Video: Threat Hunting Masterclass: Three Data Science Notebooks to Find Bad Actors in Your Network Logs 2024
Pakke sniffing, en netværksangrebsstrategi, fanger netværkstrafik på Ethernet-rammeniveau. Efter indfangning kan disse data analyseres, og følsomme oplysninger kan hentes. Et sådant netværksangreb starter med et værktøj som Wireshark. Wireshark giver dig mulighed for at fange og undersøge data, der flyder på tværs af dit netværk. Alle data, der ikke er krypterede, er læsbare, og desværre er mange typer trafik på dit netværk bestået som ukrypterede data - selv adgangskoder og andre følsomme data.
Denne situation udgør naturligvis en fare for dine virksomhedsdata. Mange applikationer, der huser virksomhedens data (selv dem med smarte Windows-baserede GUI'er) bruger stadig Telnet som dataoverføringsmekanismen. Telnet er en klar tekst, ukrypteret dataoverføringsmekanisme. En person med en pakningssnyder kan se disse data, da den krydser dit netværk.
FTP logon data fanget bag FTP vinduet vises, der viser brugerens adgangskode. At have din FTP-adgangskode kendt gør det muligt for angriberen at få dit adgang til dit FTP-websted og eventuelle hemmelige data, der kan være der. ud over det, mange brugere, der bruger samme adgangskode til alle systemer på netværket. Nu har angriberen adgang til flere af dine virksomhedssystemer.
Ud over at indfange cleartext-sessioner, som f.eks. Login-trafik, kan en hacker have et program, der kun indfanger specifikke data fra et netværk, som f.eks. Netværksgodkendelsespakker, som hun derefter anmelder for at knække netværksadgangskoder.
Hvis du bruger et switchbaseret netværk, gør du pakken sniffing lidt hårdere. På et switchbaseret netværk vil snifferen kun se data, der går til og fra snifferens egen netværksenhed eller broadcasttrafik, medmindre angriberen bruger en overvågningsport på en switch. Hvis du ikke har sikret dine switche og din switchkonfigurationsdokumentation med et stærkt kodeord, forlader du dig selv til et pakkesnuftangreb.
En pakke-sniffing angreb på et switch-baseret netværk sker sådan: Angregeren forbinder til en switch og bruger oplysninger fra den pågældende switch til at finde sin egen MAC-adresse. Angregeren lokaliserer sin MAC-adresse via visningsadresse-database, som giver ham besked om, hvilken port adressen er set på.
Angriberen kan følge stien, indtil han finder den switch, som han er tilsluttet til. Derefter kan angriberen aktivere en monitorport som den port, som han tilsluttede. Nu kan han se al trafikken på den pågældende switch og kan starte en pakkeindsamling af data.
Skift sikkerhed er den første linje i din netværkssikkerhed fra intern hacking. Skift sikkerhed er vejangribere skal gå igennem for at komme til resten af dit netværk. Hvis du kan holde angriberne fra at forbinde eller begrænse deres evne til at få følsomme oplysninger, slår du dem.
