Перехват и анализ трафика со смартфона при помощи wireshark

Содержание:

Зайдя в настройки CommView wi-fi надо выбрать пункты:
- Экспорт пакетов TCPdump
Анализ трафика в открытых Wi-Fi сетях
Mitmproxy
Шаг 6. Что делать, если трафик зашифрован и используется HTTPS?
Пользование CommView wi-fi
Разведка с помощью WiFi Explorer
- - Самые удобные функции для меня:
Перехватить не HTTP-трафик в SSL
SSL Pinning
Анализ конкурентов

Зайдя в настройки CommView wi-fi надо выбрать пункты:

преобразовывать номера портов в имена служб;
преобразовывать МАС-адреса в псевдонимы;
преобразовывать айпи адрес в псевдоним;
преобразовывать айпи адреса имени хостов в пакетах;
показывать названия производителей в МАС-адресах;
принудительная дешифровка CommView wi-fi;
игнорировать поврежденные пакеты в сканере;
активное обнаружение узлов.

Перед тем как пользоваться CommView wi-fi нужно в разделе «Использование памяти» выставить максимальное число пакетов 20 000 и максимальное количество строк текущих соединений 20. Чем выше выставить RAМ, тем больше будет скорость процессов.

Далее необходимо нажать кнопку «Захват» и в появившемся окне нажать «Начать сканирование». Весь список найденных точек отобразиться справа. Следует выбрать интересующую сеть и нажать «Захват». Стоит дождаться, когда нужное количество пакетов будет в пределах от 100 000 до 2 000 000, все зависит от того, насколько длинный ключ.

После сбора всех необходимых пакетов нажать комбинацию клавиш Ctrl+L и появится окно, где нужно перейти в раздел «Файл» и активизировать пункт «Загрузить log файлы». Выбрать все полученные файлы. Дальше в меню CommView wi-fi «Правила» выгрузить то, что было сохранено ранее.

Экспорт пакетов TCPdump

Запустив программу AirCrack нужно ввести данные и параметры, указать путь к файлу с полученными пакетами.

В «Encryption» выбрать «WEP». «Key size» — это размер ключа, нужно проработать по очереди начиная с меньшего значения. Если пакетов было захвачено достаточно, можно активировать пункт «USE PTW attack». Кликнуть по кнопке Launch. Если программе удастся обнаружить нужный ключ, он отобразиться в окне с некоторым содержанием, по которому можно далее расшифровать полученное значение. Если же ключ найти не удалось, стоит попробовать весь процесс заново.

Если у Вас не получается что то сделать самостоятельно, то советуем обратится в скорую компьютерную помощь — pchelp24.com, приемлемые цены, опытные специалисты, бесплатный вызов и диагностика.

(6 голосов, в среднем: 3.2 из 5)

Анализ трафика в открытых Wi-Fi сетях

В процессе работы airodump-ng будет создан файл с расширением .cap, например, openap-01.cap.

Для анализа данных можно использовать разные программы, я покажу анализ беспроводного трафика с Wireshark.

Откройте файл с захваченными данными в Wireshark.

Для выделения разных данных нам понадобятся фильтры Wireshark. Здесь я покажу пример использования только некоторых фильтров, рекомендуется изучить большую подборку полезных фильтров Wireshark .

Для оценки качества захвата, можно начать с фильтров, которые выводят результаты анализа TCP протокола.

Например:

tcp.analysis.duplicate_ack_num == 1

Этот фильтр выводит информацию о фреймах с флагом ACK, которые являются дублями. Большое количество таких фреймов может говорить о проблемах связи между Клиентом и Точкой Доступа.

Фильтр показа фреймов для которых не захвачен предыдущий сегмент:

tcp.analysis.ack_lost_segment

Это нормально в начале захвата данных — поскольку информация перехватывается не с самого начала. Но если эта ошибка часто возникает в дальнейшем, значит вы находитесь слишком далеко от Точки Доступа или Клиентов и вы не захватывает часть данных, которые они передают.

Для показа фреймов, которые являются ретрансмиссией (отправляются повторно):

tcp.analysis.retransmission

Большое количество таких фреймов может говорить о том, что между Клиентом и ТД плохая связь и им часто приходится отправлять повторно одни и те же данные.

С помощью фильтра

arp

Можно увидеть ARP трафик — с его помощью удобно анализировать, сколько всего устройств в данный момент подключено к локальной сети, какие у них IP адреса и какие MAC адреса. Зная MAC адрес устройства можно узнать его производителя.

