WiresharkWireshark 1.2.2Аку ла се тейНашэкспертМар тин Ме ре дитРаз ра бот чикDebian и Ubuntu,экс перт по безопа с н о с т и к р у п н е й ш е г о в В е л и к о б р и та нии роз нич но гоо н л а й н - м а г а з и н а .Мартин Мередит по ка жет, как пе ре хва тить дан ные,пе ре да вае мые по ва шей се ти, и за щи тить пер со наль нуюин фор ма цию от раз гла ше ния.Ин тернет небезо па сен по оп ре де лению. При от прав кедан ных че рез Сеть все гда су ще ству ет ве ро ят ность,ч т о к т о - н и б уд ь п е р е х в а т и т и х , а п от о м д о б е р е т с яи д о в а ш ей п ер с о на л ь н о й и нф о рмац и и . На д е ю с ь ,дан ная ста тья по мо жет вам пре дот вра тить по доб ный сце на рий.П р е ж д е ч е м д о с т ич ь а д р е с а т а , д а н н ы е п р о хо д я т ч е р е з м н о же с т в о с о е д и н е н и й, п у т е ш е с т в у я п о И н т е р н е т у. М н о г и е д а жене до га ды ва ют ся, что по до ро ге эти све дения мо гут быть счи та нына лю бой ма шине, вхо дя щей в це поч ку.И м е я п о д х о д я щ и е и н с т р у м е н т ы , в ы м о ж е т е с а м и п е р е х в а ты вать эти – да и лю бые дру гие – дан ные, цир ку ли рую щиев с ет и . Э т о в о зм о жн о п от ом у, ч т о б о л ь ш и н с т в о с е т е й ф а к т и ч е ски рас сыла ют ин фор ма цию, предназначенную для кон крет но гоад ре са та, всем се те вым ма ши нам под ряд; про сто ваш ком пь ю териг но ри ру ет чу жие па ке ты. В осо бен но сти это спра вед ли во дляб о л ьш и нс т в а б е сп р ов о дн ы х с ет е й , д а ж е « з а щ и щ е н н ы х» с п о м о щью WEP/WPA.Ло вись, рыб ка...Да вай те по про бу ем пе ре хва тить дан ные в ва шей се ти. Сна ча лау с т ан ов и м и нс тр ум е н т п о д н аз в а н и е м Wireshark. В боль шин ствед и с тр ибут ив о в п р ог р а мм у м ожн о п ол у ч и т ь с п о м о щ ью м е н е д же ра па ке тов; в Ubuntu я на би раю сле дую щую коман ду:sudo apt-get install wiresharkЕс л и в в аш е м д ис тр ибут ив е т аког о п аке т а н е н а ш л о с ь, и с хо д ный код мож но най ти на www.wireshark.org/download.html – вместес и нс тр у кц и ям и п о ко мп ил яц и и и у с т а н о в ке.Обыч но Wireshark п о дч ин яе тс я т о л ько п о л ь з о в а т е л ю r o o t . Ч т о б ы з ап у с т и т ь п р ог р а мм у, в в ед ит е ко м а н д у gksu wireshark или аналогич ную. У вас спро сят па роль су пер поль зо ва те ля, по сле че гоWireshark з ап у с т и тс я (к а к о б ычн о, у в е д о м и в о б о п а с н о с т и р а б о т ы в р еж им е r o o t). В р а мк а х н а ш ег о р у ко в о д с т в а э т о п р е д у п р е ждение мож но иг но ри ро вать, но за пуск лю бой про грам мы от именис у п е рп о л ьз ов ат ел я о п ас е н, п оэ т ом у буд ь т е о с т о р ож н ы!П о с л е с т а рт а Wireshark вы уви ди те пустой эк ран с несколькими знач ка ми ввер ху. До по ры мы не бу дем вникать в эти дета л и, п ос ко л ьк у с н ач ал а н у жн о п ер е х в а т и т ь к а к и е - н и буд ь д а н ные. В Wireshark пе рей ди те к ме ню Capture [За хват] и вы бе ри теÄÒÙÜÓÖÑغºÄ½¼ºþþþ¸ÑÐÜÔØÓÒÑкÖÙWireshark позволяе т прос л у ши ва т ь лю бое се т е вое под к лю че ние .44 LXF126/127 Январь 2010
