大约一年前,有一个工具叫做火羊向我们中的许多人介绍了同一网络上的其他人如何轻松地窥探您的浏览会话,甚至在需要登录的网站(例如,也许最引人注目的是 Facebook)上伪装成您。 这是仔细看看。
这是一篇很长的文章,所以我将其分为两部分。 跳转到您最感兴趣的:
如何开始成为网络窥探者
早在 Firesheep 出现并通过让劫持另一个用户的 Facebook 会话变得微不足道而吓到我们所有人之前,另一个更强大的跨平台工具称为Wireshark已经允许任何有一点专业知识的人在与您连接到同一网络的任何计算机上嗅探出用户名、密码和身份验证 cookie。
简要概述您的计算机如何与其他计算机(以及互联网)通信
为了了解 Wireshark 的作用,您首先需要了解一些计算机如何通过网络相互通信以及它们如何使用这些信息(例如让您登录网站)。 (无论如何,我都不是网络专家,所以不用担心——我别无选择,只能让这个初学者变得友好。)
当您的计算机通过网络与另一台计算机通信时,它们会在彼此之间来回发送数据包。 这些数据包执行诸如协商连接、传递 cookie 或密码以进行身份验证等操作,并最终执行您希望它们执行的操作 — 传输文件、构成网页的 HTML 等。
Wireshark 的作用
Wireshark 的作用是嗅出在您的网络中传递的数据包(无论它们是往返于您的计算机,还是往返于与您位于同一网络上的其他计算机),并让您查看在网络中来回传递的数据。这些数据包。
例如,当您登录网站时,您的浏览器会向互联网上某处的服务器发送所谓的 POST 请求。 Wireshark 可以捕获该 POST 请求,如果您知道在哪里查找,则可以找到您的用户名和密码以纯文本形式—假设您登录的网站不使用安全的 HTTPS 连接,该连接会对该信息进行加密,这样您就无法理解它。 (请参阅我们的更多细节。)
为了解决这个问题,许多网站(例如 Facebook 和 Gmail)默认为浏览器与其服务器之间的所有通信启用 HTTPS。 但仍然有很多网站不加密登录,并且许多网站使用 HTTPS 进行登录,但不使用 HTTPS。饼干。
Cookie 是网站在您的浏览器上设置的相对较小的文本字符串。 Cookie 可用于跟踪您的行为,可用于将您的设置保留在网站上,而且,对于本文来说最重要的是,它们可以识别您已访问过的服务器已经登录—这意味着如果您劫持了正确的 cookie,您就可以伪装成其他人,而无需他们的用户名或密码。 (这就是 Firesheep 所做的。)
与捕获通过 HTTP 连接发送的用户名和密码的方式类似,Wireshark 还可以为您(或其他一些邪恶的嗅探器)捕获 cookie,以达到您喜欢的任何目的,包括访问您的在线帐户。 与用户名/密码情况类似,如果站点的所有连接都使用 HTTPS,您将无法成功嗅出并使用其 cookie。
现在您已经了解了基础知识,让我们直接开始吧:
如何使用 Wireshark 嗅探用户名和密码
在帖子顶部的视频中,您可以看到我演示了如何在尝试登录 Lifehacker(不幸的是,它不使用 HTTPS)时嗅出用户名和密码。 在这里,我收集了一些其他更详细的视频,演示如何使用 Wireshark 嗅探用户名和密码(您可能希望全屏观看视频)。
注意:如果您通过 Wi-Fi 捕获,则需要运行 Wireshark在混杂模式这样它就会嗅出网络上的所有各种数据包(包括来自其他人计算机的数据包)。 此过程因您的设备而异,因此您可能需要进行一些搜索。
如何使用 Wireshark 嗅探 Cookie
该视频演示了如何嗅探 cookie,虽然其演示流程的网站 (Facebook) 现在默认使用 HTTPS,但相同的基本方法也适用于不使用 HTTPS 的网站。
如何保护自己免受网络嗅探
这里演示的网络嗅探是任何人都可以完成的,无需太多经验。 正如密码视频中的迈克指出的那样:“技术就像一把枪。你可以用它做好事,寻找你的家人,也可以用它做坏事,比如抢劫商店。” 对 Wireshark 的剖析旨在教育,但事实是,任何对 Wireshark 感兴趣的人只需要在 YouTube 上花几分钟就可以挖掘出相同的信息。
现在您已经更好地了解了与您在同一网络上的任何人都可以轻松地四处查看并可能嗅出您的密码、cookie 等,您能对此做些什么呢? 以下是一些最佳选择的简要概述,从最不实用或最有效到最有效。
