Hoe u verkeer kunt onderscheppen. Hoe weet ik of mijn verkeer wordt onderschept? Valse ARP-verzoeken

Methoden voor het onderscheppen van netwerkverkeer

Luisteren naar het netwerk met behulp van netwerkanalyseprogramma's is de eerste en gemakkelijkste manier om gegevens te onderscheppen.

Ter bescherming tegen netwerkafluisteren worden speciale programma's gebruikt, bijvoorbeeld AntiSniff, die computers op het netwerk kunnen identificeren die naar netwerkverkeer luisteren.

Om hun problemen op te lossen, gebruiken antisnifferprogramma's een speciaal teken van de aanwezigheid van afluisterapparatuur op het netwerk: de netwerkkaart van de sniffercomputer moet zich in een speciale luistermodus bevinden. In de luistermodus reageren netwerkcomputers op een speciale manier op IP-datagrammen die naar de geteste host worden verzonden. Luisterhosts verwerken bijvoorbeeld doorgaans al het binnenkomende verkeer, niet alleen datagrammen die naar het adres van de host worden verzonden. Er zijn nog andere tekenen die wijzen op verdacht hostgedrag die AntiSniff kan herkennen.

Ongetwijfeld is afluisteren erg nuttig vanuit het perspectief van een aanvaller, omdat je hierdoor veel nuttige informatie kunt verkrijgen: wachtwoorden die via het netwerk worden verzonden, adressen van netwerkcomputers, vertrouwelijke gegevens, brieven, enz. Door eenvoudig afluisteren kan een hacker echter niet de netwerkcommunicatie tussen twee hosts verstoren om gegevens te wijzigen en te corrumperen. Om een dergelijk probleem op te lossen is complexere technologie nodig.

Rijst. 1 Valse ARP-verzoeken

Laten we eens kijken hoe een hacker ARP kan gebruiken om netwerkcommunicatie tussen hosts A en B te onderscheppen.

Om het netwerkverkeer tussen hosts A en B te onderscheppen, legt de hacker zijn IP-adres op aan deze hosts, zodat A en B dit vervalste IP-adres gebruiken bij het uitwisselen van berichten. Om zijn IP-adres te achterhalen, voert de hacker de volgende handelingen uit.

De aanvaller bepaalt bijvoorbeeld de MAC-adressen van hosts A en B met behulp van de opdracht nbtstat uit het W2RK-pakket.
De aanvaller stuurt berichten naar de geïdentificeerde MAC-adressen van hosts A en B, dit zijn vervalste ARP-reacties op verzoeken om de IP-adressen van de hosts om te zetten in de MAC-adressen van computers. Host A wordt geïnformeerd dat het IP-adres van host B overeenkomt met het MAC-adres van de computer van de aanvaller; host B wordt geïnformeerd dat het IP-adres van host A ook overeenkomt met het MAC-adres van de computer van de aanvaller.
Hosts A en B slaan de ontvangen MAC-adressen op in hun ARP-caches en gebruiken deze vervolgens om berichten naar elkaar te verzenden. Omdat IP-adressen A en B overeenkomen met het MAC-adres van de computer van de aanvaller, communiceren hosts A en B nietsvermoedend via een tussenpersoon die alles met hun berichten kan doen.

Om zich tegen dergelijke aanvallen te beschermen, moeten netwerkbeheerders een database bijhouden met een tabel met correspondentie tussen de MAC-adressen en IP-adressen van hun netwerkcomputers.

Op UNIX-netwerken kan dit type vervalste ARP-verzoekaanval worden geïmplementeerd met behulp van systeemhulpprogramma's voor het monitoren en beheren van netwerkverkeer, bijvoorbeeld arpredirect. Helaas lijken dergelijke betrouwbare hulpprogramma's niet te worden geïmplementeerd op Windows-netwerken. Op de NTsecurity-website kunt u bijvoorbeeld het hulpprogramma GrabitAII downloaden, gepresenteerd als een hulpmiddel voor het omleiden van verkeer tussen netwerkhosts. Uit een basiscontrole van de functionaliteit van het GrabitAII-hulpprogramma blijkt echter dat volledig succes bij het implementeren van de functies nog ver weg is.

Om netwerkverkeer te onderscheppen, kan een aanvaller het echte IP-adres van een netwerkrouter spoofen met zijn eigen IP-adres, bijvoorbeeld met behulp van vervalste ICMP Redirect-berichten. Host A moet, volgens RFC-1122, het ontvangen Redirect-bericht waarnemen als een reactie op een datagram dat naar een andere host is verzonden, bijvoorbeeld B. Host A bepaalt zijn acties op het Redirect-bericht op basis van de inhoud van het ontvangen Redirect-bericht, en als datagramomleiding is gespecificeerd in Redirect van A naar B langs een nieuwe route, is dit precies wat host A zal doen.

Rijst. 2 Valse routering

Om valse routering uit te voeren, moet de aanvaller enkele details kennen over de organisatie van het lokale netwerk waarin host A zich bevindt, in het bijzonder het IP-adres van de router waarlangs verkeer van host A naar B wordt verzonden. Als hij dit weet, kan de aanvaller zal een IP-datagram genereren waarin IP - het afzenderadres wordt gedefinieerd als het IP-adres van de router, en de ontvanger host A is. Ook opgenomen in het datagram is een ICMP Redirect-bericht waarbij het adresveld van de nieuwe router is ingesteld op de IP-adres van de computer van de aanvaller. Na ontvangst van een dergelijk bericht stuurt host A alle berichten naar het IP-adres van de computer van de aanvaller.

Om u tegen een dergelijke aanval te beschermen, moet u de verwerking van ICMP Redirect-berichten op host A uitschakelen (bijvoorbeeld met behulp van een firewall), en het tracert-commando (in Unix is dit het tracerout-commando) kan het IP-adres van de computer van de aanvaller onthullen. . Deze hulpprogramma's kunnen een extra route vinden die op het lokale netwerk is verschenen en die niet was voorzien tijdens de installatie, tenzij de netwerkbeheerder uiteraard waakzaam is.

De bovenstaande voorbeelden van onderscheppingen (waartoe de mogelijkheden van aanvallers verre van beperkt zijn) overtuigen van de noodzaak om gegevens die via het netwerk worden verzonden te beschermen als de gegevens vertrouwelijke informatie bevatten. De enige beschermingsmethode tegen het onderscheppen van netwerkverkeer is het gebruik van programma's die cryptografische algoritmen en encryptieprotocollen implementeren en de openbaarmaking en vervanging van geheime informatie voorkomen. Om dergelijke problemen op te lossen, biedt cryptografie de middelen om berichten die via veilige protocollen worden verzonden, te coderen, te ondertekenen en de authenticiteit ervan te verifiëren.

