TTM4175: Etisk hacking. Lab E5: Nettverkssniffing

TTM4175: Etisk hacking Lab E5: Nettverkssniffing

Dagens program Forrige ukes lab Nettverk 101 Wireshark Linklaget Man-in-the-middle ARP-spoofing Oppsummering av kurset Kort om rapporten 2

Nettverk 101

Nettverk 101 TCP/IP-lagene Applikasjon Applikasjon Transport Transport Nettverk Link Applikasjon Transport

5 Nettverk 101 OSI-modellen

Nettverkslagene Applikasjon Transport Applikasjon Transport

Applikasjonslaget Applikasjon Transport HTTP (Web) Streaming (Netflix, etc,) P2P (BitTorrent) VoiP (Skype, Viber, Jitsi) FTP SMTP (mail) Applikasjon Transport

Transportlaget Applikasjon Transport TCP UDP Applikasjon Transport

Nettverkslaget Applikasjon Transport IPv4 IPv6 - Ruter Applikasjon Transport

Linklaget Applikasjon Transport Ethernet 802.11 (WiFi) 3G, 4G Bluetooth ADSL Fiber Applikasjon Transport - Switch

TCP/IP-stacken TCP/IP-lagene Typisk dataenkapsulering Applikasjon Epost Transport Nettverk Link Fysisk

TCP/IP-stacken TCP/IP-lagene Typisk dataenkapsulering Applikasjon Epost Transport Nettverk TCPheader Data Link Fysisk

TCP/IP-stacken TCP/IP-lagene Typisk dataenkapsulering Applikasjon Epost Transport Nettverk Link TCPheader IPheader Data Data Fysisk

TCP/IP-stacken TCP/IP-lagene Typisk dataenkapsulering Adressering Applikasjon Epost Applikasjonsavhenging Transport TCPheader Data Port Nettverk IPheader Data IP-adresse Link Data MACheader MACtrailer MAC-adresse Fysisk

Wireshark

Hvor er lagene implementert? Applikasjon Router Applikasjon Transport Transport Switch Fysisk

Linklaget Applikasjon Router Applikasjon Transport Transport Switch Fysisk

Linklaget Local Area Networks (LAN) Router Web server LAN 18

Linklaget switcher Switch Router Web server LAN 19

Linklaget aksesspunkt Aksesspunkt Router Web server LAN 20

Linklagsadressering MAC-adresser A0-A8-CD-57-22-63 00-05-9A-3C-7A-00

Linklagsadressering MAC-adresser 10.0.0.101 2B:69:B9:DA:36:8B 10.0.0.103 10.0.0.102 08:00:27:DA:D7:25 10.0.0.103 98:95:34:76:4D:9E 10.0.0.104 44:A7:39:BD:5E:62

Linklagsadressering MAC-adresser 10.0.0.101 2B:69:B9:DA:36:8B 10.0.0.103 10.0.0.102 08:00:27:DA:D7:25 10.0.0.103 98:95:34:76:4D:9E 10.0.0.104 44:A7:39:BD:5E:62

Linklagsadressering MAC-adresser 10.0.0.101 2B:69:B9:DA:36:8B 10.0.0.103 10.0.0.102 08:00:27:DA:D7:25 10.0.0.103 98:95:34:76:4D:9E 10.0.0.104 44:A7:39:BD:5E:62

Linklagsadressering MAC-adresser 10.0.0.101 2B:69:B9:DA:36:8B 10.0.0.103 10.0.0.102 08:00:27:DA:D7:25 10.0.0.103 98:95:34:76:4D:9E 10.0.0.104 44:A7:39:BD:5E:62 IP address MAC address 10.0.0.101 2B:69:B9:DA:36:8B 10.0.0.103 98:95:34:76:4D:9E

Linklagsadressering MAC-adresser 10.0.0.101 2B:69:B9:DA:36:8B 98:95:34:76:4D:9E 10.0.0.103 10.0.0.102 08:00:27:DA:D7:25 10.0.0.103 98:95:34:76:4D:9E 10.0.0.104 44:A7:39:BD:5E:62 IP address MAC address 10.0.0.101 2B:69:B9:DA:36:8B 10.0.0.103 98:95:34:76:4D:9E

