• Пт. Янв 27th, 2023

Крококрэк. Снимаем трафик с витой пары обычными «крокодилами»

Крококрэк.  Снимаем трафик с витой пары обычными «крокодилами»

Говорят, что слушать нехорошо. Однако прослушивание сетевого трафика для многих является не хобби, а настоящей профессией. Почему-то считается, что для этого нужно специальное дорогостоящее оборудование, но я расскажу, как организовать прослушивание трафика в сети обычными терминалами-крокодилами.

Информация

Эта статья является частью серии статей о хакерстве и хакерских практиках в домашних условиях. В этих материалах мы раскрываем простые способы получения несанкционированного доступа к защищенной информации и показываем, как защитить ее от подобных атак. Предыдущая статья из серии: атака с холодной загрузкой. Сброс оперативной памяти с помощью флешки.

Это довольно красивая по своей простоте и оригинальности атака, заключающаяся в полудуплексном прослушивании трафика по витой паре RJ45. Это означает, что прослушивается только половина входящего или исходящего трафика.

Обнюхивание витой пары — тема не новая, но актуальная и сегодня из-за крайней распространенности: несмотря на то, что «оптика» сейчас повсеместно распространена, старая добрая витая пара до сих пор встречается практически в каждом подъезде или коридоре офиса. Здание. В жилых домах можно встретить такие провода, протянутые почти к каждой квартире. А иногда это выглядит так.

Витая пара в незащищенном месте (вход)

Таким образом, ваш домашний трафик, как мы увидим далее, достаточно легко прослушивается. Да и в современных офисах тоже часто можно встретить витые пары.

Витая пара в неохраняемом месте (офис)
Витая пара в неохраняемом месте (офис)

Другими словами, атака может осуществляться из места, где есть беспрепятственный доступ к витой паре: коридор офисного здания или самый обычный подъезд.

Чаще всего витая пара встречается на «последней миле», прямо рядом с абонентскими устройствами. А вот между домами, территориальными отделениями компаний, то есть на большие расстояния, скорее всего, будет использоваться оптика, так что, конечно, прослушать весь дом, компанию или даже город не получится.

ЧИТАТЬ   В роутерах Netcomm и TP-Link обнаружены опасные баги

теория

Провод RJ45 состоит из четырех пар жил, отличающихся по цвету. Каждая пара представляет собой два провода, скрученных вместе.

Технический паспорт разъема RJ45
Спецификация RJ45-коннектора

У каждой пары своя роль:

  • зеленый — прием данных;
  • оранжевый — передача данных;
  • Коричневый — PoE-, данные 1000 Мбит/с;
  • Синий — PoE+, данные 1000 Мбит/с.

Входящий и исходящий сетевой трафик проходит через определенную пару ядер, а сами байты кодируются простым изменением характеристик электрического сигнала в них.

Оборудование

Для реализации атаки нам понадобится обычная сетевая карта Ethernet и сегмент витой пары, состоящий всего из двух ядер. Такой провод можно сделать самостоятельно, купив в специализированном магазине, а можно доработать готовый патч-корд.

Нас будет интересовать только пара RX (первое и второе ядра), реализованная в виде обычного разъема RJ45, как показано на следующем рисунке.

Спецификация провода атакующего
Даташит провода атуукающее

С противоположной стороны соединяем первое и второе сердце самыми обычными крокодильчиками. В результате получается провод, показанный на следующем рисунке.

Правило атакующего
Атакующий провод

В данном случае белый аллигатор — это положительный контакт, а черный — отрицательный. Подключим этот модифицированный провод напрямую к сетевой карте злоумышленника.

Эксплуатация

Прослушивание самого трафика реализовано подключением тех самых крокодилов либо к оранжевой, либо к зеленой паре, как показано на следующем рисунке.

Соединение по витой паре
Соединение по витой паре

Source