De praktische implementatie van alle cryptografische methoden voor het beschermen van informatie-uitwisseling wordt verzorgd door VPN-netwerken (Virtual Private Networks).

Onderschepping van TCP-verbinding

De meest geavanceerde aanval op het onderscheppen van netwerkverkeer moet worden beschouwd als het vastleggen van TCP-verbindingen (TCP-kaping), waarbij een hacker de huidige communicatiesessie met de host onderbreekt door TCP-pakketten te genereren en naar de aangevallen host te verzenden. Vervolgens onderschept de hacker, gebruikmakend van de mogelijkheid van het TCP-protocol om een onderbroken TCP-verbinding te herstellen, de onderbroken communicatiesessie en zet deze voort in plaats van de verbroken client.

Het TCP-protocol (Transmission Control Protocol) is een van de basis-OSI-transportlaagprotocollen waarmee u logische verbindingen tot stand kunt brengen via een virtueel communicatiekanaal. Via dit kanaal worden pakketten verzonden en ontvangen waarbij de volgorde ervan wordt vastgelegd, de stroom pakketten wordt gecontroleerd, de hertransmissie van vervormde pakketten wordt georganiseerd en aan het einde van de sessie wordt het communicatiekanaal verbroken. Het TCP-protocol is het enige kernprotocol in de TCP/IP-familie dat beschikt over een geavanceerd berichtidentificatie- en verbindingssysteem.

Overzicht van softwarepakketsniffers

Alle software-sniffers kunnen in twee categorieën worden onderverdeeld: sniffers die starten vanaf de opdrachtregel ondersteunen, en sniffers die een grafische interface hebben. We merken echter op dat er sniffers zijn die beide mogelijkheden combineren. Bovendien verschillen sniffers van elkaar in de protocollen die ze ondersteunen, de diepte van de analyse van onderschepte pakketten, de mogelijkheid om filters te configureren en de mogelijkheid van compatibiliteit met andere programma's.

Normaal gesproken bestaat het venster van elke sniffer met een grafische interface uit drie gebieden. De eerste toont de samenvattingsgegevens van onderschepte pakketten. Normaal gesproken geeft dit gebied een minimum aan velden weer, namelijk: pakketonderscheppingstijd; IP-adressen van de afzender en ontvanger van het pakket; MAC-adressen van de afzender en ontvanger van het pakket, bron- en bestemmingspoortadressen; protocoltype (netwerk-, transport- of applicatielaag); enige samenvattende informatie over de onderschepte gegevens. Het tweede gebied toont statistische informatie over het individueel geselecteerde pakket, en ten slotte toont het derde gebied het pakket in hexadecimale of ASCII-tekenvorm.

Met bijna alle pakketsniffers kunt u gedecodeerde pakketten analyseren (daarom worden pakketsniffers ook wel pakketanalysatoren of protocolanalysatoren genoemd). De sniffer verdeelt onderschepte pakketten over lagen en protocollen. Sommige pakketsniffers kunnen het protocol herkennen en de vastgelegde informatie weergeven. Dit soort informatie wordt meestal weergegeven in het tweede gebied van het sniffervenster. Elke sniffer kan bijvoorbeeld het TCP-protocol herkennen, en geavanceerde sniffers kunnen bepalen welke applicatie dit verkeer heeft gegenereerd. De meeste protocolanalysatoren herkennen meer dan 500 verschillende protocollen en kunnen deze op naam beschrijven en decoderen. Hoe meer informatie een sniffer kan decoderen en op het scherm kan weergeven, des te minder hoeft er handmatig te worden gedecodeerd.

Een probleem waarmee pakketsniffers te maken kunnen krijgen, is het onvermogen om een protocol correct te identificeren via een andere poort dan de standaardpoort. Om de beveiliging te verbeteren kunnen sommige bekende toepassingen bijvoorbeeld worden geconfigureerd om andere poorten dan de standaardpoorten te gebruiken. Dus in plaats van de traditionele poort 80, gereserveerd voor de webserver, kan deze server met geweld opnieuw worden geconfigureerd naar poort 8088 of een andere. Sommige pakketanalysatoren zijn in deze situatie niet in staat het protocol correct te bepalen en geven alleen informatie weer over het protocol op een lager niveau (TCP of UDP).

Er zijn software-sniffers die worden geleverd met software-analysemodules als plug-ins of ingebouwde modules waarmee u rapporten kunt maken met nuttige analytische informatie over onderschept verkeer.

Een ander kenmerkend kenmerk van de meeste softwarepakketanalysatoren is de mogelijkheid om filters te configureren voor en nadat het verkeer is vastgelegd. Filters selecteren bepaalde pakketten uit het algemene verkeer op basis van een bepaald criterium, waardoor u bij het analyseren van verkeer onnodige informatie kunt verwijderen.

Gegevens onderscheppen via het netwerk Het ontvangen van informatie van een extern computerapparaat wordt overwogen. Ze kunnen bestaan uit de persoonlijke gegevens van de gebruiker, zijn berichten, informatie over het bezoeken van websites. Het vastleggen van gegevens kan worden uitgevoerd door spyware of door gebruik te maken van netwerksniffers.

Spyware is speciale software die alle informatie kan registreren die via een netwerk vanaf een specifiek werkstation of apparaat wordt verzonden.

Een sniffer is een programma of computertechnologie die verkeer dat door een netwerk gaat, onderschept en analyseert. Met de sniffer kunt u verbinding maken met een websessie en namens de computereigenaar verschillende bewerkingen uitvoeren.

Als informatie niet in realtime wordt verzonden, genereert spyware rapporten waarmee u de informatie gemakkelijk kunt bekijken en analyseren.

Netwerkinterceptie kan legaal of illegaal worden uitgevoerd. Het belangrijkste document dat de wettigheid van de inbeslagname van informatie vaststelt, is het Verdrag inzake cybercriminaliteit. Het werd in 2001 in Hongarije opgericht. De wettelijke vereisten van verschillende landen kunnen enigszins variëren, maar het hoofdidee is voor alle landen hetzelfde.