Linklagsadressering MAC-adresser 10.0.0.101 2B:69:B9:DA:36:8B 98:95:34:76:4D:9E 10.0.0.103 10.0.0.102 08:00:27:DA:D7:25 10.0.0.103 98:95:34:76:4D:9E 10.0.0.104 44:A7:39:BD:5E:62 IP address MAC address 10.0.0.101 2B:69:B9:DA:36:8B 10.0.0.103 98:95:34:76:4D:9E

Address Resolution Protocol (ARP) 10.0.0.3 aa:aa:aa 10.0.0.1 ee:ee:ee 10.0.1.1 05:05:05 Internet 2 3 1 4 5 10.0.0.4 bb:bb:bb 10.0.0.2 20.5.5.42 dd:dd:dd 77:77:77 10.0.0.66 cc:cc:cc

Address Resolution Protocol (ARP) Who has IP 10.0.0.2? 10.0.0.3 aa:aa:aa 2 3 10.0.0.1 ee:ee:ee 1 10.0.1.1 05:05:05 Internet 4 5 10.0.0.4 bb:bb:bb MAC address Interface ee:ee:ee 1 bb:bb:bb 3 IP address MAC address 10.0.0.2 20.5.5.42 dd:dd:dd 77:77:77 10.0.0.66 cc:cc:cc

Address Resolution Protocol (ARP) 10.0.0.3 aa:aa:aa 10.0.0.1 ee:ee:ee 10.0.1.1 05:05:05 Internet 10.0.0.4 bb:bb:bb 2 3 1 4 5 dd:dd:dd has IP 10.0.0.2! MAC address Interface ee:ee:ee 1 bb:bb:bb 3 dd:dd:dd 5 IP address MAC address 10.0.0.2 dd:dd:dd 10.0.0.2 20.5.5.42 dd:dd:dd 77:77:77 10.0.0.66 cc:cc:cc

Address Resolution Protocol (ARP) 10.0.0.3 dd:dd:dd 10.0.0.2 Data aa:aa:aa 10.0.0.1 ee:ee:ee 10.0.1.1 05:05:05 Internet 2 3 1 4 5 10.0.0.4 bb:bb:bb IP address MAC address 10.0.0.2 dd:dd:dd MAC address Interface ee:ee:ee 1 bb:bb:bb 3 dd:dd:dd 5 10.0.0.2 20.5.5.42 dd:dd:dd 77:77:77 10.0.0.66 cc:cc:cc

Address Resolution Protocol (ARP) 10.0.0.3 dd:dd:dd 10.0.0.2 Data aa:aa:aa 10.0.0.1 ee:ee:ee 10.0.1.1 05:05:05 Internet 2 3 1 4 5 10.0.0.4 bb:bb:bb IP address MAC address 10.0.0.2 dd:dd:dd MAC address Interface ee:ee:ee 1 bb:bb:bb 3 dd:dd:dd 5 10.0.0.2 20.5.5.42 dd:dd:dd 77:77:77 10.0.0.66 cc:cc:cc

Address Resolution Protocol (ARP) Who has IP 10.0.0.1? 10.0.0.3 aa:aa:aa 2 3 10.0.0.1 ee:ee:ee 1 10.0.1.1 05:05:05 Internet 4 5 10.0.0.4 bb:bb:bb IP address MAC address 10.0.0.2 dd:dd:dd MAC address Interface ee:ee:ee 1 bb:bb:bb 3 dd:dd:dd 5 10.0.0.2 20.5.5.42 dd:dd:dd 77:77:77 10.0.0.66 cc:cc:cc

Address Resolution Protocol (ARP) 10.0.0.3 aa:aa:aa 10.0.0.1 ee:ee:ee 10.0.1.1 05:05:05 Internet 2 3 1 10.0.0.4 bb:bb:bb 4 5 ee:ee:ee has IP 10.0.0.1! MAC address Interface ee:ee:ee 1 bb:bb:bb 3 dd:dd:dd 5 IP address MAC address 10.0.0.2 dd:dd:dd 10.0.0.1 ee:ee:ee 10.0.0.2 20.5.5.42 dd:dd:dd 77:77:77 10.0.0.66 cc:cc:cc

