Какво представлява смъркането на пакети и как можете да го избегнете?

Инкогнито шпионин

Вашите интернет дейности се предават чрез много рутери и превключватели по маршрута до местоназначението им. Тези пакети са податливи на събиране и анализ във всяка от тези точки чрез процес, наречен смъркане на пакети. Тази статия обяснява какво представлява смъркането на пакети и някои практически съвети как да го избегнем.

Вижте също: Най-добри снайпери за пакети и мрежови анализатори

Има много форми на работа в мрежа и най-честата от всички е TCP / IP. Тази съкращение означава Протокол за контрол на предаването през Интернет протокол, което просто означава, че мрежата изпраща TCP пакети до компютри на местоназначение, използващи IP адреси. Критичната част на това описание са пакетите с думи. Противно на това, което ни казват очите, неща като уеб страници и имейли не пътуват през интернет цялото. Те се разглобяват в края на изпращането на малки пакети данни и отново се сглобяват в края на получаване обратно в оригиналния им формат. Докато тези пакети данни пътуват по интернет, те са податливи на подслушване и дори промяна. Тази техника разговорно се нарича пакетиране на пакети и се осъществява от интернет доставчици, правителства, рекламни компании и други лоши хора. В тази статия разглеждаме начините да се предпазите от смъркане на пакети.

Какво е смъркане на пакети?

За да разберете как става подслушването на пакети, е полезно да разберете как работи маршрутизацията в Интернет. Уеб страниците и имейлите не се изпращат през интернет непокътнати като един документ. По-скоро изпращащата страна (вашият компютър) ги разгражда на много малки пакети данни. Тези пакети са адресирани до IP адрес в приемащия край, който обикновено има задължение да потвърди получаването на всеки пакет, който получава. За да се поддържа това, всеки пакет съдържа IP адрес за изпращане и получаване, както и много друга информация.

Тези пакети не се предават от подателя до получателя с един кратък ход. По-скоро всеки пакет преминава интернет по маршрута до местоназначението му, преминавайки през редица устройства за контрол на трафика като рутери и комутатори. Всеки път, когато пакет преминава през някое от тези устройства за контрол на трафика, той е податлив на улавяне и анализ.

Бележка за маршрутизация и конвергенция

Ролята на маршрутизаторите в този процес е буквално да насочва трафика до местоназначението му. Рутерите в интернет имат някаква идея къде е IP адресът на местоназначението или поне знаят къде да изпратят пакета, ако не са пряко свързани с местоназначението. Тази техника се нарича конвергенция, защото пакети от цял ​​свят се сближават по местоназначението си по силата на маршрута. Помислете за голяма дестинация като Facebook. Има трафик, който идва към него от целия свят. Тъй като тези пакети се приближават до действителните сървъри на Facebook, различният трафик се превръща в много натоварена част от интернет. Рутерите на тези места трябва да бъдат много здрави и сигурни.

По-лесно сравнение може да бъде разглеждане на магистрала, която има стотици разклонения в различни градове. Целият трафик, който е предназначен за град Quahog, ще поеме изхода на Quahog от магистралата. Това е форма на сближаване, тъй като тези автомобили са само отделни автомобили, които изглежда нямат нищо общо, докато всички те не започнат да излизат в Quahog. Ако наблюдател искаше да разгледа всички автомобили, които отиват до този град, най-смислено е да седнете на изхода на магистралата Куахог, тъй като 100% от автомобилите, които изминават този изход, представляват интересуващите ги автомобили. Няма смисъл да седите на друго място по магистралата и да разглеждате коли, защото само част от тях са предназначени за Quahog. Програмата за наблюдение на PRISM на NSA използва тази техника; NSA пакетите смърди "паркира" на рутери, най-близки до големи интернет доставчици като Google и Facebook, за да съберат възможно най-много трафик, предназначен за тези сайтове.

Кой пакети смърка?

Всеки, който има достъп до рутер, може да извърши събиране на пакети и последващ анализ. Тъй като интернет потребителите обикновено нямат представа как се насочва трафика им, всъщност не е възможно да се знае кой може да наблюдава този трафик. Историята обаче показва, че следните актьори са участвали в смъркането на пакети по различни причини през годините.

Бележка за рутери
Повечето от нас вероятно мислят за wifi рутера в нашите къщи, когато чуем думата рутер. Това е напълно правилно. Потребителският маршрутизатор във вашата къща върши същата работа като големите търговски маршрутизатори в интернет. Вашият домашен рутер е отговорен за приемането на трафик от различните свързани с интернет устройства във вашия дом и насочването им към интернет. Той е отговорен и за приемането на трафик на отговори от интернет и връщането му обратно към конкретното устройство, което го е поискало. Единствената истинска разлика е, че интернет рутерите правят това за милиони устройства, докато вашият домашен рутер не би се справил с такава монументална задача.

