Го­ворят, под­слу­шивать нехоро­шо. Одна­ко прос­лушива­ние сетево­го тра­фика для мно­гих не увле­чение, а самая нас­тоящая про­фес­сия. Почему‑то счи­тает­ся, что для это­го тре­бует­ся какое‑то спе­циаль­ное дорогос­тоящее обо­рудо­вание, но я рас­ска­жу, как орга­низо­вать прос­лушива­ние тра­фика в сети с помощью обыч­ных клемм типа «кро­кодил».

info

Эта статья — часть серии пуб­ликаций о прак­тичес­ких при­емах взло­ма и атак с исполь­зовани­ем под­ручных устрой­ств, которые мож­но соб­рать дома. В этих матери­алах мы рас­кры­ваем прос­тые спо­собы получе­ния несан­кци­они­рован­ного дос­тупа к защищен­ной информа­ции и показы­ваем, как ее огра­дить от подоб­ных атак. Пре­дыду­щая статья серии: «Cold boot attack. Дам­пим опе­ратив­ную память с помощью флеш­ки».

Су­щес­тву­ет дос­таточ­но кра­сивая по сво­ей прос­тоте и ори­гиналь­нос­ти ата­ка, которая зак­люча­ется в полудуп­лек­сном прос­лушива­нии тра­фика витой пары RJ45. Это озна­чает, что прос­лушива­ется толь­ко полови­на тра­фика — либо вхо­дящий, либо исхо­дящий.

Сниф­финг витой пары — тема не новая, но она акту­аль­на и по сей день из‑за чрез­вычай­ной рас­простра­нен­ности: нес­мотря на то что сей­час пов­семес­тно исполь­зует­ся «опти­ка», ста­рая доб­рая витая пара по‑преж­нему встре­чает­ся поч­ти в каж­дом подъ­езде или коридо­ре офис­ного зда­ния. В жилых домах мож­но обна­ружить такие про­вода, про­тяну­тые поч­ти к каж­дой квар­тире. А порою это и вов­се выг­лядит при­мер­но так.

Витая пара в незащищенном месте (подъезд)
Ви­тая пара в незащи­щен­ном мес­те (подъ­езд)

Так что твой домаш­ний тра­фик, как мы убе­дим­ся даль­ше, дос­таточ­но лег­ко прос­лушать. Да и в сов­ремен­ных офи­сах так­же час­то мож­но встре­тить витую пару.

Витая пара в незащищенном месте (офис)
Ви­тая пара в незащи­щен­ном мес­те (офис)

Ины­ми сло­вами, ата­ка может быть реали­зова­на из помеще­ния, где есть бес­пре­пятс­твен­ный дос­туп к про­водам витой пары: коридо­ра офис­ного зда­ния или самого обыч­ного подъ­езда.

Ча­ще все­го витая пара встре­чает­ся на «пос­ледней миле», непос­редс­твен­но воз­ле або­нент­ских устрой­ств. Но меж­ду домами, тер­ритори­аль­ными офи­сами ком­паний, то есть на про­тяжен­ных рас­сто­яниях, ско­рее все­го, будет исполь­зовать­ся опти­ка, поэто­му целый дом, ком­панию или даже город, разуме­ется, так прос­лушать не удас­тся.

 

Теория

Про­вод RJ45 сос­тоит из четырех отли­чающих­ся цве­том пар жил. Каж­дая пара — это два про­вода, скру­чен­ные меж­ду собой.

Datasheet RJ45-коннектора
Datasheet RJ45-кон­некто­ра

У каж­дой пары своя роль:

  • зе­леная — при­ем дан­ных;
  • оран­жевая — переда­ча дан­ных;
  • ко­рич­невая — PoE-, дан­ные 1000 Мбит/с;
  • си­няя — PoE+, дан­ные 1000 Мбит/с.

Вхо­дящий и исхо­дящий сетевой тра­фик идет по опре­делен­ной паре жил, а сами бай­ты кодиру­ются прос­тым изме­нени­ем харак­терис­тики элек­три­чес­кого сиг­нала в них.

 

Оборудование

Для реали­зации ата­ки нам пот­ребу­ется обыч­ная сетевая кар­та Ethernet и отре­зок витой пары, сос­тоящий все­го из двух жил. Такой про­вод мож­но сде­лать самос­тоятель­но, купив в спе­циали­зиро­ван­ном магази­не, либо модифи­циро­вать готовый пат­чкорд.

Нас будет инте­ресо­вать толь­ко RX-пара (пер­вая и вто­рая жилы), реали­зован­ная в фор­ме обыч­ного RJ45-кон­некто­ра, как пред­став­лено на сле­дующем рисун­ке.

Datasheet провода атакующего
Datasheet про­вода ата­кующе­го

С обратной сто­роны пер­вую и вто­рую жилу соеди­няем с самыми обыч­ными кро­кодиль­чиками. В ито­ге получа­ется про­вод, про­демонс­три­рован­ный на сле­дующем рисун­ке.

Провод атакующего
Про­вод ата­кующе­го

В дан­ном слу­чае белый кро­кодиль­чик — положи­тель­ный кон­такт, а чер­ный — отри­цатель­ный. Этот модифи­циро­ван­ный про­вод мы под­клю­чим нап­рямую к сетевой кар­те ата­кующе­го.

 

Эксплуатация

Са­мо прос­лушива­ние тра­фика реали­зует­ся под­клю­чени­ем этих самых кро­кодиль­чиков либо к оран­жевой, либо к зеленой паре, как показа­но на сле­дующем рисун­ке.

Подключение к витой паре
Под­клю­чение к витой паре

Продолжение доступно только участникам

Вариант 1. Присоединись к сообществу «Xakep.ru», чтобы читать все материалы на сайте

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее

Вариант 2. Открой один материал

Заинтересовала статья, но нет возможности стать членом клуба «Xakep.ru»? Тогда этот вариант для тебя! Обрати внимание: этот способ подходит только для статей, опубликованных более двух месяцев назад.


  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    18 комментариев
    Старые
    Новые Популярные
    Межтекстовые Отзывы
    Посмотреть все комментарии