Address Resolution Protocol (ARP)??:??:?? 20.5.5.42 Data 10.0.0.3 ee:ee:ee 20.5.5.42 Data aa:aa:aa 10.0.0.1 ee:ee:ee 10.0.1.1 05:05:05 Internet 2 3 1 4 5 10.0.0.4 bb:bb:bb IP address MAC address 10.0.0.2 dd:dd:dd 10.0.0.1 ee:ee:ee 10.0.0.2 20.5.5.42 dd:dd:dd MAC address Interface ee:ee:ee 1 bb:bb:bb 3 dd:dd:dd 5 77:77:77 10.0.0.66 cc:cc:cc

36 Nettverkssniffing man-in-the-middle

Nettverkssniffing man-in-the-middle

Nettverkssniffing man-in-the-middle

ARP-spoofing 10.0.0.3 aa:aa:aa 10.0.0.1 ee:ee:ee 10.0.1.1 05:05:05 Internet 2 3 1 4 5 10.0.0.4 bb:bb:bb IP address MAC address 10.0.0.2 dd:dd:dd 10.0.0.1 ee:ee:ee cc:cc:cc has IP 10.0.0.2! 10.0.0.2 20.5.5.42 dd:dd:dd MAC address Interface ee:ee:ee 1 bb:bb:bb 3 dd:dd:dd 5 cc:cc:cc 4 77:77:77 10.0.0.66 cc:cc:cc

ARP-spoofing 10.0.0.3 aa:aa:aa 10.0.0.1 ee:ee:ee 10.0.1.1 05:05:05 Internet 2 3 1 4 5 10.0.0.4 bb:bb:bb IP address MAC address 10.0.0.2 cc:cc:cc 10.0.0.1 ee:ee:ee cc:cc:cc has IP 10.0.0.2! 10.0.0.2 20.5.5.42 dd:dd:dd MAC address Interface ee:ee:ee 1 bb:bb:bb 3 dd:dd:dd 5 cc:cc:cc 4 77:77:77 10.0.0.66 cc:cc:cc

ARP-spoofing 10.0.0.3 cc:cc:cc 10.0.0.2 Data aa:aa:aa 10.0.0.1 ee:ee:ee 10.0.1.1 05:05:05 Internet 2 3 1 4 5 10.0.0.4 bb:bb:bb IP address MAC address 10.0.0.2 cc:cc:cc 10.0.0.1 ee:ee:ee 10.0.0.2 20.5.5.42 dd:dd:dd MAC address Interface ee:ee:ee 1 bb:bb:bb 3 dd:dd:dd 5 cc:cc:cc 4 77:77:77 10.0.0.66 cc:cc:cc

ARP-spoofing 10.0.0.3 cc:cc:cc 10.0.0.2 Data aa:aa:aa 10.0.0.1 ee:ee:ee 10.0.1.1 05:05:05 Internet 2 3 1 4 5 10.0.0.4 bb:bb:bb IP address MAC address 10.0.0.2 cc:cc:cc 10.0.0.1 ee:ee:ee 10.0.0.2 20.5.5.42 dd:dd:dd MAC address Interface ee:ee:ee 1 bb:bb:bb 3 dd:dd:dd 5 cc:cc:cc 4 77:77:77 10.0.0.66 cc:cc:cc

Oppsummering av kurset 1. Bli kjent med virtualisering, VirtualBox og Kali Linux 2. Omgå autentisering i Windows og Linux 3. Passordknekking 4. Installere malware og keyloggers 5. Nettverkssniffing 43

Andre sikkerhetsemner på NTNU TTM4135: Informasjonssikkerhet TTM4137: Informasjonssikkerhet i trådløse nett TTM4536: Etisk hacking, fordypningsemne TDT4237: Programvaresikkerhet TMA4155: Kryptografi, introduksjon TMA4160: Kryptografi TDT4186: Operativsystemer 44

Rapporten Leveres på it's learning. Kort beskrivelse av hva dere oppnådde i hver lab, og hvorfor. Hva var den underliggende svakheten dere utnyttet? Hva var den overordnede teknikken dere benyttet? IKKE repeter terminalkommandoer jeg vet hva dere gjorde! Svar på spørsmål. Meningen at dere skal vise hva dere har forstått. Utdyp! Ikke Ja/Nei svar. Kort konklusjon. Gi en tilbakemelding på kurset (både forelesning og lab). Påvirker IKKE vurderingen av rapporten. 45

Bilder "Osi model trad". Licensed under Public domain via Wikipedia - http://en.wikipedia.org/wiki/file:osi_model_trad.jpg#mediaviewer/file:osi_model_trad.jpg 46