Classificatie en methoden voor het onderscheppen van gegevens via het netwerk

Het onderscheppen van informatie via het netwerk kan in twee typen worden verdeeld:

geautoriseerd
ongeautoriseerd

Geautoriseerde gegevensverzameling wordt uitgevoerd voor verschillende doeleinden, variërend van het beschermen van bedrijfsinformatie tot het waarborgen van de nationale veiligheid. De gronden voor het uitvoeren van een dergelijke operatie worden bepaald door wetgeving, speciale diensten, wetshandhavers, specialisten van bestuursorganisaties en bedrijfsveiligheidsdiensten.

Er bestaan internationale standaarden voor het onderscheppen van gegevens. Het European Telecommunications Standards Institute is erin geslaagd een aantal technische processen te harmoniseren (ETSI ES 201 158 “Telecommunicatiebeveiliging; Lawful Interception (LI; Eisen voor netwerkfuncties”) waarop het onderscheppen van informatie is gebaseerd. Als gevolg hiervan is een systeemarchitectuur ontwikkeld die specialisten van de geheime dienst en netwerkbeheerders helpt legaal gegevens uit het netwerk te verkrijgen. De ontwikkelde structuur voor het implementeren van data-interceptie via het netwerk wordt toegepast op een bekabeld/draadloos spraakoproepsysteem, maar ook op correspondentie per post, verzending van spraakberichten over IP en uitwisseling van informatie via SMS.

Ongeautoriseerde onderschepping van gegevens via een netwerk wordt uitgevoerd door aanvallers die bezit willen nemen van vertrouwelijke gegevens, wachtwoorden, bedrijfsgeheimen, adressen van computermachines op het netwerk, enz. Om hun doelen te bereiken, gebruiken hackers meestal een netwerkverkeersanalysator: een sniffer. Dit programma of hardware-softwareapparaat geeft de fraudeur de mogelijkheid om informatie te onderscheppen en te analyseren binnen het netwerk waarmee hij en de gebruiker waarop de aanval is gericht, zijn verbonden, en zelfs SSL-gecodeerd verkeer door middel van certificaatvervanging. U kunt gegevens uit het verkeer verkrijgen:

Luisteren naar de netwerkinterface
Door een afluisterapparaat aan te sluiten op een kanaalonderbreking
Een verkeerstak maken en deze naar de sniffer dupliceren
Door een aanval uit te voeren

Er zijn ook meer geavanceerde technologieën voor het onderscheppen van belangrijke informatie, waardoor men in netwerkinteracties kan binnendringen en gegevens kan wijzigen. Eén van die technieken zijn vervalste ARP-verzoeken. De essentie van de methode is het vervangen van IP-adressen tussen de computer van het slachtoffer en zijn eigen IP-adres. Een andere methode die kan worden gebruikt om gegevens via een netwerk te onderscheppen, is valse routering. Hierbij vervangt u het IP-adres van een netwerkrouter door uw eigen adres. Als de fraudeur weet hoe het lokale netwerk waarin het slachtoffer zich bevindt is georganiseerd, kan hij eenvoudig de ontvangst van informatie van de machine van de gebruiker naar zijn IP-adres organiseren. Het kapen van een TCP-verbinding is ook een effectieve manier om gegevens te onderscheppen. De aanvaller onderbreekt de communicatiesessie door TCP-pakketten te genereren en naar de computer van het slachtoffer te verzenden. Vervolgens wordt de communicatiesessie hersteld, onderschept en voortgezet door de crimineel in plaats van door de cliënt.

Voorwerp van invloed

Objecten voor het onderscheppen van gegevens via het netwerk kunnen overheidsinstanties, industriële ondernemingen, commerciële structuren en gewone gebruikers zijn. Binnen een organisatie of bedrijf kan informatie worden vastgelegd om de netwerkinfrastructuur te beschermen. Inlichtingendiensten en wetshandhavingsinstanties kunnen op grote schaal informatie onderscheppen die door verschillende eigenaren wordt verzonden, afhankelijk van de taak die moet worden uitgevoerd.

Als we het over cybercriminelen hebben, kan elke gebruiker of organisatie het voorwerp van beïnvloeding worden om gegevens te verkrijgen die via het netwerk worden verzonden. Bij geautoriseerde toegang is het informatieve deel van de verkregen informatie belangrijk, terwijl een aanvaller meer geïnteresseerd is in gegevens die kunnen worden gebruikt om geld of waardevolle informatie in beslag te nemen voor de daaropvolgende verkoop.

Meestal worden gebruikers die verbinding maken met een openbaar netwerk, bijvoorbeeld in een café met een Wi-Fi-hotspot, het slachtoffer van het onderscheppen van informatie door cybercriminelen. Een aanvaller maakt verbinding met een websessie met behulp van een sniffer, vervangt gegevens en steelt persoonlijke informatie. Meer details over hoe dit gebeurt, worden beschreven in het artikel.

Bron van bedreiging

Geautoriseerde onderschepping van informatie bij bedrijven en organisaties wordt uitgevoerd door exploitanten van openbare netwerkinfrastructuur. Hun activiteiten zijn gericht op het beschermen van persoonlijke gegevens, bedrijfsgeheimen en andere belangrijke informatie. Juridisch gezien kan de overdracht van berichten en bestanden worden gecontroleerd door inlichtingendiensten, wetshandhavingsinstanties en verschillende overheidsinstanties om de veiligheid van burgers en de staat te waarborgen.

Criminelen houden zich bezig met het illegaal onderscheppen van gegevens. Om te voorkomen dat u het slachtoffer wordt van een cybercrimineel, moet u enkele aanbevelingen van experts opvolgen. U mag bijvoorbeeld geen bewerkingen uitvoeren waarvoor autorisatie en overdracht van gevoelige gegevens vereist is op plaatsen waar de verbinding met openbare netwerken is. Het is veiliger om netwerken met encryptie te kiezen, en nog beter: om persoonlijke 3G-LTE-modems te gebruiken. Bij het overbrengen van persoonlijke gegevens wordt aanbevolen deze te versleutelen met behulp van het HTTPS-protocol of een persoonlijke VPN-tunnel.

U kunt uw computer beschermen tegen onderschepping van netwerkverkeer met behulp van cryptografie en anti-sniffers; Inbellen in plaats van draadloze netwerktoegang zal de risico's verminderen.

Veel gebruikers realiseren zich niet dat deze gegevens gemakkelijk kunnen worden onderschept door een login en wachtwoord in te vullen bij het registreren of autoriseren op een gesloten internetbron en op ENTER te drukken. Heel vaak worden ze in onbeveiligde vorm over het netwerk verzonden. Als de site waarop u probeert in te loggen het HTTP-protocol gebruikt, is het daarom heel eenvoudig om dit verkeer vast te leggen, te analyseren met Wireshark en vervolgens speciale filters en programma's te gebruiken om het wachtwoord te vinden en te decoderen.