Правителствени агенции

Съединени щати

Документите на Snowden разкриха масивен апарат за наблюдение, наречен PRISM, който правителството на Съединените щати използва тайно от години. По-специално, Агенцията за национална сигурност (NSA) пасивно събира интернет трафик, предназначен за големи интернет сайтове като Facebook, Google и други. NSA разполага с мащабни инструменти за анализ като XKeyscore, които му позволяват да търси през събраните пакети на по-късна дата.

Великобритания

Обединеното кралство има подобна система за наблюдение на пасивни събития, наречена Tempora. Обединеното кралство е уникално позиционирано по това, че по-голямата част от интернет трафика му пристига през Обединеното кралство чрез подводни оптични кабели. Това осигурява единна точка на влизане и излизане от и от Обединеното кралство и устройствата за събиране на Tempora работят на тези места.

Известни са и още десетина държави, които извършват масово интернет наблюдение. Цялото интернет наблюдение ще изисква някаква форма на събиране и анализ на пакети.

Бизнесът

Интернет наблюдението не е ограничено до правителствата. Индустриалният шпионаж е нещо от десетилетия и няма съмнение, че някои корпорации използват техники, за да определят какво правят конкурентите му. Агентите за бизнес шпионаж обикновено нямат лукса на държавните гаранции да изискват достъп до вътрешни мрежи и рутери, за да събират пакети. Затова повечето шпионаж на индустриално ниво, базирани в Интернет, вероятно разчитат на изпитани и истински методи, като фишинг, за да получат достъп до вътрешни мрежи. След като бъде постигнат отпечатък в целевата мрежа, събирането и анализът на пакети данни може да допринесе за богатство от знания.

Рекламодателите

Рекламните агенции са известни безскрупулни, особено интернет рекламните агенции. Агенции като тази обикновено се плащат по един от двата начина: или от броя на рекламите, които показват (Цена на хиляда - CPM), или от броя на кликванията върху рекламата (Pay Per Click - PPC). И в двата случая колкото повече импресии има една реклама, толкова по-големи са тези числа. Рекламодателите могат да използват смъркане на пакети или на анкетираните потребители, за да преценят вкуса на пазара си, или - още по-лошо - да инжектират реклами във входящи пакети, докато минават,

Открито е, че Comcast подушва пакети в мрежата си, за да определи оптималното място за инжектиране на реклами в произволни уеб страници, които потребителите му разглеждат.

Освен етичните въпроси за промяна на съдържание, което нито принадлежи на Comcast, нито се намира в неговата мрежа, не е нужно много въображение, за да спекулира с други неща, които могат да бъдат инжектирани в пакети по пътя. Известно е, че интернет рекламите съдържат злонамерен софтуер в много случаи. Когато актьор като рекламодател може да поеме трафика, предназначен за вашия компютър и да вмъкне произволно съдържание, голяма част от което е известно, че е злонамерен софтуер, който заобикаля много защити, които можете да поставите сами.

Отлична демонстрация на това се съдържа в Steal My Login (не използвайте истинско потребителско име / парола, зададени за тестване). Тази страница се опитва да демонстрира как нападателят може да открадне вашите данни за вход, ако е в състояние да въведе един ред код в страницата за вход. Докато Comcast инжектира реклами чрез javascript, нападател може също толкова лесно да инжектира javascript, който безшумно открадва вашите идентификационни данни.

Лоши момчета

Лошите момчета винаги са до нищо добро. Много от тях са квалифицирани и могат да използват голямо разнообразие от методи, за да откраднат информация от вас. Фишингът остава метод номер едно, чрез който недобросъвестните хора получават достъп до информация като входни данни и финансови данни. Но фишингът не е само след един тип информация. Нормалният гражданин може да бъде измамен заради информацията за кредитната си карта, която лошият човек може да продаде с печалба. За разлика от това, системен администратор в банка може да бъде фиширан за своите идентификационни данни за вход. Тогава лошият човек може да се скрие във вътрешната мрежа на банката, да смърка пакети и да събира финансови данни за всички клиенти на банката. Много коварни и дълбоко проникващи атаки започват с обикновен фишинг имейл.

Друг много често срещан вектор за по-малки мащаби е да се създаде фалшива точка за безжичен достъп на обществени места като кафенета и да се събират пакетите с данни на нищо неподозиращи хора, които неволно са се свързали с него.

