireshark $ (whoami) sudo rebootEenmaal geïnstalleerd in Windows 10 of Linux, zullen we op het moment van uitvoering de netwerkadapter selecteren om te analyseren en dan zullen we het volgende zien:
Op Windows 10
Zodra we het proces willen stoppen, klikt u op Stop en we kunnen de respectieve resultaten zien die we in meer detail kunnen definiëren vanuit de beschikbare menu's:
LinuxIn het geval van Linux zullen we het volgende zien:
EtherApe
Dit is een exclusief hulpprogramma voor UNIX-systemen, omdat het alleen kan worden uitgevoerd op besturingssystemen zoals:
- Arch Linux
- Mageia 6
- CENTOS 7
- Fedora 24, 25, 26, 27, 28 en 29
- WetenschappelijkLinux 7
- SLES 12, 12 SP1 en 12 SP3
- OpenSUSE 13.2, Leap 42.1 / 42.2 / 42.3 en Tumbleweed / Factory.
KenmerkenEnkele van de meest opvallende kenmerken zijn:
- Zowel het knooppunt als de linkkleur markeren het meest actieve protocol op het netwerk.
- We kunnen het niveau van de te filteren protocollen selecteren.
- Het gebruikte netwerkverkeer wordt grafisch weergegeven voor een beter begrip van de details.
- Ondersteunt protocollen zoals ETH_II, 802.2, 803.3, IP, IPv6, ARP, X25L3, REVARP, ATALK, AARP, IPX, VINES, TRAIN, LOOP, VLAN, ICMP, IGMP, GGP, IPIP, TCP, EGP, PUP, UDP, IDP, TP, ROUTING, RSVP, GRE, ESP, AH, EON, VINES, EIGRP, OSPF, ENCAP, PIM, IPCOMP, VRRP;
- Ondersteunt TCP- en UDP-services, TELNET, FTP, HTTP, POP3, NNTP, NETBIOS, IRC, DOMAIN, SNMP en meer.
- Het ondersteunt het gebruik van een netwerkfilter door de syntaxis van pcap te gebruiken.
- Het maakt het mogelijk om het netwerk van end-to-end IP of poort tot poort TCP te analyseren.
- Gegevens kunnen offline worden vastgelegd.
- De verzamelde gegevens kunnen worden uitgelezen van Ethernet-, FDDI-, PPP-, SLIP- en WLAN-interfaces.
- Toont de verkeersstatistieken per knooppunt.
- Met EtherApe wordt de naamomzetting uitgevoerd met behulp van standaard libc-functies, dit betekent dat het DNS, hostbestanden en andere services ondersteunt.
- De resultaten kunnen worden geëxporteerd naar een XML-bestand.
Om dit hulpprogramma in Linux te installeren, moeten we het volgende uitvoeren:
sudo apt-get update sudo apt-get install etherapeNa installatie hebben we toegang tot het hulpprogramma door het volgende uit te voeren:
sudo etherapeHierdoor wordt EtherApe uitgevoerd vanaf de terminal en wordt de grafische interface van de app automatisch weergegeven:
VERGROTEN
Daar zullen we een menu hebben waar het mogelijk zal zijn om filters of regels toe te passen.
Tcpdump
Dit is een hulpprogramma voor Linux-systemen dat zowel inkomend als uitgaand netwerkverkeer vastlegt en deze applicatie kan worden geïnstalleerd op Unix / Linux-besturingssystemen omdat het de libpcap-bibliotheek heeft om het proces van het vastleggen van verkeer van het geselecteerde netwerk uit te voeren.
Om het te installeren, voert u het volgende uit in de terminal:
sudo apt install tcpdumpParameters:Enkele van de te gebruiken parameters zijn:
- -A: Druk elk pakket af (exclusief de kop op het linkniveau) in ASCII.
- -b: Druk het AS-nummer af in BGP-pakketten in ASDOT-notatie in plaats van ASPLAIN-notatie.
- -B buffer_size, --buffer-size = buffer_size: Hiermee kunt u de grootte van de opnamebuffer definiëren in buffer_size, in KiB-eenheden (1024 bytes).
- -c count: verlaat de opdracht na ontvangst van netwerkpakketten.
- -C file_size: controleer of het bestand groter is dan de oorspronkelijke bestandsgrootte.
- -d: Dump de gecompileerde pakketcode in een voor mensen leesbare vorm.