De beste plaats om wachtwoorden te onderscheppen is de kern van het netwerk, waar het verkeer van alle gebruikers naar gesloten bronnen (bijvoorbeeld e-mail) of vóór de router gaat om toegang te krijgen tot internet, bij registratie op externe bronnen. We hebben een spiegel opgezet en we zijn klaar om ons een hacker te voelen.

Stap 1. Installeer en start Wireshark om verkeer vast te leggen

Soms is het hiervoor voldoende om alleen de interface te selecteren waarmee we verkeer willen vastleggen en op de Start-knop te klikken. In ons geval nemen we op via een draadloos netwerk.

Het vastleggen van het verkeer is begonnen.

Stap 2. Filteren van vastgelegd POST-verkeer

We openen de browser en proberen in te loggen op een bron met een gebruikersnaam en wachtwoord. Zodra het autorisatieproces is voltooid en de site is geopend, stoppen we met het vastleggen van verkeer in Wireshark. Open vervolgens de protocolanalysator en zie een groot aantal pakketten. Het is op dit punt dat de meeste IT-professionals het opgeven omdat ze niet weten wat ze vervolgens moeten doen. Maar we kennen en zijn geïnteresseerd in specifieke pakketten die POST-gegevens bevatten die op onze lokale machine worden gegenereerd bij het invullen van een formulier op het scherm en naar een externe server worden verzonden wanneer we op de knop ‘Inloggen’ of ‘Autorisatie’ in de browser klikken.

We voeren een speciaal filter in het venster in om vastgelegde pakketten weer te geven: http.verzoek.methode == “NA"

En in plaats van duizenden pakketten zien we er maar één met de gegevens die we zoeken.

Stap 3. Zoek de gebruikersnaam en het wachtwoord

Klik snel met de rechtermuisknop en selecteer het item in het menu Volg TCP Steam

Hierna verschijnt tekst in een nieuw venster dat de inhoud van de pagina in code herstelt. Laten we de velden "wachtwoord" en "gebruiker" zoeken, die overeenkomen met het wachtwoord en de gebruikersnaam. In sommige gevallen zijn beide velden gemakkelijk leesbaar en zelfs niet gecodeerd, maar als we verkeer proberen vast te leggen bij toegang tot zeer bekende bronnen zoals Mail.ru, Facebook, Vkontakte, enz., Dan wordt het wachtwoord gecodeerd:

HTTP/1.1 302 gevonden

Server: Apache/2.2.15 (CentOS)

X-Powered-By: PHP/5.3.3

P3P: CP="NOI ADM DEV PSAi COM NAV ONZE OTRO STP IND DEM"

Cookie instellen: wachtwoord= ; vervalt=do, 07-nov-2024 23:52:21 GMT; pad=/

Locatie: ingelogd.php

Inhoud-lengte: 0

Verbinding: dichtbij

Inhoudstype: tekst/html; tekenset=UTF-8

In ons geval dus:

Gebruikersnaam: netwerkguru

Wachtwoord:

Stap 4. Bepaal het coderingstype om het wachtwoord te decoderen

Ga bijvoorbeeld naar de website http://www.onlinehashcrack.com/hash-identification.php#res en voer ons wachtwoord in het identificatievenster in. Ik kreeg een lijst met coderingsprotocollen in volgorde van prioriteit:

Stap 5. Het gebruikerswachtwoord decoderen

In dit stadium kunnen we het hashcat-hulpprogramma gebruiken:

~# hashcat -m 0 -a 0 /root/wireshark-hash.lf /root/rockyou.txt

Bij de uitgang ontvingen we een gedecodeerd wachtwoord: simplepassword

Met de hulp van Wireshark kunnen we dus niet alleen problemen bij de werking van applicaties en services oplossen, maar onszelf ook als hacker uitproberen door wachtwoorden te onderscheppen die gebruikers in webformulieren invoeren. U kunt ook wachtwoorden voor gebruikersmailboxen achterhalen met behulp van eenvoudige filters:

Het POP-protocol en filter zien er als volgt uit: pop.request.command == "USER" || pop.request.command == "PASS"
Het IMAP-protocol en filter zijn: imap.request bevat "inloggen"
Het protocol is SMTP en u moet het volgende filter invoeren: smtp.req.command == "AUTH"

en serieuzere hulpprogramma's voor het decoderen van het coderingsprotocol.

Stap 6: Wat moet ik doen als het verkeer gecodeerd is en HTTPS gebruikt?

Er zijn verschillende opties om deze vraag te beantwoorden.

Optie 1. Maak verbinding wanneer de verbinding tussen de gebruiker en de server wordt verbroken en leg verkeer vast op het moment dat de verbinding tot stand wordt gebracht (SSL Handshake). Wanneer er een verbinding tot stand is gebracht, kan de sessiesleutel worden onderschept.

Optie 2: U kunt HTTPS-verkeer decoderen met behulp van het sessiesleutellogbestand dat is opgenomen door Firefox of Chrome. Om dit te doen, moet de browser worden geconfigureerd om deze coderingssleutels naar een logbestand te schrijven (op FireFox gebaseerd voorbeeld) en u zou dat logbestand moeten ontvangen. In wezen moet u het sessiesleutelbestand van de harde schijf van een andere gebruiker stelen (wat illegaal is). Leg dan het verkeer vast en gebruik de resulterende sleutel om het te decoderen.

Verduidelijking. We hebben het over de webbrowser van een persoon wiens wachtwoord hij probeert te stelen. Als we bedoelen dat we ons eigen HTTPS-verkeer moeten ontsleutelen en willen oefenen, dan zal deze strategie werken. Als u het HTTPS-verkeer van andere gebruikers probeert te decoderen zonder toegang tot hun computers, zal dit niet werken - dat is zowel codering als privacy.

Nadat u de sleutels volgens optie 1 of 2 heeft ontvangen, moet u deze registreren in WireShark:

Ga naar het menu Bewerken - Voorkeuren - Protocollen - SSL.
Zet de vlag “SSL-records opnieuw samenstellen die meerdere TCP-segmenten overspannen”.
“RSA-sleutellijst” en klik op Bewerken.
Voer de gegevens in alle velden in en schrijf het pad in het bestand met de sleutel

WireShark kan pakketten decoderen die zijn gecodeerd met behulp van het RSA-algoritme. Als de DHE/ECDHE-, FS- en ECC-algoritmen worden gebruikt, zal de sniffer ons niet helpen.

