TTM4175: Etisk hacking Lab E5: Nettverkssniffing
Dagens program Forrige ukes lab Nettverk 101 Wireshark Linklaget Man-in-the-middle ARP-spoofing Oppsummering av kurset Kort om rapporten 2
Nettverk 101
Nettverk 101 TCP/IP-lagene Applikasjon Applikasjon Transport Transport Nettverk Link Applikasjon Transport
5 Nettverk 101 OSI-modellen
Nettverkslagene Applikasjon Transport Applikasjon Transport
Applikasjonslaget Applikasjon Transport HTTP (Web) Streaming (Netflix, etc,) P2P (BitTorrent) VoiP (Skype, Viber, Jitsi) FTP SMTP (mail) Applikasjon Transport
Transportlaget Applikasjon Transport TCP UDP Applikasjon Transport
Nettverkslaget Applikasjon Transport IPv4 IPv6 - Ruter Applikasjon Transport
Linklaget Applikasjon Transport Ethernet 802.11 (WiFi) 3G, 4G Bluetooth ADSL Fiber Applikasjon Transport - Switch
TCP/IP-stacken TCP/IP-lagene Typisk dataenkapsulering Applikasjon Epost Transport Nettverk Link Fysisk
TCP/IP-stacken TCP/IP-lagene Typisk dataenkapsulering Applikasjon Epost Transport Nettverk TCPheader Data Link Fysisk
TCP/IP-stacken TCP/IP-lagene Typisk dataenkapsulering Applikasjon Epost Transport Nettverk Link TCPheader IPheader Data Data Fysisk
TCP/IP-stacken TCP/IP-lagene Typisk dataenkapsulering Adressering Applikasjon Epost Applikasjonsavhenging Transport TCPheader Data Port Nettverk IPheader Data IP-adresse Link Data MACheader MACtrailer MAC-adresse Fysisk
Wireshark
Hvor er lagene implementert? Applikasjon Router Applikasjon Transport Transport Switch Fysisk
Linklaget Applikasjon Router Applikasjon Transport Transport Switch Fysisk
Linklaget Local Area Networks (LAN) Router Web server LAN 18
Linklaget switcher Switch Router Web server LAN 19
Linklaget aksesspunkt Aksesspunkt Router Web server LAN 20
Linklagsadressering MAC-adresser A0-A8-CD-57-22-63 00-05-9A-3C-7A-00
Linklagsadressering MAC-adresser 10.0.0.101 2B:69:B9:DA:36:8B 10.0.0.103 10.0.0.102 08:00:27:DA:D7:25 10.0.0.103 98:95:34:76:4D:9E 10.0.0.104 44:A7:39:BD:5E:62
Linklagsadressering MAC-adresser 10.0.0.101 2B:69:B9:DA:36:8B 10.0.0.103 10.0.0.102 08:00:27:DA:D7:25 10.0.0.103 98:95:34:76:4D:9E 10.0.0.104 44:A7:39:BD:5E:62
Linklagsadressering MAC-adresser 10.0.0.101 2B:69:B9:DA:36:8B 10.0.0.103 10.0.0.102 08:00:27:DA:D7:25 10.0.0.103 98:95:34:76:4D:9E 10.0.0.104 44:A7:39:BD:5E:62
Linklagsadressering MAC-adresser 10.0.0.101 2B:69:B9:DA:36:8B 10.0.0.103 10.0.0.102 08:00:27:DA:D7:25 10.0.0.103 98:95:34:76:4D:9E 10.0.0.104 44:A7:39:BD:5E:62 IP address MAC address 10.0.0.101 2B:69:B9:DA:36:8B 10.0.0.103 98:95:34:76:4D:9E
