Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.

Razlike

Slijede razlike između dviju inačica stranice.

Poveznica na ovu usporedbu

Starije izmjene na obje strane Starija izmjena
Novija izmjena 		Starija izmjena
racfor_wiki:seminari2023:mitm_alat_responder [2024/01/16 17:58]
tivasic [Primjer korištenja alata] 		racfor_wiki:seminari2023:mitm_alat_responder [2024/12/05 12:24] (trenutno)
Redak 1: Redak 1:
 ===== MITM alat Responder ===== ===== MITM alat Responder =====
  
 +Video prezentacija: [[https://ferhr-my.sharepoint.com/:v:/g/personal/ti52540_fer_hr/EaG2QxU94hBGseJs8ox6PqMB3LvqJqdTLwAPn_al58c7vA?e=PkM2hq&nav=eyJyZWZlcnJhbEluZm8iOnsicmVmZXJyYWxBcHAiOiJTdHJlYW1XZWJBcHAiLCJyZWZlcnJhbFZpZXciOiJTaGFyZURpYWxvZy1MaW5rIiwicmVmZXJyYWxBcHBQbGF0Zm9ybSI6IldlYiIsInJlZmVycmFsTW9kZSI6InZpZXcifX0%3D|Link na prezentaciju]]
  
 ===== Sažetak ===== ===== Sažetak =====
  
-U današnjem digitalnom dobu, sigurnost informacija i identifikacija potencijalnih prijetnji predstavljaju ključni aspekt rada u području računalne forenzike. Kako bi se adekvatno suočili s izazovima sigurnosti, stručnjaci za sigurnost često koriste specijalizirane alate za analizu mrežnog prometa. Jedan od takvih alata je Responder. Ovaj rad istražuje alat Responder i njegovu primjenu u području računalne forenzike i penetracijskog testiranja. Kroz analizu ključnih funkcionalnosti Respondera, razmatramo njegovu sposobnost praćenja specifičnih mrežnih protokola poput **LLMNR**, i **NBT-NS**, s posebnim naglaskom na hvatanje **NTLM sažetaka**. Uspoređujemo Responder s drugim alatima poput Wiresharka i tcpdumpa i zaključno, **rad naglašava važnost pažljive i etičke primjene Respondera**, ističući njegov **doprinos u identifikaciji prijetnji, analizi sigurnosnih incidenata** te poboljšanju sigurnosti mrežnih okruženja.+U današnjem digitalnom dobu, sigurnost informacija i identifikacija potencijalnih prijetnji predstavljaju ključni aspekt rada u području računalne forenzike. Kako bi se adekvatno suočili s izazovima sigurnosti, stručnjaci za sigurnost često koriste specijalizirane alate za analizu mrežnog prometa. Jedan od takvih alata je Responder. Respodner je alat otvorenog koda, a ovaj rad istražuje alat i njegovu primjenu u području računalne forenzike i penetracijskog testiranja. Kroz analizu ključnih funkcionalnosti Respondera, razmatramo njegovu sposobnost praćenja specifičnih mrežnih protokola poput **LLMNR**, i **NBT-NS**, s posebnim naglaskom na hvatanje **NTLM sažetaka**. Uspoređujemo Responder s drugim alatima poput Wiresharka i tcpdumpa i zaključno, rad naglašava važnost pažljive i etičke primjene Respondera, ističući njegov doprinos u identifikaciji prijetnji, analizi sigurnosnih incidenata te poboljšanju sigurnosti mrežnih okruženja.
  
 Ključne riječi: Responder; LLMNR; NBT-NS; NTLM-hash; MITM Ključne riječi: Responder; LLMNR; NBT-NS; NTLM-hash; MITM
Redak 11: Redak 12:
 ===== Uvod ===== ===== Uvod =====
  