Optie 3. Krijg toegang tot de webserver die de gebruiker gebruikt en verkrijg de sleutel. Maar dit is een nog moeilijkere taak. In bedrijfsnetwerken wordt deze optie op wettelijke basis geïmplementeerd met het oog op het debuggen van applicaties of het filteren van inhoud, maar niet met het doel gebruikerswachtwoorden te onderscheppen.

BONUS

VIDEO: Wireshark Packet Sniffing van gebruikersnamen, wachtwoorden en webpagina's

Het Wireshark-programma zal een uitstekende assistent zijn voor gebruikers die een gedetailleerde analyse van netwerkpakketten moeten uitvoeren - computernetwerkverkeer. De sniffer werkt gemakkelijk samen met veelgebruikte protocollen als netbios, fddi, nntp, icq, x25, dns, irc, nfs, http, tcp, ipv6 en vele anderen. Tijdens de analyse kunt u een netwerkpakket volgens een specifiek protocol in de juiste componenten verdelen en leesbare informatie in numerieke vorm op het scherm weergeven.
ondersteunt een groot aantal verschillende formaten van verzonden en ontvangen informatie en kan bestanden openen die door andere hulpprogramma's worden gebruikt. Het werkingsprincipe is dat de netwerkkaart in de uitzendmodus gaat en netwerkpakketten begint te onderscheppen die zich in het zichtbaarheidsgebied bevinden. Kan werken als een programma voor het onderscheppen van wifi-pakketten.

Hoe Wireshark te gebruiken

Het programma bestudeert de inhoud van informatiepakketten die door het netwerk gaan. Om de resultaten van de sniffer te starten en te gebruiken, heb je geen specifieke kennis nodig, je hoeft hem alleen maar te openen in het menu "Start" of op het pictogram op het bureaublad te klikken (het starten ervan verschilt niet van enig ander Windows-programma) . Een speciale functie van het hulpprogramma maakt het mogelijk om informatiepakketten vast te leggen, de inhoud ervan zorgvuldig te decoderen en deze voor analyse terug te sturen naar de gebruiker.

Nadat u wireshark hebt gestart, ziet u het hoofdmenu van het programma op het scherm, dat zich bovenaan het venster bevindt. Het wordt gebruikt om het hulpprogramma te controleren. Als u bestanden moet laden die gegevens opslaan over pakketten die in eerdere sessies zijn vastgelegd, en ook gegevens moet opslaan over andere pakketten die in een nieuwe sessie zijn vastgelegd, dan heeft u hiervoor het tabblad "Bestand" nodig.

Om de functie voor het vastleggen van netwerkpakketten te starten, moet de gebruiker op het pictogram "Capture" klikken en vervolgens een speciaal menugedeelte zoeken met de naam "Interfaces", waarmee u een afzonderlijk venster "Wireshark Capture Interfaces" kunt openen, waarin alle beschikbare netwerkinterfaces moeten worden weergegeven. worden getoond, waardoor de benodigde datapakketten worden vastgelegd. In het geval dat het programma (sniffer) slechts één geschikte interface kan detecteren, zal het alle belangrijke informatie daarover op het scherm weergeven.

De resultaten van het werk van het nutsbedrijf zijn een direct bewijs dat, zelfs als gebruikers (op een bepaald moment) niet zelfstandig betrokken zijn bij het verzenden van gegevens, de uitwisseling van informatie op het netwerk niet stopt. Het werkingsprincipe van een lokaal netwerk is immers dat, om het in de bedrijfsmodus te houden, elk van zijn elementen (computer, switch en andere apparaten) voortdurend service-informatie met elkaar uitwisselt. Daarom zijn dergelijke netwerktools ontworpen om te onderscheppen zulke pakjes.

Er is ook een versie voor Linux-systemen.

het zou genoteerd moeten worden dat De sniffer is uitermate handig voor netwerkbeheerders en computerbeveiligingsdiensten, omdat u met dit hulpprogramma potentieel onbeschermde netwerkknooppunten kunt identificeren - waarschijnlijke gebieden die door hackers kunnen worden aangevallen.

Naast het directe doel kan Wireshark worden gebruikt als hulpmiddel voor het monitoren en verder analyseren van netwerkverkeer om een aanval op onbeschermde delen van het netwerk te organiseren, omdat onderschept verkeer kan worden gebruikt om verschillende doelen te bereiken.

In deze les worden netwerkhacktechnologieën beschreven die gebaseerd zijn op het onderscheppen van netwerkpakketten. Hackers gebruiken dergelijke technologieën om naar netwerkverkeer te luisteren om waardevolle informatie te stelen, om het onderscheppen van gegevens te organiseren met het oog op een man-in-the-middle-aanval, om TCP-verbindingen te onderscheppen, waardoor bijvoorbeeld data-spoofing mogelijk wordt gemaakt, en om andere even interessante acties. Helaas worden de meeste van deze aanvallen in de praktijk alleen geïmplementeerd voor Unix-netwerken, waarvoor hackers zowel speciale hulpprogramma's als Unix-systeemtools kunnen gebruiken. Windows-netwerken zijn blijkbaar genegeerd door hackers, en we zijn gedwongen onze beschrijving van tools voor het onderscheppen van gegevens te beperken tot snuffelprogramma's die zijn ontworpen voor het triviaal afluisteren van netwerkpakketten. Men mag echter op zijn minst een theoretische beschrijving van dergelijke aanvallen niet verwaarlozen, vooral niet voor anti-hackers, aangezien kennis van de gebruikte hacktechnologieën veel problemen zal helpen voorkomen.

Netwerk snuiven

Om Ethernet-netwerken op te sporen, worden meestal netwerkkaarten gebruikt die in de luistermodus staan. Om naar een Ethernet-netwerk te luisteren, moet een computer waarop een snifferprogramma draait, worden aangesloten op een netwerksegment, waarna al het netwerkverkeer dat door computers in dat netwerksegment wordt verzonden en ontvangen, beschikbaar wordt voor de hacker. Het is nog eenvoudiger om verkeer te onderscheppen van radionetwerken die gebruik maken van draadloze netwerktussenpersonen - in dit geval hoeft u niet eens te zoeken naar een plek om verbinding te maken met de kabel. Of een aanvaller kan verbinding maken met de telefoonlijn die de computer met de internetserver verbindt en hiervoor een geschikte plek zoeken (telefoonlijnen worden meestal zonder enige bescherming in kelders en op andere zelden bezochte plaatsen gelegd).

