Dsniff - это набор программ, позволяющих осуществлять пассивные атаки и анализ TCP-сессий. Некоторые функции, как, например, webmitm и sshmitm, позволяют этому инструментарию работать в «двойном режиме работы», организуя атаки типа MITM на SSH1- и SSL-соединения. «Двойному режиму работы» предшествует имитация соединения (спуфинг) службы имен доменов DNS (см. ранее расположенный пункт «Перехват пользовательского протокола данных UDP») с помощью программы dnsspoof. Имитация соединения выполняется для введения в заблуждение участвующего в соединении хоста, заставляя его полагать, что он установил соединение именно с тем хостом, к которому предполагалось подсоединиться при помощи протокола защищенной передачи гипертекстов HTTPS или же SSH-соединения.

Например, после добавления в хост-файл программы dnsspoof новой записи за строчкой описания домена SSL, который злоумышленник хочет обмануть, компонента webmitm пересылает пользователю ей же самой подписанный сертификат, ретранслируя анализируемый трафик легитимному домену. Через машину злоумышленника посылается ответ легитимного домена хосту, который выдал запрос на сетевое соединение. Вся последующая передача данных по этому каналу также выполняется через машину злоумышленника.

Типичное содержимое хост-файла (host file) программы dnsspoof выглядит примерно 192.168.1.103 *.hotmail.com 192.168.1.103 *.anybank.com

Атаки типа mitm | Защита от хакеров корпоративных сетей | Другие разновидности перехвата


Защита от хакеров корпоративных сетей



Новости за месяц

  • Июнь
    2019
  • Пн
  • Вт
  • Ср
  • Чт
  • Пт
  • Сб
  • Вс