-TLS i njegov prethodnik SSL su kriptografski protokoli koji omogućuju sigurnu komunikaciju putem Interneta za stvari kao što su Internet bankarstvo (preko HTTP protokola)e-mail, Internet fax, instant messaging ostale načine prijenosa podatakaPostoje neznatne razlike između SSL i TLS, ali u osnovi protokol je isti. TLS omogućava autentičnost i privatnost komunikacije putem Interneta, jer je šifriran. Poslužitelj ima identitet dok je klijent nepotvrđen. To znači da samo klijent može biti siguran s kim komuniciraViši stupanje autentičnosti je da su obje strane potvrđene.+Responder je ofenzivni alat autora Laurenta Gaffiea često korišten u penetracijskom testiranju. Predstavlja moćan alat za napade (poisoning) na protokole kao što su LLMNRNBT-NS MDNSOvaj alat omogućuje napadačima presretanje upita za imenima računala te pridružene informacije, koristeći tehnike "trovanja" (poisoninga)Ono što izdvaja Responder su njegove integrirane mogućnosti za različite protokole, (npr. HTTP, SMB, LDAP itd.) što pored toga, Responder podržava različite načine autentifikacije. Ovo omogućuje alatu da simulira lažne autentiifkacijske servere i uhvati autentifikacijske podatke tijekom napada
  
  
Redak 17: Redak 18:
 Kako bi u potpunosti shvatili što Responder omogućava potrebno je objasniti pojmove i protokole koji se uz njega povezuju. Nakon opisa protokola bit će dan i opis "trovanja" (poisoning) kojim se Responder služi kako bi omogućio izvođenje napada. Kako bi u potpunosti shvatili što Responder omogućava potrebno je objasniti pojmove i protokole koji se uz njega povezuju. Nakon opisa protokola bit će dan i opis "trovanja" (poisoning) kojim se Responder služi kako bi omogućio izvođenje napada.
 ==== LLMNR ==== ==== LLMNR ====
-**Link-Local Multicast Name Resolution** je protokol koji omogućava razrješavanje imena bez potrebe za DNS poslužiteljem. Koristi se za dohvat IP adrese na temelju imena domaćina. To ostvaruje s pomoću multicast paketa poslanog na sva mrežna sučelja u mreži. Domaćini odgovaraju na upit ako su autoritativno poznati kao domaćin naveden u upitu. LLMNR šalje mrežni paket na UDP port 5355 na multicast mrežnu adresu. Podržava IPv4 i IPv6 adrese te sve sadašnje i buduće DNS formate, tipove i klase. Nasljednik je protokola NBT-NS.+**Link-Local Multicast Name Resolution** je protokol koji omogućava razrješavanje imena bez potrebe za DNS poslužiteljem. Koristi se za dohvat IP adrese na temelju imena domaćina. To ostvaruje s pomoću multicast paketa poslanog na sva mrežna sučelja u mreži. LLMNR šalje mrežni paket na UDP port 5355 na multicast mrežnu adresu. Domaćini odgovaraju na upit ako su autoritativno poznati kao domaćin naveden u upitu. Podržava IPv4 i IPv6 adrese te sve sadašnje i buduće DNS formate, tipove i klase. Nasljednik je protokola NBT-NS.
 ==== NBT-NS ==== ==== NBT-NS ====
 **NetBIOS Name Service** je Windows protokol koji se koristi za prevođenje NetBIOS imena u IP adrese na lokalnoj mreži, slično tome kako DNS protokol djeluje na internetu. Svakom računalu dodjeljuje NetBIOS ime putem NBT-NS usluge. Radi na UDP portu 137 i prethodnik je LLMNR protokola. **NetBIOS Name Service** je Windows protokol koji se koristi za prevođenje NetBIOS imena u IP adrese na lokalnoj mreži, slično tome kako DNS protokol djeluje na internetu. Svakom računalu dodjeljuje NetBIOS ime putem NBT-NS usluge. Radi na UDP portu 137 i prethodnik je LLMNR protokola.
Redak 93: Redak 94:
   - Responder ćemo podesiti da pasivno pratiti mrežni promet i zabilježi sve pokušaje autentikacije na mrežnom sučelju eth0 s pomoću naredbe: \\ <code>sudo python3 Responder.py -I eth0</code>    - Responder ćemo podesiti da pasivno pratiti mrežni promet i zabilježi sve pokušaje autentikacije na mrežnom sučelju eth0 s pomoću naredbe: \\ <code>sudo python3 Responder.py -I eth0</code> 
   - Kada napadač pokuša pristupiti nekom dijeljenom direktoriju npr. \\racfor Responder će ga obavijestiti da nema prava pristupa i podvaliti mu lažnu formu za prijavu. Kao na slici:\\ {{racfor_wiki:seminari:ti_responder_auth.jpg}}   - Kada napadač pokuša pristupiti nekom dijeljenom direktoriju npr. \\racfor Responder će ga obavijestiti da nema prava pristupa i podvaliti mu lažnu formu za prijavu. Kao na slici:\\ {{racfor_wiki:seminari:ti_responder_auth.jpg}}
-  - Svi pokušaji prijave, korisnička imena, adrese i NTLM hashevi lozinki bit će zabilježeni u logovima kao na slici u nastavku:\\ {{racfor_wiki:seminari:ti_responder_capture.jpg?600}}+  - Svi pokušaji prijave, korisnička imena, adrese i NTLM sažetci lozinki bit će zabilježeni u logovima kao na slici u nastavku:\\ {{racfor_wiki:seminari:ti_responder_capture.jpg?600}}
  