Om sniffer-technologie te demonstreren, zullen we een zeer populair sniffer-programma gebruiken SpyNet, die op veel websites te vinden is. Officiële website van het programma SpyNet gevestigd in http://members.xoom.com/layrentiu2/, waar u een demoversie van het programma kunt downloaden.

Programma SpyNet bestaat uit twee componenten - CaptureNet En PijpNet. Programma CaptureNet Hiermee kunt u pakketten onderscheppen die via het Ethernet-netwerk op netwerkniveau worden verzonden, d.w.z. in de vorm van Ethernet-frames. Programma PijpNet stelt u in staat Ethernet-frames samen te stellen tot applicatielaagpakketten, bijvoorbeeld e-mailberichten en HTTP-berichten (uitwisseling van informatie met een webserver) te herstellen en andere functies uit te voeren.

Helaas in de demoversie SpyNet mogelijkheden PijpNet zijn beperkt tot de demo van het bouwen van HTTP-pakketten, dus we kunnen niet demonstreren hoe het werkt SpyNet volledig. We zullen echter de mogelijkheden van netwerksnuiven demonstreren SpyNet met ons experimentele netwerk als voorbeeld, waarbij een tekstbestand van de host wordt overgedragen Zwaard-2000 iets organiseren Alex-Z met gewone Windows Verkenner. Gelijktijdig op de computer A1ex-1 we zullen het programma lanceren CaptureNet, waarmee verzonden pakketten worden onderschept en de inhoud van het verzonden bestand in Ethernet-frames kan worden gelezen. In afb. 1 toont de tekst van het geheime bericht in het bestand geheim.txt; we zullen proberen deze tekst te vinden in de vastgelegde Ethernet-frames.

Rijst. 1. Tekst van het geheime bericht in het Kladblok-venster

Volg deze stappen om Ethernet-frames vast te leggen:

Op de computer Alex-Z voer het programma uit CaptureNet. Selecteer de menuopdracht in het weergegeven werkvenster van het programma Vastleggen * Beginnen(Capture * Start) en start het proces voor het vastleggen van netwerkframes.

Kopieer met Windows Verkenner het security.txt-bestand van uw computer Zwaard-2000 op A1ex-3.

Nadat u het bestand geheim.txt hebt overgedragen, selecteert u de menuopdracht Vastleggen * Stoppen(Capture * Stop) en stop het opnameproces.

De vastgelegde Ethernet-frames worden aan de rechterkant van het werkvenster van het programma weergegeven CaptureNet(Afbeelding 2), waarbij elke rij in de bovenste lijst een Ethernet-frame vertegenwoordigt, en onder de lijst de inhoud van het geselecteerde frame.

Rijst. 2. Ethernet-frame bevat geheime berichttekst

Nadat we de lijst met onderschepte frames hebben doorgenomen, kunnen we gemakkelijk het frame vinden dat de tekst bevat die we hebben verzonden. Dit is een heel groot geheim (Dit is een heel groot geheim).

We benadrukken dat dit het eenvoudigste voorbeeld is, waarbij al het onderschepte netwerkverkeer werd geregistreerd. Programma CaptureNet Hiermee kunt u pakketten onderscheppen die via bepaalde protocollen en naar bepaalde hostpoorten worden verzonden, berichten met specifieke inhoud selecteren en de onderschepte gegevens in een bestand verzamelen. De techniek voor het uitvoeren van dergelijke acties is eenvoudig en kan worden beheerst met behulp van het helpsysteem van het programma SpyNet.

Naast het primitieve afluisteren van netwerken, hebben hackers toegang tot meer geavanceerde manieren om gegevens te onderscheppen. Hieronder volgt een kort overzicht van dergelijke methoden, zij het vanuit een theoretisch aspect. De reden is dat voor Windows-netwerken de praktische implementatie van data-onderscheppingsaanvallen uiterst beperkt is, en dat de set betrouwbare hulpprogramma's voor onderscheppingsaanvallen vrij beperkt is.

Methoden voor het onderscheppen van netwerkverkeer

Luister naar het netwerk met behulp van netwerkanalyseprogramma's zoals hierboven CaptureNet, is de eerste, eenvoudigste manier om gegevens te onderscheppen. Behalve SpyNet Voor netwerksnuffelen worden veel tools gebruikt, aanvankelijk ontwikkeld voor het analyseren van netwerkactiviteit, het diagnosticeren van netwerken, het selecteren van verkeer op basis van gespecificeerde criteria en andere netwerkbeheertaken. Een voorbeeld van zo’n programma is tcpdump (http://www.tcpdump.org), waarmee u netwerkverkeer in een speciaal logboek kunt vastleggen voor latere analyse.

Ter bescherming tegen netwerkafluisteren worden speciale programma's gebruikt, bijvoorbeeld AntiSnif (http://www.securitysoftwaretech.com/antisniff), die computers op het netwerk kunnen identificeren die naar netwerkverkeer luisteren. Om hun problemen op te lossen, gebruiken antisnifferprogramma's een speciaal teken van de aanwezigheid van afluisterapparatuur op het netwerk: de netwerkkaart van de sniffercomputer moet zich in een speciale luistermodus bevinden. In de luistermodus reageren netwerkcomputers op een speciale manier op IP-datagrammen die naar de geteste host worden verzonden. Luisterhosts verwerken bijvoorbeeld doorgaans al het binnenkomende verkeer, niet alleen datagrammen die naar het adres van de host worden verzonden. Er zijn nog andere tekenen die wijzen op verdacht hostgedrag die het programma kan herkennen AntiSnif.

Valse ARP-verzoeken

Om het proces van netwerkinteractie tussen twee hosts A en B te onderscheppen en over te nemen, kan een aanvaller de IP-adressen van communicerende hosts vervangen door zijn eigen IP-adres door vervalste ARP-berichten (Address Resolution Protocol) naar hosts A en B te sturen. U kunt kennis maken met het ARP-protocol in bijlage D, waarin de procedure wordt beschreven voor het omzetten (converteren) van het IP-adres van de host naar het machineadres (MAC-adres) dat hardgecodeerd is in de netwerkkaart van de host. Laten we eens kijken hoe een hacker ARP kan gebruiken om netwerkcommunicatie tussen hosts A en B te onderscheppen.

Met behulp van het commando bepaalt de aanvaller bijvoorbeeld de MAC-adressen van hosts A en B nbtstat uit het pakket W2RK.

