LabEx
ВходРегистрация

Поиск скомпрометированных учетных данных для входа

WiresharkBeginner
Практиковаться сейчас

Введение

В этом задании вы возьмете на себя роль специалиста по сетевой безопасности, расследующего потенциальную утечку данных в вашей компании. Ваша задача — проанализировать сетевой трафик с помощью Wireshark, чтобы определить, передавались ли какие-либо учетные данные пользователей в открытом виде, что могло бы объяснить компрометацию конфиденциальной информации.

Задание требует изучения файлов захвата пакетов (PCAP) недавних сетевых коммуникаций для поиска скомпрометированных учетных данных. Применяя методы анализа пакетов, вы выявите случаи, когда имена пользователей и пароли могли передаваться без надлежащего шифрования, что подчеркивает критическую важность использования безопасных протоколов для обработки данных аутентификации.

Поиск скомпрометированных учетных данных для входа

В вашей компании была обнаружена потенциальная утечка данных. Как специалист по сетевой безопасности, вы должны проанализировать недавний сетевой трафик, чтобы определить, передавались ли учетные данные пользователей в открытом виде, что могло стать причиной утечки.

Задачи

  • Создайте фильтр отображения для поиска пакетов, содержащих слова 'user', 'pass' или 'login'
  • Выявите и извлеките любые скомпрометированные учетные данные
  • Задокументируйте обнаруженные учетные данные в требуемом формате

Требования

  • Откройте файл захвата пакетов, расположенный по адресу /home/labex/project/network_analysis/company_traffic.pcap, с помощью Wireshark

  • Создайте фильтр отображения, который будет показывать пакеты, содержащие возможную информацию об учетных данных

  • Ваш фильтр должен искать в содержимом пакетов слова 'user', 'pass' или 'login'

  • Сохраните фильтр для проверки, нажав кнопку "+" в строке фильтров после того, как убедитесь в его работоспособности

  • После обнаружения учетных данных сохраните их в файл /home/labex/project/network_analysis/found_credentials.txt в следующем формате:

    username: [found username]
password: [found password]

Примеры

Когда вы примените правильный фильтр, Wireshark должен отобразить только пакеты, содержащие информацию об учетных данных. Пакет с учетными данными может отображаться как HTTP или TCP в списке пакетов, поэтому сосредоточьтесь на содержимом пакета, а не только на столбце Protocol.

No.  Time     Source        Destination   Protocol  Length  Info
1    0.000000 192.168.0.2   192.168.0.1   TCP       193     51234 -> 80 [PSH, ACK] Len=139

При изучении сведений о пакете или просмотре потока (Follow Stream) вы сможете увидеть учетные данные в открытом виде:

GET /login.php HTTP/1.1
content: username=admin&password=secret123

Ваш файл found_credentials.txt должен выглядеть так:

username: admin
password: secret123

Подсказки

  • Запустите Wireshark из терминала командой wireshark
  • Чтобы открыть файл захвата пакетов, используйте File > Open и перейдите к нужному файлу
  • Строка фильтра отображения находится в верхней части окна Wireshark
  • Для поиска по нескольким терминам с использованием логики ИЛИ используйте or или двойную вертикальную черту || (например: frame contains "user" or frame contains "pass")
  • Ищите по содержимому пакетов, а не полагайтесь только на столбец Protocol, так как соответствующий запрос может отображаться как TCP-пакет в списке
  • Фильтры Wireshark по умолчанию чувствительны к регистру
  • Вы можете создать файл с учетными данными с помощью любого текстового редактора, например nano или gedit

Резюме

В этом задании я научился использовать Wireshark для анализа сетевого трафика и выявления потенциальных уязвимостей безопасности, связанных с компрометацией учетных данных. Задача заключалась в изучении PCAP-файла сетевого трафика компании для поиска случаев, когда учетные данные пользователей передавались в открытом виде, что могло объяснить обнаруженную утечку данных.

Благодаря тщательному анализу пакетов я обнаружил запрос на вход, содержащий незашифрованные данные username=admin&password=secret123. В зависимости от того, как Wireshark разбирает сформированный пакет, он может отображаться в списке пакетов как HTTP или TCP, поэтому данное упражнение также подчеркнуло важность непосредственного изучения содержимого пакетов, а не только опоры на метку протокола. Это упражнение продемонстрировало критическую важность использования зашифрованных протоколов, таких как HTTPS, для передачи конфиденциальной информации.

✨ Проверить решение и практиковаться
Связанные Wireshark Курсы
Wireshark для начинающих

Wireshark для начинающих

cybersecuritywireshark
Анализ кибербезопасности с использованием Wireshark и Tshark

Анализ кибербезопасности с использованием Wireshark и Tshark

cybersecuritywireshark