Linklagsadressering MAC-adresser 10.0.0.101 2B:69:B9:DA:36:8B 98:95:34:76:4D:9E 10.0.0.103 10.0.0.102 08:00:27:DA:D7:25 10.0.0.103 98:95:34:76:4D:9E 10.0.0.104 44:A7:39:BD:5E:62 IP address MAC address 10.0.0.101 2B:69:B9:DA:36:8B 10.0.0.103 98:95:34:76:4D:9E
Linklagsadressering MAC-adresser 10.0.0.101 2B:69:B9:DA:36:8B 98:95:34:76:4D:9E 10.0.0.103 10.0.0.102 08:00:27:DA:D7:25 10.0.0.103 98:95:34:76:4D:9E 10.0.0.104 44:A7:39:BD:5E:62 IP address MAC address 10.0.0.101 2B:69:B9:DA:36:8B 10.0.0.103 98:95:34:76:4D:9E
Address Resolution Protocol (ARP) 10.0.0.3 aa:aa:aa 10.0.0.1 ee:ee:ee 10.0.1.1 05:05:05 Internet 2 3 1 4 5 10.0.0.4 bb:bb:bb 10.0.0.2 20.5.5.42 dd:dd:dd 77:77:77 10.0.0.66 cc:cc:cc
Address Resolution Protocol (ARP) Who has IP 10.0.0.2? 10.0.0.3 aa:aa:aa 2 3 10.0.0.1 ee:ee:ee 1 10.0.1.1 05:05:05 Internet 4 5 10.0.0.4 bb:bb:bb MAC address Interface ee:ee:ee 1 bb:bb:bb 3 IP address MAC address 10.0.0.2 20.5.5.42 dd:dd:dd 77:77:77 10.0.0.66 cc:cc:cc
Address Resolution Protocol (ARP) 10.0.0.3 aa:aa:aa 10.0.0.1 ee:ee:ee 10.0.1.1 05:05:05 Internet 10.0.0.4 bb:bb:bb 2 3 1 4 5 dd:dd:dd has IP 10.0.0.2! MAC address Interface ee:ee:ee 1 bb:bb:bb 3 dd:dd:dd 5 IP address MAC address 10.0.0.2 dd:dd:dd 10.0.0.2 20.5.5.42 dd:dd:dd 77:77:77 10.0.0.66 cc:cc:cc
Address Resolution Protocol (ARP) 10.0.0.3 dd:dd:dd 10.0.0.2 Data aa:aa:aa 10.0.0.1 ee:ee:ee 10.0.1.1 05:05:05 Internet 2 3 1 4 5 10.0.0.4 bb:bb:bb IP address MAC address 10.0.0.2 dd:dd:dd MAC address Interface ee:ee:ee 1 bb:bb:bb 3 dd:dd:dd 5 10.0.0.2 20.5.5.42 dd:dd:dd 77:77:77 10.0.0.66 cc:cc:cc
Address Resolution Protocol (ARP) 10.0.0.3 dd:dd:dd 10.0.0.2 Data aa:aa:aa 10.0.0.1 ee:ee:ee 10.0.1.1 05:05:05 Internet 2 3 1 4 5 10.0.0.4 bb:bb:bb IP address MAC address 10.0.0.2 dd:dd:dd MAC address Interface ee:ee:ee 1 bb:bb:bb 3 dd:dd:dd 5 10.0.0.2 20.5.5.42 dd:dd:dd 77:77:77 10.0.0.66 cc:cc:cc
Address Resolution Protocol (ARP) Who has IP 10.0.0.1? 10.0.0.3 aa:aa:aa 2 3 10.0.0.1 ee:ee:ee 1 10.0.1.1 05:05:05 Internet 4 5 10.0.0.4 bb:bb:bb IP address MAC address 10.0.0.2 dd:dd:dd MAC address Interface ee:ee:ee 1 bb:bb:bb 3 dd:dd:dd 5 10.0.0.2 20.5.5.42 dd:dd:dd 77:77:77 10.0.0.66 cc:cc:cc
Address Resolution Protocol (ARP) 10.0.0.3 aa:aa:aa 10.0.0.1 ee:ee:ee 10.0.1.1 05:05:05 Internet 2 3 1 10.0.0.4 bb:bb:bb 4 5 ee:ee:ee has IP 10.0.0.1! MAC address Interface ee:ee:ee 1 bb:bb:bb 3 dd:dd:dd 5 IP address MAC address 10.0.0.2 dd:dd:dd 10.0.0.1 ee:ee:ee 10.0.0.2 20.5.5.42 dd:dd:dd 77:77:77 10.0.0.66 cc:cc:cc
Address Resolution Protocol (ARP)??:??:?? 20.5.5.42 Data 10.0.0.3 ee:ee:ee 20.5.5.42 Data aa:aa:aa 10.0.0.1 ee:ee:ee 10.0.1.1 05:05:05 Internet 2 3 1 4 5 10.0.0.4 bb:bb:bb IP address MAC address 10.0.0.2 dd:dd:dd 10.0.0.1 ee:ee:ee 10.0.0.2 20.5.5.42 dd:dd:dd MAC address Interface ee:ee:ee 1 bb:bb:bb 3 dd:dd:dd 5 77:77:77 10.0.0.66 cc:cc:cc