De aanvaller stuurt berichten naar de geïdentificeerde MAC-adressen van hosts A en B, dit zijn vervalste ARP-reacties op verzoeken om de IP-adressen van de hosts om te zetten in de MAC-adressen van computers. Host A wordt geïnformeerd dat het IP-adres van host B overeenkomt met het MAC-adres van de computer van de aanvaller; host B wordt geïnformeerd dat het IP-adres van host A ook overeenkomt met het MAC-adres van de computer van de aanvaller.

Hosts A en B slaan de ontvangen MAC-adressen op in hun ARP-caches en gebruiken deze vervolgens om berichten naar elkaar te verzenden. Omdat IP-adressen A en B overeenkomen met het MAC-adres van de computer van de aanvaller, communiceren hosts A en B nietsvermoedend via een tussenpersoon die alles met hun berichten kan doen.

Om zich tegen dergelijke aanvallen te beschermen, moeten netwerkbeheerders een database bijhouden met een tabel met correspondentie tussen de MAC-adressen en IP-adressen van hun netwerkcomputers. Verder kan speciale software worden gebruikt, bijvoorbeeld een hulpprogramma arpwatch (ftp://ftp.ee.lbl.gov/arpwatch-2.lab.tar.gz) kunt u periodiek het netwerk onderzoeken en inconsistenties identificeren.

Op UNIX-netwerken kan dit type vervalste ARP-verzoekaanval worden geïmplementeerd met behulp van systeemhulpprogramma's voor het monitoren en beheren van netwerkverkeer, bijvoorbeeld arpredirect. Helaas lijken dergelijke betrouwbare hulpprogramma's niet te zijn geïmplementeerd op Windows 2000/XP-netwerken. Bijvoorbeeld op de NTsecurity-website ( http://www.ntsecurity.nu) kunt u het hulpprogramma downloaden GrabitAII, gepresenteerd als een middel om verkeer tussen netwerkhosts om te leiden. Echter, een basiscontrole van de functionaliteit van het hulpprogramma GrabitAII laat zien dat volledig succes bij het implementeren van de functies ervan nog ver weg is.

Valse routering

Om u tegen een dergelijke aanval te beschermen, moet u de verwerking van ICMP-omleidingsberichten op host A uitschakelen (bijvoorbeeld met behulp van een firewall). De opdracht kan dan het IP-adres van de computer van de aanvaller onthullen. tracert(op Unix is dit het tracerout-commando). Deze hulpprogramma's kunnen een extra route vinden die op het lokale netwerk is verschenen en die niet was voorzien tijdens de installatie, tenzij de netwerkbeheerder uiteraard waakzaam is.

De bovenstaande voorbeelden van onderscheppingen (waartoe de mogelijkheden van aanvallers verre van beperkt zijn) overtuigen van de noodzaak om gegevens die via het netwerk worden verzonden te beschermen als de gegevens vertrouwelijke informatie bevatten. De enige beschermingsmethode tegen het onderscheppen van netwerkverkeer is het gebruik van programma's die cryptografische algoritmen en encryptieprotocollen implementeren en de openbaarmaking en vervanging van geheime informatie voorkomen. Om dergelijke problemen op te lossen, biedt cryptografie hulpmiddelen voor het coderen, ondertekenen en verifiëren van de authenticiteit van berichten die via veilige protocollen worden verzonden.

De praktische implementatie van alle cryptografische methoden voor het beschermen van informatie-uitwisseling, beschreven in hoofdstuk 4, wordt verzorgd door VPN-netwerken (Virtual Private Network). Een kort overzicht van cryptografische beveiligingsprincipes en -technieken is te vinden in Bijlage E, en een gedetailleerde beschrijving van de cryptografische beveiligingsfuncties die door de applicatie worden geboden, is te vinden in Bijlage E. PGP Desktop-beveiliging (http://www.pgp.com).

Onderschepping van TCP-verbinding

Er zijn verschillende effectieve hulpprogramma's gemaakt om aanvallen op TCP-verbindingen te kapen, maar ze zijn allemaal geïmplementeerd voor het Unix-platform, en op websites worden deze hulpprogramma's alleen in de vorm van broncode gepresenteerd. Als overtuigde beoefenaars van de nobele zaak van hacken hebben aanvallen waarbij gebruik wordt gemaakt van de onderscheppingsmethode van TCP-verbindingen voor ons dus niet veel nut. (Degenen die de programmacode van anderen willen begrijpen, kunnen de site raadplegen http://www.cri.cz/~kra/index.html, waar u de broncode van het bekende hulpprogramma voor het onderscheppen van TCP-verbindingen kunt downloaden Jacht van Pavel Krauz).

Ondanks het gebrek aan praktische hulpmiddelen kunnen we zo'n interessant onderwerp als het onderscheppen van TCP-verbindingen niet negeren, en we zullen dieper ingaan op enkele aspecten van dergelijke aanvallen. In bijlage D van dit boek wordt enige informatie gegeven over de structuur van een TCP-pakket en de procedure voor het tot stand brengen van TCP-verbindingen, maar hier zullen we ons concentreren op de vraag: wat stelt hackers precies in staat om TCP-verbindingen te onderscheppen? Laten we dit onderwerp in meer detail bekijken, voornamelijk gebaseerd op de discussie in en.

Om een TCP-pakket te identificeren, bevinden zich twee 32-bits identificatiegegevens in de TCP-header, die ook fungeren als pakkettellers, genaamd volgnummer en bevestigingsnummer. We zullen ook geïnteresseerd zijn in nog een veld van het TCP-pakket, genaamd controlebits. Dit 6-bits veld bevat de volgende besturingsbits (in volgorde van links naar rechts):

URG - urgentievlag;

ACK - bevestigingsvlag;

PSH - draag vlag;

RST - vlag voor herstel van verbinding;

SYN - synchronisatievlag;

FIN - vlag voor het beëindigen van de verbinding.

Laten we eens kijken naar de procedure voor het maken van een TCP-verbinding.

1. Als host A een TCP-verbinding met host B moet maken, stuurt host A het volgende bericht naar host B:

A -> B: SYN, ISSa

Dit betekent dat voor het door host A verzonden bericht de SYN-vlag (Synchronize sequence number) is ingesteld, en dat het volgnummerveld is ingesteld op de initiële 32-bits waarde ISSa (Initial Sequence Number).