- -dd: Dump de pakketcode als een C-programmafragment.
- -D --list-interfaces: Druk de lijst met beschikbare interfaces af.
- -e: druk de koptekst op het koppelingsniveau af.
- -E: Gebruik spi @ ipaddr om ESP IPsec-pakketten te decoderen.
- -f: druk de IPv4-adressen af.
- -F-bestand: Hiermee kunnen we een filterbestand selecteren.
- -h -help: Help voor de opdracht afdrukken.
- --version: Toon de gebruikte versie van tcpdump.
- -i interface --interface = interface: Hiermee kunnen we de interface selecteren die moet worden geanalyseerd voor het vastleggen van pakketten.
- -I --monitor-mode: Activeer de interface in "monitor mode"; die alleen compatibel is met IEEE 802.11 Wi-Fi-interfaces en sommige besturingssystemen.
Kismet
Kismet is een eenvoudig hulpprogramma dat meer gericht is op draadloze netwerken, maar waardoor we het verkeer van verborgen netwerken of SSID's die niet zijn verzonden, kunnen analyseren, we kunnen het gebruiken in UNIX-, Windows Under Cygwin- en OSX-systemen.
Kismet werkt volledig op Wi-Fi-interfaces, Bluetooth, SDR-hardware (softwaregedefinieerde radio-softwaregedefinieerde radio) en gespecialiseerde opnamehardware.
KenmerkenOnder zijn kenmerken vinden we:
- Hiermee kunt u de standaardgegevens in JSON exporteren om te helpen bij het scripten voor uw Kismet-instanties.
- Het integreert een webgebaseerde gebruikersinterface.
- Ondersteuning voor draadloze protocollen.
- Het heeft een nieuwe remote capture-code die is geoptimaliseerd voor binaire grootte en RAM, dit vergemakkelijkt het gebruik van geïntegreerde apparaten om pakketten op het netwerk vast te leggen.
- Het heeft een recordformaat dat complexe informatie over de apparaten, systeemstatus, waarschuwingen en meer parameters kan garanderen.
We kunnen de installatie uitvoeren met het volgende commando:
sudo apt install kismetIn de volgende link vindt u meer opties om kismet te installeren:
NetworkMiner
Dit is een hulpprogramma voor forensische netwerkanalyse (NFAT - Network Forensic Analysis Tool) dat is gebaseerd op open source voor Windows-, Linux-, macOS- en FreeBSD-systemen. Wanneer we deze tool installeren, kunnen we een volledige netwerkscan uitvoeren om alle pakketten vast te leggen en daarmee besturingssystemen, sessies, hostnamen, enz. te detecteren voor een volledig beheer van deze variabelen.
KenmerkenEnkele van de meest opvallende kenmerken zijn:
- We kunnen PCAP-bestanden analyseren voor offline analyse.
- Het wordt mogelijk om een geavanceerde netwerkverkeersanalyse (NTA) uit te voeren.
- Uitvoering in realtime.
- Ondersteunt IPv6-adressering.
- Het is mogelijk om bestanden uit FTP-, TFTP-, HTTP-, SMB-, SMB2-, SMTP-, POP3- en IMAP-verkeer te halen
- Ondersteunt SSL, HTTPS, SMTPS, IMAPS, POP3S, FTPS en meer encryptie
- GRE, 802.1Q, PPPoE, VXLAN, OpenFlow, SOCKS, MPLS en EoMPLS de-encapsulatie
De download is beschikbaar via de volgende link:
Stap 1
Voor het juiste gebruik van NetworkMiner zal het nodig zijn om eerst een inkomende regel aan te maken in de Windows 10 Firewall:
VERGROTEN
Stap 2
Hierna moeten we het hulpprogramma als beheerder uitvoeren om toegang te krijgen tot de scan van computers op het netwerk en daar de verschillende opties selecteren:
VERGROTEN
Stap 3
Bij het selecteren van een host kunnen we de geladen elementen zien in de respectievelijke tabbladen:
VERGROTEN
Microsoft Message Analyzer
Zoals je misschien al vermoedt uit de naam, is dit een exclusief Windows 10-hulpprogramma dat door Microsoft is ontwikkeld om taken uit te voeren zoals het vastleggen, weergeven en analyseren van het verkeer van protocolberichten en andere berichten van het besturingssysteem, naast dit wanneer we gebruiken Dit hulpprogramma kan gegevens uit de logbestanden en netwerktracking importeren, toevoegen of analyseren.