Зловредният софтуер може да съдържа пакетни снайпери, които наблюдават онлайн активността на потребителите и изпращат данни обратно в центъра за командване и контрол на хакер. Златният софтуер VPNFilter, който зарази половин милион безжични рутери в над 50 страни, включи пакетния снайпер в третия си етап. VPNFilter прихваща пакети с данни, съдържащи идентификационни данни за вход, и ги изпраща на хакерите по мрежата Tor.

Защо ми е лошо?

Наблюдаването на вашия трафик е лошо поради няколко широки причини и стотици по-малки причини.

Лична информация

Помислете колко личен бизнес провеждате онлайн. Повечето от нас правят банковото си дело, установяваме медицински срещи, пишем имейли с лични данни и провеждаме дългосрочни чатове с приятелите и семейството си онлайн. Колко от тази информация бихте искали да стане обществена или поне да бъде прочетена от други хора?

Лесно е да си представите лоши момчета, които крадат номера на кредитната ви карта, но какво да кажете за по-фината информация? Искате ли вашата застрахователна компания да знае, че наскоро имате ангиограма? Би ли искал скоро новият ви работодател да знае, че току-що сте насрочили среща в семейна клиника? Искате ли вашата банка да знае, че наскоро сте загубили работата си? Причината да наричаме клас информация „лична информация“ е, че тя е лична и е на нас да контролираме разпространението на това знание.

Да, имаш какво да криеш

Има група хора, които заемат позицията, че не им пука дали са анкетирани по интернет, защото „нямам какво да крия.“ Честно казано, това показва фундаментално неразбиране на проблема. Смъркането на пакети се извършва от лоши хора, които се опитват да навредят толкова, колкото е от органите на реда. Тъй като няма начин да конфигурирате пакет от данни, който да позволи на органите на реда да го прочетат, но не и лошите, няма друго заключение, освен всички ние, всъщност има какво да скрием.

Бизнес информация

Обикновено предприятията се държат с воал на тайна по отношение на предстоящите си начинания. Бизнес, който е в процес на преговори за закупуване на конкурент или за изграждане на ново местоположение на стратегическо място, може изведнъж да стане много в неизгодно положение, ако тази информация попадне в грешни ръце. Що се отнася до недвижимите имоти, бизнесът обикновено има точка „отивай, не отивай“, когато се прави голяма инвестиция. Ако чувствителната информация изтече след този момент, е възможно бизнесът да загуби големи суми пари. Това може да доведе до загуба на работни места, а в по-малките региони - реално икономическо въздействие. Един от начините за изтичане на информация като тази е чрез индустриален шпионаж, който може да включва пакетиране на пакети, които не са сигурни имейли и съобщения.

Как да се предпазите от смъркане на пакети

За да разберете как да се предпазите от смъркане на пакети, е важно да знаете как изглежда трафикът ви в различни сценарии. Ще се съсредоточа върху мрежата, но същите принципи важат за всяка интернет комуникация като имейл и съобщения. Използването на обикновен незашифрован HTTP е по-лошата възможна поза на сигурност. Използването на HTTPS (SSL криптирани сесии) предлага повече защита, но не толкова защита, колкото VPN може да осигури.

Първо, нека започнем с форма за вход в незашифрован уебсайт само с помощта на HTTP. Мисля, че до момента е доста общоизвестно, че ако въвеждате данни в уебсайт, който не показва HTTPS и / или заключване в адресната му лента, това не е сигурно. Въпреки това стряскащ брой оператори на уебсайтове все още не са въвели HTTPS на своите страници за вход, което оставя потребителите им в много лошо състояние на сигурност.

Създадох макет страница за вход и влязох с foo потребителско име и лентата с паролите. Тази екранна снимка показва заснемането на Wireshark на това вход. Наблюдателят може лесно да види моето потребителско име и парола и да го използва по-късно, за да влезе в акаунта ми.

Wireshark-NoVPN-HTTP

След това посетих уебсайта на Comparitech, който принуждава потребителите към HTTPS. Въведох comparitech.com в браузъра си, за да започна това. Първото нещо, което трябва да се случи е, че системата ми направи нешифровано търсене на DNS, за да получи IP адреса на comparitech.com.

Wireshark-DNS-справка

Тази информация казва на всеки наблюдател, че съм на път да посетя уебсайта на Comparitech.