2. Als reactie op het van host A ontvangen verzoek reageert host B met een bericht waarin de SYN-bit wordt ingesteld en de ACK-bit wordt ingesteld. In het volgnummerveld stelt host B zijn initiële tellerwaarde in: ISSb; het bevestigingsnummerveld zal dan de ISSa-waarde bevatten die is ontvangen in het eerste pakket van host A, verhoogd met één. Host B antwoordt dus met dit bericht:

B -> A: SYN, ACK, ISSb, ACK(ISSa+1)

3. Tenslotte stuurt host A een bericht naar host B waarin: de bit wordt ingesteld VRAGEN; het volgnummerveld bevat de waarde ISSa + 1; Het bevestigingsnummerveld bevat de waarde ISSb + 1. Hierna TCP-verbinding tussen hosts A En IN wordt als gevestigd beschouwd:

A -> B: ACK, ISSa+1, ACK(ISSb+1)

4. Nu de gastheer A kan datapakketten naar de host sturen IN via het nieuw gemaakte virtuele TCP-kanaal:

A -> B: ACK, ISSa+1, ACK(ISSb+1); GEGEVENS

Hier GEGEVENS staat voor gegevens.

Uit het hierboven besproken algoritme voor het maken van een TCP-verbinding blijkt dat de enige identificatiegegevens van TCP-abonnees en een TCP-verbinding twee 32-bits parameters zijn: het volgnummer en het bevestigingsnummer - ISSa En ISSb. Dus als een hacker erin slaagt de huidige veldwaarden te achterhalen ISSa En ISSb, dan kan niets voorkomen dat er een vervalst TCP-pakket wordt gegenereerd. Dit betekent dat een hacker alleen de huidige parameterwaarden hoeft te selecteren ISSa En ISSb TCP-pakket voor een bepaalde TCP-verbinding, verzend het pakket vanaf een willekeurige internethost namens de client van deze TCP-verbinding, en dit pakket wordt als geldig geaccepteerd!

Het gevaar van dergelijke TCP-pakketspoofing is ook belangrijk omdat de hoogwaardige FTP- en TELNET-protocollen worden geïmplementeerd op basis van het TCP-protocol, en de identificatie van FTP- en TELNET-pakketclients volledig gebaseerd is op het TCP-protocol.

Omdat de FTP- en TELNET-protocollen bovendien de IP-adressen van de afzenders van berichten niet controleren, sturen de FTP- of TELNET-servers na ontvangst van een vervalst pakket een antwoordbericht naar het IP-adres van de hackerhost die in het valse pakket is opgegeven. Hierna zal de hackerhost gaan werken met de FTP- of TELNET-server vanaf zijn IP-adres, maar met de rechten van een legaal verbonden gebruiker, die op zijn beurt het contact met de server zal verliezen vanwege een mismatch van tellers.

Om de hierboven beschreven aanval uit te voeren, is kennis van de twee huidige 32-bits parameters dus een noodzakelijke en voldoende voorwaarde ISSa En ISSb, waarmee de TCP-verbinding wordt geïdentificeerd. Laten we mogelijke manieren bekijken om ze te verkrijgen. In het geval dat de hackerhost is verbonden met het aangevallen netwerksegment, is het de taak om de waarden te verkrijgen ISSa En ISSb is triviaal en kan worden opgelost door het netwerkverkeer te analyseren. Daarom moet duidelijk worden begrepen dat het TCP-protocol het in principe alleen mogelijk maakt een verbinding te beschermen als het voor een aanvaller onmogelijk is om berichten te onderscheppen die via deze verbinding worden verzonden, dat wil zeggen alleen als de hacker-host is verbonden met een netwerksegment verschilt van het abonneesegment van de TCP-verbinding.

Daarom zijn intersegmentaanvallen van het grootste belang voor een hacker, wanneer de aanvaller en zijn doelwit zich in verschillende netwerksegmenten bevinden. In dit geval de taak om waarden te verkrijgen ISSa En ISSb is niet triviaal. Om dit probleem op te lossen zijn er nu slechts twee methoden uitgevonden.

Wiskundige voorspelling van de initiële waarde van TCP-verbindingsparameters door extrapolatie van eerdere waarden ISSa En ISSb.

Het misbruiken van kwetsbaarheden bij het identificeren van TCP-verbindingsabonnees op Unix rsh-servers.

Het eerste probleem wordt opgelost door diepgaande studies van de implementatie van het TCP-protocol in verschillende besturingssystemen en is nu van puur theoretische betekenis. Het tweede probleem wordt opgelost door kwetsbaarheden in het Unix-systeem te gebruiken om vertrouwde hosts te identificeren. (Vertrouwd door deze host A netwerkhost genoemd IN waarvan de gebruiker verbinding kan maken met de host A zonder authenticatie met behulp van host r-service A). Door de parameters van TCP-pakketten te manipuleren, kan een hacker proberen zich voor te doen als een vertrouwde host en een TCP-verbinding met de aangevallen host te onderscheppen.

Dit is allemaal heel interessant, maar de praktische resultaten van dit soort onderzoek zijn nog niet zichtbaar. Daarom raden we iedereen die dieper op dit onderwerp wil ingaan, aan om het boek te raadplegen, waar de hierboven gepresenteerde informatie voornamelijk uit is gehaald.

Conclusie

Het onderscheppen van netwerkgegevens is de meest effectieve methode voor netwerkhacking, waardoor een hacker bijna alle informatie kan verkrijgen die op het netwerk circuleert. De grootste praktische ontwikkeling is bereikt door het snuiven van gereedschappen, d.w.z. luisteren naar netwerken; We kunnen echter de methoden voor het onderscheppen van netwerkgegevens, die worden uitgevoerd door de normale werking van het netwerk te verstoren om verkeer om te leiden naar een hackerhost, niet negeren, vooral methoden voor het onderscheppen van TCP-verbindingen. In de praktijk zijn laatstgenoemde methoden echter nog niet voldoende ontwikkeld en behoeven verbetering.

Een anti-hacker moet weten dat de enige redding tegen het onderscheppen van gegevens de encryptie ervan is, d.w.z. cryptografische beschermingsmethoden. Wanneer u een bericht via het netwerk verzendt, moet u er van tevoren van uitgaan dat het kabelsysteem van het netwerk absoluut kwetsbaar is en dat elke hacker die op het netwerk is aangesloten, alle verzonden geheime berichten ervan kan onderscheppen. Er zijn twee technologieën om dit probleem op te lossen: het creëren van een VPN-netwerk en het versleutelen van de berichten zelf. Al deze taken zijn zeer eenvoudig op te lossen met behulp van een softwarepakket PGP Desktop-beveiliging(de beschrijving ervan is bijvoorbeeld te vinden in).