Wiresharkп у н к т In t e r f a c e s [И нт е р ф е й с ы]. В п о я в и в ш е м с я д и а л о г ем ы в ыб ер е м и нт е рф е йс ы, с ко т о р ы х бу д у т с ч и т ы в а т ь с я д а н ные. Про ще все го ука зать Any [Лю бые], что на язы ке Wiresharkоз на ча ет «со брать все дан ные, ко то рые я толь ко ви жу в се ти».На жми те кноп ку Start [Пуск] ря дом с ин тер фей сом Any – и вы увидите глав ный эк ран, раз де лен ный на три части. Верх няя частьнач нет за пол нять ся дан ны ми. Ес ли вы, как и я, един ствен ныйп о л ьз ов ат е л ь с ет и (и л и в а ш а с е т ь п о с т р о е н а н а п е р е к л ю ч а т е лях), то све дений бу дет немно го. По шарь те по Ин тернету, и данныхстанет боль ше (Wireshark з а х в а т ы в а е т л ю бу ю и н ф о р м а ц и ю,п о с т уп а ющ у ю н а в а ш ко м п ь ю т е р и о т п р а в л я е м у ю с н е г о – и в о о б ще все, что по па дет ся в се ти).Пе ре хват WordPressЧто бы при вести при мер дан ных, под вер жен ных пе ре хва ту,я вы полнил локаль ную ин стал ля цию WordPress и со брал дан ные,с г е н е р ир ов а нн ы е в ход е у с т а н о в к и.Я знаю, что WordPress – это web-при ло жение, а зна чит, испо л ьз уе т п р от око л H T T P; п о э т о м у я п р е д п и с а л Wireshark искатьтоль ко HTTP-па ке ты – а имен но, про сто ввел http в по ле фильтра.По сле это го на чи на ет ся за полнение ин фор ма ци он ной ко лон кидан ны ми. Да вай те про смот рим, как я во шел в WordPress.От прав ляя фор му че рез Ин тернет, вы по сы лае те дан ныена сер вер с по мо щью ме то да HTTP под на званием POST. За прашивая страницу, вы поль зуе тесь ме то дом GET это го же про то кола.Что бы за сечь вход в панель ад минист ри ро вания WordPress,мне нуж но оты скать за прос POST, от прав лен ный сце на рию вхо дав систе му. Wireshark п р ед о с т а в л я е т м н о же с т в о с п о с о б о в м а н и п у ли ро вания дан ны ми: да вай те про смот рим все сде лан ные мнойз а п р ос ы POST.На жми те кноп ку Clear [Очи стить] ря дом с по лем фильт ра, затемкноп ку Expression [Вы ра жение]. В окне мож но со ста витьфор му лу, что бы от фильт ро вать дан ные. Гля нув в спи сок FieldName [На звание по ля], мож но за ме тить, сколь ко все го понима етWireshark, н о п ок а н а с и нт е р е с у ю т т о л ь ко з а п р о с ы POST, п о э т о му про кру тим спи сок вниз до пунк та HTTP и раз вер нем его, щелкну в с т р е лк у. В р а зв е рн у вш е м с я с п и с ке н а й д е м п у н к т http.request.method – то есть бу дем от сеи вать дан ные на осно вании ме тода з ап р ос а . В ыб ер ит е п у н к т http.request.method, в по ле Relation[О т н ош е н и е] у к аж ит е ==, а в ка че стве Value [Зна чение] вве ди теPOST; за тем на жми те ОК.Сп и с о к з ах в ач е нн ы х п а ке т о в с о к р а т и т с я д о н е с ко л ь к и х п у н кт о в, и с р ед и н и х буд е т л е г ко о т ы с к а т ь т о т с а м ы й, с о о т в е т с т в у ющ и й о тп р а вл е нн ом у м н о й з а п р о с у к /wordpress/wp-login.php.Да вай те рас смот рим его под робнее.Вы за ме ти те, что эк ран те перь раз де лен на три части (ес лин е т, п оп р обу йт е р а зв е рн у т ь о к н о). Ц е н т р а л ь н а я ч а с т ь о к н а п о з в о л яе т и з уч и т ь п аке т в о в с е х д е т а л я х . Н а с и н т е р е с у е т р а з д е лLine-based text data [Тек сто вые стро ки], в ко то ром все го однастро ка, вот та кая:log=admin&pwd=HCnr9%5E%40rWsbt&wpsubmit=Log+In&redirect_to=http%3A%2F%2Flocalhost%2Fwordpress%2Fwp-admin%2F&testcookie=1Эти дан ные пред став ля ют со бой па ры «ключ–зна чение», закод ир ов а нн ы е п о с хем е U RL . Д екод ир у е м и х – п о л у ч и м с в е д е н и я,при ве ден ные в таб ли це внизу сле ва.