Крококрэк. Снимаем трафик с витой пары обычным “крокодилом”

Говорят, подслушивать нехорошо. Но прослушивание сетевого трафика для многих не хобби, а настоящая профессия. Почему-то считается, что для этого требуется какое-то особо дорогое оборудование, но я расскажу, как организовать прослушивание трафика в сети с помощью обычных терминалов-крокодилов.

Информация

Эта статья является частью серии статей о хакерских атаках и самодельных методах взлома. В этих материалах мы раскрываем простые способы получения несанкционированного доступа к защищенной информации и показываем, как мы защищаем ее от подобных атак. Предыдущая статья из серии: Атака с холодной загрузкой. Сброс оперативной памяти с помощью флешки.

Это довольно красивая по своей простоте и оригинальности атака, состоящая в полудуплексном прослушивании трафика по витой паре RJ45. Это означает, что прослушивается только половина трафика, входящего или исходящего.

Перехват витой пары — тема не новая, но актуальная и на сегодняшний день в силу своей крайней распространенности: несмотря на то, что «оптика» сейчас распространена повсеместно, старая добрая витая пара встречается практически в каждом подъезде или коридоре жилого дома. офисное здание. В жилых домах можно встретить такие провода, протянутые почти к каждой квартире. А иногда это выглядит так.

Витая пара в незащищенном месте (вход)

Таким образом, ваш домашний трафик, который мы увидим в следующий раз, достаточно легко прослушивается. Да и в современных офисах тоже часто можно встретить витую пару.

Витая пара в неохраняемом месте (офис)
Витая пара в неохраняемом месте (офис)

Другими словами, атака может быть осуществлена ​​из помещения, где есть беспрепятственный доступ к витым проводам: коридор офисного здания или самый обычный подъезд.

Чаще всего витые пары встречаются на «последней миле», прямо возле абонентских устройств. А вот между домами, территориальными отделениями компаний, то есть на большие расстояния, скорее всего, будет использоваться оптика, так что прослушать целый дом, компанию и даже город конечно не получится.

READ  Специалисты по организации детского отдыха в Тюмени

Теория

Кабель RJ45 состоит из четырех пар жил, отличающихся по цвету. Каждая пара представляет собой два провода, скрученных вместе.

Технический паспорт разъема RJ45
Технический паспорт RJ45-коннектора

У каждой пары своя роль:

  • желеная — прием данных;
  • оранжевая — передача данных;
  • коричневый — PoE, данные 1000 Мбит/с;
  • синий – PoE+, данные 1000 Мбит/с.

Входящий и исходящий сетевой трафик проходит через определенную пару ядер, а сами байты кодируются простым изменением характеристик электрического сигнала внутри них.

Оборудование

Для реализации атаки нам понадобится обычная сетевая карта Ethernet и сегмент витой пары, состоящий всего из двух ядер. Такой провод можно сделать самостоятельно, купив в специализированном магазине, а можно поменять готовый патч-корд.

Нас будет интересовать только пара RX (первое и второе ядро), реализованная в виде обычного разъема RJ45, как показано на следующем рисунке.

Технический паспорт проводки злоумышленника
Спецификация проводов атукоещество

С обратной стороны соединяем первую и вторую жилы самыми обычными крокодилами. В результате получается провод, показанный на следующем рисунке.

Лидер атакующего
Провод злоумышленника

В этом случае белый аллигатор — это положительный контакт, а черный — отрицательный. Подключим этот модифицированный провод напрямую к сетевой карте злоумышленника.

Эксплуатация

Прослушивание самого трафика реализуется подключением этих крокодилов либо к оранжевой, либо к зеленой паре, как показано на следующем рисунке.

Соединение по витой паре
Соединение по витой паре

Source