Sommige van zijn functies zijn:
- Live gegevens vastleggen
- Laad gegevens uit meerdere gegevensbronnen tegelijk
- Toon traceer- of loggegevens
- Verschillende weergave-opties en meer
Stap 1
De gratis download is beschikbaar via de volgende link:
Stap 2
Eenmaal uitgevoerd zullen we de volgende omgeving zien (deze moet worden uitgevoerd als beheerder):
VERGROTEN
Stap 3
Daar is het mogelijk om kleurregels vast te stellen, kolommen toe te voegen, filters in te stellen en andere, wanneer we een van de regels onderaan selecteren, vinden we er meer specifieke details over:
VERGROTEN
Windump
Windump is de versie van Tcpdump voor Windows-omgevingen, aangezien Windump compatibel is met Tcpdump en we het kunnen installeren om netwerkverkeer te bekijken, diagnosticeren of als we netwerkverkeer willen besparen door het gebruik en de implementatie van regels.
WinDump legt netwerkverkeer vast via de WinPcap-bibliotheek en stuurprogramma's, dus we moeten WinPcap eerst gratis downloaden via de volgende link:
Dan kunnen we Windump downloaden via de volgende link:
Wanneer het wordt uitgevoerd, wordt een opdrachtpromptconsole geopend en daar kunnen we de interface definiëren met de -i-parameter:
WinDump.exe -i 1
VERGROTEN
Capsa Netwerkanalysator
Het is beschikbaar in een gratis versie en een betaalde versie met meer functionaliteiten, maar beide stellen ons in staat om netwerkanalysetaken uit te voeren die elk inkomend en uitgaand pakket bewaken, evenals de gebruikte protocollen, dit zal van groot nut zijn om fouten te corrigeren en een gedetailleerde analyse van het netwerk.
In de gratis versie is het mogelijk om:
- Bewaak maximaal 10 IP-adressen op het geselecteerde netwerk.
- Maximaal 4 uur duur per sessie.
- We kunnen waarschuwingen ontvangen van netwerkadapters.
- Hiermee kunt u de resultaten opslaan en exporteren.
Eenmaal gedownload en uitgevoerd, is dit de omgeving die door het hulpprogramma wordt aangeboden:
VERGROTEN
Daar zullen we een grafische weergave van netwerkverkeer hebben en in het bovenste gedeelte zullen we verschillende tools hebben voor het filteren en controleren van netwerkpakketten.
Netcat
Netcat is een geïntegreerd commando in Windows- en Linux-systemen waardoor het mogelijk zal zijn om gegevens te lezen en te schrijven met behulp van het TCP / IP-protocol in de verschillende netwerkverbindingen, het kan onafhankelijk of met andere apps worden gebruikt als hulpprogramma voor lokale of externe netwerkverkenning en foutopsporing.
Onder zijn functies vinden we:
- Geïntegreerd in het systeem zelf
- Uitgaande en inkomende verbindingen vastleggen
- Heeft ingebouwde poortscanmogelijkheden
- Het heeft geavanceerde functies
- Kan RFC854 en telnet-codes scannen
We kunnen bijvoorbeeld de volgende regel uitvoeren:
netcat -z -v solvetic.com 15-30Dit zal poorten 15 tot en met 30 lezen om weer te geven welke open zijn en welke niet:
De variabele -z wordt gebruikt voor scandoeleinden (Zero Mode) en de parameter -v (uitgebreid) geeft de informatie leesbaar weer.
Er zijn extra parameters die we kunnen gebruiken, zoals:
- -4: Geeft de IPv4-adressen weer
- -6: Ondersteunt IPv6-adressen
- -b: Ondersteunt uitzending
- -D: foutopsporingsmodus inschakelen
- -h: Toont de opdracht help
- -i Interval: hiermee kan een tijdsinterval tussen regels worden toegepast
- -l: luistermodus inschakelen
- -n: Onderdruk naam of poortresolutie
- -r: externe poorten optimaliseren
We hebben gezien dat de verschillende opties van netwerkanalysatoren en Sniffer beschikbaar zijn voor Windows en Linux waarmee we de resultaten van onze ondersteunings- en controletaken kunnen vergroten.