С помощью фильтра

dns

можно увидеть все отправленные DNS запросы.

Благодаря этим запросам можно узнать, какие сайты посещали пользователи (даже если эти сайты используют HTTPS!), а также к каким онлайн сервисам были сделаны запросы.

Например, на скриншоте можно увидеть адреса онлайн кинотеатра Netflix, Facebook, различных сервисов Google.

Для фильтрации HTTP трафика фильтр:

http

Здесь можно узнать множество интересной информации. Например, можно увидеть запросы к сервисам и передаваемые данные, в том числе API ключи, идентификаторы устройств и прочее:

Можно увидеть посещённые URL адреса со всеми передаваемыми параметрами:

Видны информация авторизации, используемой при отправке данных:

Видны загруженные и открытые в Интернете файлы:

Вы можете сохранить любой переданный файл. Для этого выделите мышкой пакет, который его содержит (1), затем в средней панели, которая содержит подробную информацию, пролистните в самый низ, чтобы найти поле с данными и кликните на него правой кнопкой мыши, чтобы вызвать контекстное меню (2), в контекстном меню выберите Export Selected Packet Bytes (3) — Экспортировать байты выбранного пакета:

Введите имя файла, выберите расположение и сохраните его.

Кто-то обновляет Windows:

Также видны установленные пользователю кукиз или переданные им кукиз:

С помощью фильтра

http.cookie

можно увидеть HTTP запросы, в которых передавались кукиз.

А с помощью фильтра

http.set_cookie

можно увидеть запросы, в которых сервер установил кукиз в браузер пользователя.

Соседи скачивают странные торренты:

Переданные методом POST данные также видны:

Для поиска любых переданных изображений:

http.content_type contains «image»

Для поиска определённых видов изображений:

http.content_type contains «gif» http.content_type contains «jpeg» http.content_type contains «png»

Для поиска файлов определённого типа:

http.content_type contains «text» http.content_type contains «xml» http.content_type contains «html» http.content_type contains «json» http.content_type contains «javascript» http.content_type contains «x-www-form-urlencode» http.content_type contains «compressed» http.content_type contains «application»

Поиска в Wireshark запросов на получения файлов определённого типа. Например, для поиска переданных ZIP архивов:

http.request.uri contains «zip»

Вместо http.request.uri для большей точности можно использовать фильтры http.request.uri.path или http.request.uri.query, например, для поиска запросов на скачивание файлов JPG (ссылки на картинки):

http.request.uri.path contains «jpg»

Фильтр, который показывает только данные, переданные методом POST:

http.request.method == «POST»

Фильтр, который показывает только данные, переданные методом GET:

http.request.method == «GET»

Поиск запросов к определённому сайту (хосту):

http.host == «<URL>»

Поиск запросов к определённому сайту по части имени:

http.host contains «здесь.частичное.имя»

Mitmproxy

Mitmproxy является бесплатным и опенсорсным ( ~12000 звезд на гитхабе) HTTP(S)-proxy, который состоит из непосредственно самого Mitmproxy — консольной утилиты для проксирования трафика, mitmdump — дополнительной консольной утилиты, представляющей функциональность похожую на tcpdump, но для HTTP(S) трафика, а также mitmweb — веб-интерфейса для Mitmproxy.

Установить Mitmproxy можно с помощью Homebrew:

Или загрузить нужную версию со страницы релизов с официального сайта.

После успешной установки для анализа HTTP трафика с симулятора или девайса необходимо указать прокси в настройках сети.

Для симулятора необходимо активировать HTTP и HTTPS прокси в настройках сети Mac OS (System preferences -> Network -> Advanced -> Proxies):

Небольшой bash-скрипт для быстрой активации/деактивации прокси в настройках сети для Wi-Fi на Mac. (Один раз прописали IP и порт прокси в настройках и затем используем из консоли команду или ).

Для перехвата трафика с реального девайса необходимо указать прокси в настройках сети iOS, при этом в качестве IP-адреса прокси указываем IP-адрес компьютера с запущенным Mitmproxy, в качестве порта — 8080. (IP-адрес компьютера можно посмотреть в Settings > Network)

На данном этапе мы уже можем перехватывать HTTP трафик, но для перехвата HTTPS трафика необходимо установить сертификаты Mitmproxy на симулятор/девайс.
Для этого на симуляторе выполним следующее(для реального девайса действия аналогичны):

Теперь мы можем анализировать HTTPS трафик с симулятора. Остается добавить небольшое уточнение: сертификат устанавливается для конкретного симулятора, то есть если мы сделали это только для симулятора iPhone X, то на симуляторе iPhone 8 нужно проделать то же самое, чтобы прокси перехватывал HTTPS трафик. Для перехвата HTTPS трафика с реального девайса все шаги аналогичны, главное, чтобы он был подключен к той же локальной сети, что и компьютер с Mitmproxy.