36 Nettverkssniffing man-in-the-middle
Nettverkssniffing man-in-the-middle
Nettverkssniffing man-in-the-middle
ARP-spoofing 10.0.0.3 aa:aa:aa 10.0.0.1 ee:ee:ee 10.0.1.1 05:05:05 Internet 2 3 1 4 5 10.0.0.4 bb:bb:bb IP address MAC address 10.0.0.2 dd:dd:dd 10.0.0.1 ee:ee:ee cc:cc:cc has IP 10.0.0.2! 10.0.0.2 20.5.5.42 dd:dd:dd MAC address Interface ee:ee:ee 1 bb:bb:bb 3 dd:dd:dd 5 cc:cc:cc 4 77:77:77 10.0.0.66 cc:cc:cc
ARP-spoofing 10.0.0.3 aa:aa:aa 10.0.0.1 ee:ee:ee 10.0.1.1 05:05:05 Internet 2 3 1 4 5 10.0.0.4 bb:bb:bb IP address MAC address 10.0.0.2 cc:cc:cc 10.0.0.1 ee:ee:ee cc:cc:cc has IP 10.0.0.2! 10.0.0.2 20.5.5.42 dd:dd:dd MAC address Interface ee:ee:ee 1 bb:bb:bb 3 dd:dd:dd 5 cc:cc:cc 4 77:77:77 10.0.0.66 cc:cc:cc
ARP-spoofing 10.0.0.3 cc:cc:cc 10.0.0.2 Data aa:aa:aa 10.0.0.1 ee:ee:ee 10.0.1.1 05:05:05 Internet 2 3 1 4 5 10.0.0.4 bb:bb:bb IP address MAC address 10.0.0.2 cc:cc:cc 10.0.0.1 ee:ee:ee 10.0.0.2 20.5.5.42 dd:dd:dd MAC address Interface ee:ee:ee 1 bb:bb:bb 3 dd:dd:dd 5 cc:cc:cc 4 77:77:77 10.0.0.66 cc:cc:cc
ARP-spoofing 10.0.0.3 cc:cc:cc 10.0.0.2 Data aa:aa:aa 10.0.0.1 ee:ee:ee 10.0.1.1 05:05:05 Internet 2 3 1 4 5 10.0.0.4 bb:bb:bb IP address MAC address 10.0.0.2 cc:cc:cc 10.0.0.1 ee:ee:ee 10.0.0.2 20.5.5.42 dd:dd:dd MAC address Interface ee:ee:ee 1 bb:bb:bb 3 dd:dd:dd 5 cc:cc:cc 4 77:77:77 10.0.0.66 cc:cc:cc
Oppsummering av kurset 1. Bli kjent med virtualisering, VirtualBox og Kali Linux 2. Omgå autentisering i Windows og Linux 3. Passordknekking 4. Installere malware og keyloggers 5. Nettverkssniffing 43
Andre sikkerhetsemner på NTNU TTM4135: Informasjonssikkerhet TTM4137: Informasjonssikkerhet i trådløse nett TTM4536: Etisk hacking, fordypningsemne TDT4237: Programvaresikkerhet TMA4155: Kryptografi, introduksjon TMA4160: Kryptografi TDT4186: Operativsystemer 44
Rapporten Leveres på it's learning. Kort beskrivelse av hva dere oppnådde i hver lab, og hvorfor. Hva var den underliggende svakheten dere utnyttet? Hva var den overordnede teknikken dere benyttet? IKKE repeter terminalkommandoer jeg vet hva dere gjorde! Svar på spørsmål. Meningen at dere skal vise hva dere har forstått. Utdyp! Ikke Ja/Nei svar. Kort konklusjon. Gi en tilbakemelding på kurset (både forelesning og lab). Påvirker IKKE vurderingen av rapporten. 45
Bilder "Osi model trad". Licensed under Public domain via Wikipedia - http://en.wikipedia.org/wiki/file:osi_model_trad.jpg#mediaviewer/file:osi_model_trad.jpg 46