Уз н а ет е? Э т о и м я п о л ьз ов ат ел я и п ар о л ь, с ко т о р ы м и в ы в о шли в WordPress. То есть тот, кто пе ре хва тил ва ши дан ные, по лучилдоступ к ва ше му бло гу и те перь мо жет вы тво рять там все, чтоему взду ма ет ся, по ка вы не смените па роль.Ка кой ужас!А что с элек трон ной по чтой? Ес ли у вас обыч ный поч то вый клиент,то вы мо же те пе ре хва тить пе ре го во ры вро де этих:< 220 stupor.sourceguru.net ESMTP Postfix (Ubuntu)> EHLO sourceguru.net< 250-stupor.sourceguru.net> AUTH PLAIN JiM2NTUzMztseGZ1c2VyJiM2NTUzMztseGZwYXNzd29yZA< 235 2.7.0 Authentication successful> MAIL FROM: SIZE=456 AUTH=< 250 2.1.0 Ok> RCPT TO: ORCPT=rfc822;mez@debian.org< 250 2.1.0 Ok> DATA< 354 End data with .> Date: Sun, 13 Sep 2009 20:59:06 +0100> From: Martin Meredith > To: mez@debian.orgС ерт ификат ы S S LАс ке ти че ский интерфейс вско ре заполнит ся дан ны мивсех сор тов...СкораяпомощьЕс ли вы поль зуетесьGoogle Mail,пе рей ди те в менюНа строй кии у с т а н о в и т е п е р е к л ю ч а т е л ь И с поль зо вать толь коHTTPS, что бы всегдапод клю чатьсятоль ко че резб е з о п а с н о е с о е д и не ние.К а к п р а в и л о, с е р т и ф ик а т S S L в ыд ае тс я ц е н п о д п и с а н н ы х с е р т и ф ик ат о в в с е м п о л ь з о в а т р о м с е р т и ф и к а ц и и к а к п о дт в е рж д е н и е л и ч т е л я м. П о д т в е р ж д е н и е л и чн ос т и п о л ь з о в а т е н о с т и п р е д ъ я в и т е л я. Е сл и а др е сн а я с т р ок а л е й в C A c e r t о с у щ е с т вл яе тс я с п о м о щ ь ю м о д е в в а ш е м б р а у з е р е о кр аш ен а в з ел ен ы й ц в е т, ли Web of Trust (WoT), то есть «се ти до ве рия».т о с е р т и ф и к а т, о т п р а вл е нн ы й в а м , п р ош е л Что бы стать под твер жден ным поль зо ва те лемПе ре хват дан ных WordPressРас ши рен ную про вер ку [Extended Verification]. C A c e r t , н у ж н о о т ы с к а т ь д р уг и х п о л ь з о в а т е Зна чит, вы мо же те быть уве ре ны в том, что лей этой се ти и пре дъя вить им до ка за тель ствас е р в е р, к к о т о р о м у в ы о бр ащ а ет е с ь, п р ин а д п о д л и н н о с т и в а ш е й л и чн ос т и . Э т и п о л ь з о в а ле жит имен но той ком пании, с ко то рой вы т е л и (е с л и д о к а з а т е л ьс т в а и х у с т р о я т) н а ч и с П а р а м е т рЗна че ниев е д е т е п е р е г о в о р ы.ля ют вам «оч ки». На брав 50 оч ков, вы смо жетесоз дать «под твер жден ный» сер ти фи кат,ÄÒÙÜÓÖÑغºÄ½¼ºþþþ¸ÑÐÜÔØÓÒÑкÖÙlogadminБ о л ь ш и н с т в о ц е н т р о в б ер у т п л ат у з а п о д твер ждение ва шей лич но сти, и в неко то рых то есть CAcert в этом слу чае бу дет уве ре на в ваше й л и ч н о с т и. Те х н о л ог и я C A c e r t р а с п о з н а е тpwdHCnr9^@Wsbtс л у ч а я х о н а д о х о д и т д о т ыс я ч д о лл ар о в. А л ь wp-submitLog inтер на тив ный спо соб для тех, у ко го нет лишнихденег на по куп ку ком мер че ско го сер ти фид и с т р и б у т и в о в L i n u x с н а бж ае тс я ф а й л а м и , п о ся по ка не все ми брау зе ра ми, но боль шин ствоredirect-tohttp://localhost/wordpress/wp-adminка та – об ра щение в CAcert. Это ор ганиза ция, з в о л я ю щ и м и п о л ь з о в а т ьс я C A c e r t- с е р т и ф и к а testcookie 1ц е л ь ю к о т о р о й я в л я е тс я в ыд ач а б е сп л а тн ы х т а м и н а р а в н е с к о м м е рч ес к им и .Январь 2010 LXF126/127 45