После этого можно запустить mitmproxy из консоли ~~и почувствовать себя хакером~~ или веб-клиент mitmweb.

Консольный клиент встречает нас ламповым интерфейсом (для любителей GUI есть даже поддержка мышки), где отображаются все перехваченные запросы.

Можно просмотреть детальную информацию по каждому запросу (параметры запроса, заголовки, ответ и т.д.)

В Mitmproxy есть мощная система фильтрации запросов с поддержкой регулярных выражений. Можно фильтровать запросы по коду, телу запроса/ответа, заголовкам, домену и т.д. Вызвать справку по доступным шорткатам и выражениям для фильтрации можно нажав . Например, чтобы очистить список запросов для текущей сессии можно просто нажать , а чтобы отфильтровать список запросов по URL в котором есть слово «apple» нужно нажать и написать выражение фильтрации по URL , которое принимает регулярное выражение.

Также поклонники Vim будут довольны поддержкой hjkl. Чуть не забыли про очень важный шорткат — работает как кнопка «назад» при перемещении между экранами, а на главном экране со списком запросов при нажатии этого шортката Mitmproxy предложит выйти из программы.
Несмотря на консольный интерфейс пользоваться Mitmproxy одно удовольствие благодаря удобным шорткатам и простому интуитивному управлению. Ниже представлена небольшая таблица с основными шорткатами.

Шорткат	Описание
?	Cправка
z	Очистка списка текущей сессии
f	Фильтрация сессии
q	Назад (выход на главном экране)
d	Удалить запрос из списка сессии
r	Повторить запрос
e	Сохранить запрос в файл
g	В начало списка сессии
G	В конец списка сессии

Если Вы все же ярый противник консоли и признаете только GUI приложения, то здесь к нам на помощь спешит mitmweb, запустим его пока также из консоли, позже можно сделать ярлык на рабочий стол.

Веб-клиент пока что находится в Beta-тестировании и в нем присутствует только базовый функционал mitmproxy (хватает для 95% задач), который постепенно дополняется новыми фичами с каждым новым релизом, но несмотря на это им уже сейчас можно пользоваться и это очень удобно. Некоторые шорткаты из консольной версии работают и здесь, например, для очистки списка запросов текущей сессии нужно просто нажать . Можно также отфильтровать перехваченные запросы через поле «Search», как мы делали это в консольном приложении, когда применяли фильтр .

Mitmproxy заявляет о поддержке стандарта Websocket, но к сожалению отображение Websocket фреймов в UI пока что не реализовано и по заверениям разработчиков функциональность Websocket доступна только для утилиты mitmdump.

Шаг 6. Что делать, если трафик зашифрован и используется HTTPS?

Для ответа на этот вопрос есть несколько вариантов.

Вариант 1. Подключиться в разрыв соединения между пользователем и сервером и захватить трафик в момент установления соединения (SSL Handshake). В момент установки соединения можно перехватить сеансовый ключ.

Вариант 2. Вы можете расшифровать трафик HTTPS, используя файл журнала сеансовых ключей, записываемый Firefox или Chrome. Для этого браузер должен быть настроен на запись этих ключей шифрования в файл журнала (пример на базе FireFox), и вы должны получить этот файл журнала. По сути, необходимо похитить файл с ключом сессии с жесткого диска другого пользователя (что является незаконным). Ну а далее захватить трафик и применить полученный ключ для его расшифровки.

Уточнение. Мы говорим о веб-браузере человека, у которого пытаются украсть пароль. Если же мы подразумеваем расшифровку нашего собственного HTTPS трафика и хотим потренироваться, то эта стратегия будет работать. Если вы пытаетесь расшифровать HTTPS трафик других пользователей без доступа к их компьютерам, это не сработает – на то оно и шифрование, и личное пространство.

После получения ключей по варианту 1 или 2 необходимо прописать их в WireShark:

Идем в меню Edit – Preferences – Protocols – SSL.
Ставим флаг «Reassemble SSL records spanning multiple TCP segments».
«RSA keys list» и нажимаем Edit.
Вводим данные во все поля и прописываем путь в файлу с ключом

WireShark может расшифровывать пакеты, которые зашифрованы с использованием алгоритма RSA. В случае если используются алгоритмы DHE/ECDHE, FS, ECC, сниффер нам не помощник.