避免与您不信任的人在同一网络上工作:我们在这里演示的那种网络嗅探只能由与您位于同一网络上的人来完成。 请记住,它甚至不必是打开Wi-Fi 网络——受密码保护的工作网络上的同事可以像当地咖啡店的人一样轻松地嗅探您的数据包。
要点:您可能不希望仅限于在家中或在您信任的网络上使用互联网每个人。
始终使用 HTTPS:许多网站(例如 Facebook 和 Gmail)已将 HTTPS 设置为默认连接,正如我们之前所解释的,数据包嗅探不会在正确加密的 HTTPS 连接上泄露您的密码或 cookie。 其他网站支持 HTTPS,但不将其设为默认值,这意味着您经常需要手动输入
https://在 URL 的其余部分之前。 其中一些网站(例如 Twitter)允许您将帐户设置为始终使用 HTTPS(对于 Twitter,请转到您的帐户)帐号设定并勾选页面底部的始终使用 HTTPS 复选框)。有些网站不提供“始终使用 HTTPS”设置,这就是强制使用 HTTPS 的浏览器扩展的用武之地。最流行的可能是HTTPS 无处不在扩展适用于 Firefox(由电子前沿基金会编写)。 此扩展程序会自动将您的浏览器定向到 1,000 多个站点的 HTTPS 版本。 HTTPS Everywhere 的缺点是它仅重定向列表中的站点,因此如果您希望能够将任何站点重定向到 HTTPS,您可能需要查看强制 TLS对于火狐或HTTPS 无处不在对于 Chrome。 这两个扩展都允许您将新站点添加到自动 HTTPS 重定向。
陷阱:首先,许多网站仍然根本不支持 HTTPS,而其他网站仅支持登录(这意味着您的密码是安全的,但您的会话 cookie 不安全)。 在另一份技术说明中,Eric Butler(Firesheep 的开发者)去年指出无论如何,有些网站无法正确支持 HTTPS,在这些网站上,为了充分发挥 HTTPS 的优势,您需要手动输入
https://每次访问时的部分:有些网站在所有地方都支持完全加密,但由于未能在身份验证 cookie 上设置“安全”标志而无法正确实施加密,从而抵消了大部分好处并使用户面临风险。 这意味着,任何时候您在网络浏览器中输入 URL(例如“manage.slicehost.com”)(没有事先明确输入 https://,人们很少这样做),您都会在第一个请求中无意中泄露您的 cookie ,在重定向到 HTTPS 页面之前。 Slicehost 和 Dropbox 就是这个错误的典型例子。
使用 VPN 或 SSH 代理(最佳选择):VPN 或 SSH 隧道将充当您的计算机和互联网上可疑的安全服务器之间的中间人,以便您的计算机和 VPN 或 SSH 服务器之间发送的所有内容都将被加密 - 实际上加密您当前网络上的某人可能发送的所有流量想尝试嗅探。 我不会在这里向您展示如何设置 VPN 或 SSH 服务器,但我会向您指出一些好的 DIY 选项:
如果您碰巧已经为访问具有 SSH 访问权限的 Web 服务器付费,则可以使用它来。 如果你不想付钱,你可以。 只要你愿意付出一点点,你就可以以每月约 0.50 美元的价格获取具有 SSH 访问权限的 Amazon EC2 实例或者一次性支付 1 美元即可访问“沉默即失败”。
如需其他免费选项,请查看我们的指南。
Android 用户应该查看我们的指南。
如果您使用的是 Mac,我强烈建议您安装 回避。 每当您连接到开放的 Wi-Fi 网络时,该应用程序都会自动通过安全代理重新路由您的流量,您也可以随时从 Mac 菜单栏中的下拉菜单中将其打开。陷阱:此选项最大的漏洞是,在整个过程中的某个时刻,您的 VPN 或 SSH 代理需要向 Web 服务器提交请求的未加密版本,因此如果有人在与您的 VPN 或 SSH 相同的网络上嗅探数据包服务器上,他们可以嗅出中间人和网络服务器之间传输的未加密数据。
如果您愿意,您还需要考虑其他安全问题,但上述选项对于确保您的浏览安全至关重要。 最好的情况实际上是您无法控制的:默认情况下,网站和服务都对任何和所有潜在敏感数据实施 HTTPS。照片重新混合自安东·普拉多/Shutterstock。
生活黑客的都是关于密码破解、社交黑客和其他可疑技巧等主题,以确保您了解情况。 知识就是力量,无论你利用这种力量行善还是作恶,都掌握在你的手中。