След това браузърът ми се опита да се свърже с comparitech.com. Можем да видим, че уебсайтът няма да разреши некодифицирани HTTP връзки, така че изпраща заглавки обратно в браузъра ми, които го инструктират да опита отново чрез HTTPS:

Wireshark-HTTP-301-пренасочване

Моят браузър прави това и от тогава нататък сесията ми е криптирана. Този процес е малко по-добър от обикновен HTTP, тъй като последващото ми влизане в сайта, както и всички други мои дейности в сайта, вече са криптирани. Но този процес все пак предостави на наблюдателя информацията, че посетих уебсайта на Comparitech. Това се нарича мета данни и е важното как повечето от правителствените програми за наблюдение оправдават шпионирането им. Тези програми се опитват да заявят, че метаданните не са ценни, но това очевидно не е вярно. Да знаеш къде отиват хората онлайн е от голяма полза.

Това е екранна снимка на това, което наблюдателят може да види за моите дейности в сайта, използвайки HTTPS. Това е най-вече криптирана глупост.

Wireshark-NoVPN-HTTPS

Накрая заснех някои пакети, когато моят VPN работи. В този случай всичко е криптирано. Единственото нещо, което може да получи наблюдателят от наблюдението на трафика ми, е куп криптирани пакети OpenVPN, предназначени за OpenVPN сървър.

Трафикът ми е кодиран групово на моя компютър, преди да бъде изпратен през VPN и не се декриптира, докато не пристигне на VPN сървъра. След това VPN сървърът отлепва криптиращия слой, който е добавил в края на изпращането, и след това изпраща трафика до местоназначението си от мое име.

Обърнете внимание, че аз също маршрутизирам моя DNS през моя VPN, така че дори DNS моите заявки са криптирани и невидими за наблюдателя.

Wireshark-VPN

Въз основа на тези примерни пакети улавяне, правилата за предпазване от смъркане на пакет са:

Използвайте VPN през цялото време

Горните пакети показват, че VPN връзките осигуряват най-пълната защита. Вашият трафик е напълно криптиран и ако гарантирате, че вашите DNS заявки също минават през вашата VPN, вашите дестинации не могат да бъдат получени.

Единствената страна, която може да види вашия трафик, е вашият VPN доставчик, тъй като те трябва да премахнат VPN кодирането, за да видят къде трябва да отиде трафикът. Ще трябва да имате някакво ниво на доверие на вашия доставчик на VPN, за да сте сигурни, че те не правят неща като регистриране на вашия трафик.

Можете да увеличите нивото си на анонимност и поверителност, като използвате Tor във връзка с VPN. Има два основни начина за това, както обяснява Пол Бишоф в статията ни за най-добрите VPN за Tor потребители.

Винаги използвайте HTTPS, когато е наличен

Ако посещавате уебсайт, използващ HTTP, вижте дали той ще приеме HTTPS връзка, като просто завържете https: // в лентата на браузъра преди адреса на сайта. Много уебсайтове имат SSL сертификати, но поддържащият уебсайт не принуждава активно посетителите да го използват. Фондацията Electronic Frontier поддържа добавка на браузър за Chrome, Firefox и Opera, наречена HTTPS Навсякъде, която може да направи това за вас. Той ще се опита да се свърже с всеки уебсайт, който посещавате, използвайки HTTPS, без допълнителни действия от ваша страна.

Струва си да се отбележи, че трябва да продължите да използвате HTTPS, дори ако използвате VPN. Това е така, защото шифрованият HTTPS полезен товар може да бъде декриптиран само от целевия уеб сървър или от вашия собствен браузър. Доставчикът на VPN ще трябва да декриптира VPN криптирането, което е добавил към пакета, но няма да може да декриптира самия HTTPS пакет, което означава, че вашият VPN доставчик ще може да събира само метаданните.

Никога не изпращайте данни от формуляра, използвайки HTTP

Ако сте в ситуация, в която просто не можете да използвате VPN или HTTPS, тогава изобщо трябва да избягвате изпращането на данни към уебсайт. По-конкретно, това означава, че не попълвате никакви полета за формуляри и не кликвате върху бутони за формуляри на уебсайт. Формите изпращат данни от вашия компютър до уеб сървъра и най-често срещаните места, които виждаме, това са във формуляри за вход, формуляри за контакт и други страници, които събират информация от вас.

Всеки път, когато изпращате данни на уебсайт, използвайки некриптиран HTTP, тези данни са ясно видими за наблюдателя. Първата екранна снимка в този раздел илюстрира колко лесно е да видите моето потребителско име и парола в HTTP пакет; всяка информация, която изпращате през HTTP, ще бъде еднакво видима.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me

About the author

Leave a Reply

Your email address will not be published. Required fields are marked *

9 + 1 =

Adblock
detector