Вариант 3. Получить доступ к web-серверу, которым пользуется пользователь, и получить ключ. Но это является еще более сложной задачей. В корпоративных сетях с целью отладки приложений или контент фильтрации этот вариант реализуется на легальной основе, но не с целью перехвата паролей пользователей.

>БОНУС>HackWare.ru

Пользование CommView wi-fi

Перед установкой CommView wi-fi следует убедиться на счет поддержки программой установленного сетевого адаптера. Также если возникнет запрос на обновление карты Wi-Fi необходимо согласиться и обновить драйвер. Для нормального пользования CommView wi-fi потребуются дополнительные пакеты.

Aircrack-ng представляет собой отличный снифер, однако его работе под Windows могут возникать некоторые трудности. Такая платформа имеет свой недостаток — она не может работать со стандартными инструментами и переводить wi-fi карточку в режим снифера, для сбора пакетных данных. Для этого следует использовать сторонние драйвера. Однако лучшим вариантом будет связать снифер CommView wi-fi с утилитой Aircrack для взлома ключа WEP. Используя эту связку можно отказаться от установки драйверов для перевода карты в режим снифера.

Обновив драйвера необходимо перейти и активировать пункт захвата DATA для пакетов и пропуск пакетов BEACON. В других местах стоит снять галочки.

Разведка с помощью WiFi Explorer

только активное сканирование

Самые удобные функции для меня:

Визуальный анализатор спектраПодробная информация по каждой точке доступа

BSSID — MAC-адрес точки доступа. Удобно видеть все точки доступа, когда их несколько с одинаковым ESSID. По первым трем байтам вычисляется производитель из базы oui.
ESSID — имя Wi-Fi-сети. Также удобно видеть, когда точки доступа с одним BSSID вещают несколько разных имен. Можно отсортировать список по имени сети и увидеть, сколько физических точек доступа обслуживают сеть с одним именем.
WPS — поддержка WiFi Protected Setup, удобно оценить, какие сети с бОльшей вероятностью получится взломать. В линуксе для этого существует утилита wash, которая показывает больше информации про состояние WPS.
Device Name — дополнительное поле в beacon-фреймах, в котором содержится имя устройства. В этом поле иногда бывают интересные данные, вроде типа устройства, например: ТВ-Приставка, медиа-конвертер, или серийный номер роутера. Иногда эта информация может быть полезна.
Частоты, номер канала, ширина канала — удобно для настройки сложных систем с десятками точек доступа, и в случаях, когда нужно вручную указывать частоту, как в оборудовании Mikrotik.

Перехватить не HTTP-трафик в SSL

Решение: Как ты, наверное, заметил, описанный выше транспарент-прокси для SSL-трафика, по сути, представляет собой простой порт-форвардинг. Получается такой редирект с подменой сертификата. И на самом деле, ведь в данном случае нет никакой особой привязки к протоколу, который находится внутри SSL. То есть предыдущая задача в какой-то мере подвид этой.

Наш же вопрос с прошлого топика — а что делать, если внутри SSL используется не HTTP-протокол? IMAPS, FTPS и почти любой другой аналогичный протокол с буковкой S на конце. В SSL запихивают все подряд. А ведь как сладко было бы обойти SSL и добраться до чистого трафика…

Ответ простой. В других случаях — не использовать Burp :), а использовать что-то другое. Есть много различных тулз, которые в этом помогут. Какие-то из них заточены под конкретный протокол, но есть и универсальные. С одним из универсалов я и хотел бы тебя сегодня познакомить — с SSLsplit.

Тулза эта прекрасна тем, что ее основная идея очень проста и понятна, но при этом имеется приличный объем специфичных настроек. Она представляет собой простой порт-форвардер («если трафик пришел на такой-то порт — пересылай все в такое-то место»), но имеет возможность для «работы» с SSL. Можно подсунуть реальный (краденый) сертификат, создать самоподписанный или подписанный своим CA. Также поддерживает автоматическую генерацию на основе SNI или редирект трафика на конечный IP-адрес (когда мы изображаем из себя гейтвей). Плюс она консольна, что позволяет легко автоматизировать типовые действия. Все это в целом делает ее куда более юзабельной для проведения атак (а не просто анализа протоколов приложений). Что делать дальше с трафиком — это уже зависит от твоих потребностей.

Не буду приводить здесь мануалы по пользованию, а ограничусь небольшим показательным примером.

