Сниффер трафика. Смотрим свои пароли глазами провайдера с Wireshark.

Здравствуй, в предыдущей статье я сказал, что разберем как провайдер видит трафик на примере HTTP соединения, так же наглядно покажу почему нельзя пользоваться публичным wifi без VPN и как мошенники воруют аккаунты.

Что такое сниффер?

Сниффер - это программа или устройство для перехвата и анализа сетевого трафика. Снифферы полезны для диагностики сети, можно найти уязвимости, утечки данных, вирусы, так же они не менее часто используются для кражи паролей, ну и естественно у каждого провайдера есть подобный сниффер.

Сниффер анализирует весь входящий и исходящий трафик, что для нас не хорошо, ведь злоумышленник легко может установить его через публичный wi-fi, причем его очень тяжело обнаружить. Но мы будет использовать его в благих целях. Возможно потом будет пару статей о противоположной стороне.

Перехватываем пароли

Для примера я возьму самый известный сниффер Wireshark, он бесплатный и с открытым исходным кодом. После установки, нужно запустить его от имени администратора, чтобы избежать возможных ошибок. Вы увидите свое подключение, переходим на него.

Здесь будут показаны все исходящие и входящие пакеты, даже если вы ничего не будете делать, данные будут все равно обновляться, не забыли про количество фоновых программ?

Но не буду пугать огромным количеством непонятных вещей, перейдем к практике и увидим как же на самом деле передаются данные в незашифрованном виде.

Я буду использовать данный сайт для примера, на безопасность там даже не смотрели, да и "врачей", которые убивают людей и лечат воздухом не очень жалко.

Как вы видите снизу есть поля для логина и пароля.

Не выключаем Wireshark и вводим туда абсолютно любые данные и нажимаем вход.

Главное, чтобы перекинуло на эту страницу.

Представим, что вы провайдер, майор или хакер, подключись к пользователю, вот он вошел на сайт и вы хотите увидеть его данные. Что же, переходим в Wireshark и вставляем строчку ниже в это поле.

http.request.method == GET or http.request.method == POST

POST и GET - это методы передачи данных через форму, в данном случае форма входа и вышеуказанной командой мы просим программу отобразить все, что с ней связано.

Нажимаем на самый первый пакет, ведь в нем содержались данные логина и пароля, далее открываем внизу последний пункт и смотрим. Перед нами абсолютно открытие данные, не забывайте, что это очень легко сделать в публичных wi-fi сетях, даже если протокол HTTPS, подмену протокола никто не отменял.

Кстати, помните про user-agent? Строчка в запросе, которая дает очень много информации о вас. Тут она тоже присутствует.

Итог

Сегодня ты узнал как провайдер на самом деле видит твой трафик, и что можно легко собрать все действия пользователя и они будут в открытом виде.

Если вы еще заходите на сайты без шифрования, то лучше не стоит. Так же если очень нужен публичный wi-fi, то не скупитесь на 10-20% скорости и используйте VPN.

Больше материала на it_sekreti.