Говорят, что слушать нехорошо. Однако прослушивание сетевого трафика для многих является не хобби, а настоящей профессией. Почему-то считается, что для этого нужно специальное дорогостоящее оборудование, но я расскажу, как организовать прослушивание трафика в сети обычными терминалами-крокодилами.
Информация
Эта статья является частью серии статей о хакерстве и хакерских практиках в домашних условиях. В этих материалах мы раскрываем простые способы получения несанкционированного доступа к защищенной информации и показываем, как защитить ее от подобных атак. Предыдущая статья из серии: атака с холодной загрузкой. Сброс оперативной памяти с помощью флешки.
Это довольно красивая по своей простоте и оригинальности атака, заключающаяся в полудуплексном прослушивании трафика по витой паре RJ45. Это означает, что прослушивается только половина входящего или исходящего трафика.
Обнюхивание витой пары — тема не новая, но актуальная и сегодня из-за крайней распространенности: несмотря на то, что «оптика» сейчас повсеместно распространена, старая добрая витая пара до сих пор встречается практически в каждом подъезде или коридоре офиса. Здание. В жилых домах можно встретить такие провода, протянутые почти к каждой квартире. А иногда это выглядит так.
Таким образом, ваш домашний трафик, как мы увидим далее, достаточно легко прослушивается. Да и в современных офисах тоже часто можно встретить витые пары.
Другими словами, атака может осуществляться из места, где есть беспрепятственный доступ к витой паре: коридор офисного здания или самый обычный подъезд.
Чаще всего витая пара встречается на «последней миле», прямо рядом с абонентскими устройствами. А вот между домами, территориальными отделениями компаний, то есть на большие расстояния, скорее всего, будет использоваться оптика, так что, конечно, прослушать весь дом, компанию или даже город не получится.
теория
Провод RJ45 состоит из четырех пар жил, отличающихся по цвету. Каждая пара представляет собой два провода, скрученных вместе.
У каждой пары своя роль:
- зеленый — прием данных;
- оранжевый — передача данных;
- Коричневый — PoE-, данные 1000 Мбит/с;
- Синий — PoE+, данные 1000 Мбит/с.
Входящий и исходящий сетевой трафик проходит через определенную пару ядер, а сами байты кодируются простым изменением характеристик электрического сигнала в них.
Оборудование
Для реализации атаки нам понадобится обычная сетевая карта Ethernet и сегмент витой пары, состоящий всего из двух ядер. Такой провод можно сделать самостоятельно, купив в специализированном магазине, а можно доработать готовый патч-корд.
Нас будет интересовать только пара RX (первое и второе ядра), реализованная в виде обычного разъема RJ45, как показано на следующем рисунке.
С противоположной стороны соединяем первое и второе сердце самыми обычными крокодильчиками. В результате получается провод, показанный на следующем рисунке.
В данном случае белый аллигатор — это положительный контакт, а черный — отрицательный. Подключим этот модифицированный провод напрямую к сетевой карте злоумышленника.
Эксплуатация
Прослушивание самого трафика реализовано подключением тех самых крокодилов либо к оранжевой, либо к зеленой паре, как показано на следующем рисунке.
Russian
Arabic
Chinese (Simplified)
Dutch
English
French
German
Italian
Portuguese
Spanish