Здесь и указывают путь до приватного ключа и сертификата нашего CA, которые можно сгенерить при необходимости, используя openssl. Остальные параметры:

-l — путь до файла, в котором будет вестись лог коннектов;
-L — путь до директории, в которой будут сохраняться логи всех подключений (в плейн-тексте);

Далее блок «ssl 0.0.0.0 993 www.example.org 993». Ssl указывает, что мы снифаем SSL и надо подменить сертификат. Далее интерфейс и порт, на котором SSLsplit будет прослушивать трафик. Последняя пара — имя домена и порт, куда SSLsplit должен подключиться.

Блок «tcp 0.0.0.0 143» почти аналогичен. Но здесь мы указываем, что ssl не используется (поэтому tcp), а также входной порт SSLsplit. Если SSLsplit «подключен», как гейт (шлюз), то можно не указывать конечную точку подключения, так как она будет взята из IP-заголовков.

Таким образом, мы имеем простую и универсальную тулзу. Описание ее использования с примерами можно почитать здесь, а здесь перечень всех возможностей (man).

Пример того, как подменяется сертификат и мы получаем чистый IMAP-трафик

SSL Pinning

Если в вашем приложении реализован SSL Pinning, то вы не увидите проксируемого трафика приложения, так как прокси использует собственный сертификат для SSL, в этом случае есть 4 варианта:

Временно отключать SSL Pinning на время отладки сетевых запросов с помощью прокси.
Добавить сертификат/публичный ключ прокси к запиненным сертификатам/ключам для debug билдов.
Использовать сертификат вашего сервера для прокси вместо сгенерированного им собственного сертификата.
Вместо внешнего прокси использовать фреймворк для отладки (список фреймворков указан в самом начале статьи), который будет перехватывать и показывать запросы и ответы непосредственно в самом приложении, но для этого требуется интеграция в существующий исходный код приложения, более подробно об этих инструментах в следующей статье.

Анализ конкурентов

Изучение поисковой выдачи «Яндекс» и Google: Site-Auditor

Позиции сайтов конкурентов в выдаче и динамику (историю) изменений наиболее удобно отслеживать в полностью бесплатной программе Site-Auditor. Указав адрес интересующего ресурса, вы в один клик получаете все ключевые данные по сайту из поисковиков, в т.ч. позиции по сформированному списку запросов (самостоятельно или через Wordstat.yandex.ru).

С ее помощью также можно провести экспресс-аудит сайта конкурента: узнать, сколько страниц проиндексировано, посмотреть, какие системы статистики установлены, тИЦ, PR и многое другое. Также Site-Auditor можно использовать для проверки SEO-продвижения своего сайта и для того, чтобы регулярно отслеживать динамику изменений позиций.

Как проводить бизнес-разведку?

Анализ конкурентов в поиске «Яндекс» и Google: Spywords Как продвигают свой сайт ваши конкуренты, можно узнать с помощью таких сервисов как Spywords.ru, Advse.ru, Advodka.ru, Adtrends.ru. Их функционал не сильно отличается, поэтому мы рассмотрим подробно только один из них – spywords.ru – он дает больше всего информации и имеет ограниченную бесплатную версию.

Как узнать конкурентов?

Конкурентов в контекстной рекламе, в поисковой выдаче «Яндекс» и Google и их запросы, объявления, позиции и многое другое; Динамику различных показателей (кол-во запросов, бюджет на контекст и т.д.) по времени; Ведут ли контекстную рекламу ваши конкуренты постоянно и равномерно либо увеличивают бюджет в сезон, а в не сезон приостанавливают рекламу? и т.д.

При анализе будьте внимательны: не принимайте цифры статистики как абсолютные и точные величины, поскольку эти данные вычисляются с помощью определенного алгоритма и возможна погрешность.

Вот что можно узнать благодаря сервису

Сравнение трафика: Similarweb. Сервис поможет вам сравнить трафик c конкурентами и найти возможности, которые вы еще не используете в своем бизнесе.

Трафик на сайт за последний месяц и динамику трафика за последние 6 месяцев;
Поведенческие факторы на сайте: показатель отказов, среднее время на сайте, глубину просмотра;
Источники трафика за последние 3 месяца: соотношение прямого, поискового и т.д.;
Внешние ссылки (в ограниченной бесплатной версии – только 5) – можно увидеть ресурсы, с которых больше всего пользователей приходит на сайт вашего конкурента.

Изучение трендов: Google.com/trends и Wordstat.yandex.ru С помощью сервисов «Тренды» Google и «Яндекс» вы можете посмотреть динамику и историю запросов в каждой стране или по всему миру.