 Na ovaj način možemo zabilježiti i identificirati neovlaštene pokušaje prijave i pristupa kako bi se od njih obranili i bolje zaštitili. Nadalje možemo koristiti alate poput hashcata za razbijanje NTLM sažetka lozinke ili alate poput wiresharka kako bi dobili još bolje analizirali događanja na mreži. Na ovaj način možemo zabilježiti i identificirati neovlaštene pokušaje prijave i pristupa kako bi se od njih obranili i bolje zaštitili. Nadalje možemo koristiti alate poput hashcata za razbijanje NTLM sažetka lozinke ili alate poput wiresharka kako bi dobili još bolje analizirali događanja na mreži.
-==== Usporedba drugim sličnim alatim ====+==== Usporedba drugim sličnim alatima ====
 Uspoređujemo li Responder s alatima poput wiresharka ili tcpdumpa koji pružaju općenitu analizu mrežnog prometa, Responder se izdvaja specifičnim fokusom na autentikaciju, što ga čini snažnim alatom u računalnoj forenzici, pogotovo u otkrivanju i analizi pokušaja neovlaštenog pristupa i zlonamjernih aktivnosti vezanih uz autentikaciju. Uspoređujemo li Responder s alatima poput wiresharka ili tcpdumpa koji pružaju općenitu analizu mrežnog prometa, Responder se izdvaja specifičnim fokusom na autentikaciju, što ga čini snažnim alatom u računalnoj forenzici, pogotovo u otkrivanju i analizi pokušaja neovlaštenog pristupa i zlonamjernih aktivnosti vezanih uz autentikaciju.
  
Redak 117: Redak 118:
  
 [4] [[https://notsosecure.com/pwning-with-responder-a-pentesters-guide]] [4] [[https://notsosecure.com/pwning-with-responder-a-pentesters-guide]]
 +
 +[5] [[https://ferhr-my.sharepoint.com/:v:/g/personal/ti52540_fer_hr/EaG2QxU94hBGseJs8ox6PqMB3LvqJqdTLwAPn_al58c7vA?e=PkM2hq&nav=eyJyZWZlcnJhbEluZm8iOnsicmVmZXJyYWxBcHAiOiJTdHJlYW1XZWJBcHAiLCJyZWZlcnJhbFZpZXciOiJTaGFyZURpYWxvZy1MaW5rIiwicmVmZXJyYWxBcHBQbGF0Zm9ybSI6IldlYiIsInJlZmVycmFsTW9kZSI6InZpZXcifX0%3D | prezentacija]]
 +
 +
  
racfor_wiki/seminari2023/mitm_alat_responder.1705427900.txt.gz · Zadnja izmjena: 2024/12/05 12:23 (vanjsko uređivanje)
Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.
CC Attribution-Share Alike 4.0 International
www.chimeric.de Valid CSS Driven by DokuWiki do yourself a favour and use a real browser - get firefox!! Recent changes RSS feed Valid XHTML 1.0