https://forum.antichat.xyz/attachmen...a70e694f90.png

На каждом втором внутреннем пентесте я нахожу учётные данные ещё до того, как запущу первый эксплойт. Не потому что заказчики глупы - потому что в плоской корпоративной сети достаточно включить сетевой интерфейс в режим прослушивания, чтобы увидеть всё: от FTP-паролей до NTLM-хешей в открытом виде. Сниффинг трафика и MITM-атаки - тот фундамент, без которого ни качественный пентест не провести, ни понять, что именно нужно защищать.
Здесь - пошаговое руководство по трём инструментам: tcpdump для захвата на удалённых машинах без графики, Wireshark для визуального разбора дампов и Ettercap для ARP spoofing в лабораторных условиях. Каждый инструмент показан с реальным выводом терминала и объяснением каждого флага. Никакой теории ради теории - только то, что работает на практике.
Зачем пентестеру перехват трафика сети
Прежде чем лезть в команды, разберёмся с мотивацией. В MITRE ATT&CK сниффинг - это техника Network Sniffing (T1040), входящая в тактики Credential Access и Discovery. Проще говоря, перехват трафика сети решает сразу две задачи: обнаружение структуры сети и сбор учётных данных.

На внутреннем пентесте первые 30 минут обычно уходят на пассивную разведку. Запускаешь tcpdump, пишешь весь трафик в pcap-файл, потом открываешь его в Wireshark. За эти полчаса узнаёшь больше, чем из любого скана: какие VLAN существуют, где стоят принтеры с веб-интерфейсом на голом HTTP, кто ходит на внутренний портал без шифрования, какие broadcast-протоколы выдают имена хостов. Вот почему сниффинг трафика Wireshark - первый шаг, а не архаизм из учебников.

Русскоязычные статьи обычно описывают MITM-атаку man-in-the-middle как академическую концепцию - Алиса, Боб, Мэлори и обмен ключами. Для понимания это полезно, но в реальной инфраструктуре всё проще и опаснее одновременно. Злоумышленнику в локальной сети не нужно подменять ключи шифрования - достаточно отравить ARP-кеш двух хостов и пропускать трафик через себя. Дальше дело техники: незашифрованные протоколы отдадут всё сами.
Пассивный и активный сниффинг - два режима работы
Разница между пассивным и активным сниффингом - не просто классификация из учебника. От выбранного режима зависит, оставите ли вы следы в сети и какие инструменты пентеста сети понадобятся.
Пассивный сниффинг трафика - молчаливое наблюдение
Пассивный сниффинг трафика - это перевод сетевого интерфейса в promiscuous mode и тихое прослушивание всего, что проходит по сегменту. Вы ничего не отправляете в сеть, не генерируете аномальный трафик, не ломаете ARP-таблицы. Просто слушаете.

Проблема: в современных сетях с коммутаторами (свитчами) пассивный сниффинг практически бесполезен. Коммутатор отправляет фреймы только на тот порт, где находится MAC-адрес получателя. В отличие от хабов, которые вещали всё на все порты, свитч изолирует трафик. Вы увидите только свои пакеты и broadcast-рассылки.

Включить promiscuous mode в Linux - одна команда:
. Для Wi-Fi - monitor mode через
. В monitor mode беспроводной адаптер захватывает все 802.11-кадры в радиусе действия, включая кадры чужих сетей, но payload в сетях с WPA2/WPA3 зашифрован - для расшифровки нужен PSK и захваченный 4-way handshake. Открытые сети без шифрования сегодня встречаются редко (хотя в гостиницах и кофейнях - бывает). Именно поэтому более актуальный вектор - активная атака с поднятием rogue access point, а не пассивный monitor mode.

https://forum.antichat.xyz/attachmen...7204203535.png

Активный сниффинг через ARP-отравление сети
Когда пассивный подход не работает, переходим к активному. Активный сниффинг - это вмешательство в работу сети для перенаправления чужого трафика на свой интерфейс. Самый распространённый метод - ARP-отравление сети, оно же ARP Cache Poisoning (T1557.002 в MITRE ATT&CK, тактики Credential Access и Collection).

Почему ARP так легко атаковать? Протокол ARP не имеет встроенной аутентификации. Представьте: в офисе любой может положить на стойку ресепшена визитку с чужим именем, и все будут звонить по указанному на ней номеру. Именно так работает ARP - любой хост может отправить gratuitous ARP-ответ, заявив, что MAC-адрес шлюза - это его собственный MAC. Жертва обновит свой ARP-кеш и будет слать кадры с MAC-адресом атакующего в качестве destination. Коммутатор по своей CAM-таблице доставит эти кадры на порт атакующего.

Весь трафик теперь проходит через нас. Читаем, записываем, модифицируем - а потом пересылаем настоящему получателю, чтобы жертва ничего не заметила. Это и есть MITM-атака man-in-the-middle в чистом виде.

https://forum.antichat.xyz/attachmen...7204237896.png

Подготовка лаборатории для сниффинга и MITM-атак
Прежде чем запускать любые команды - подготовьте лабораторную среду. Никогда не тестируйте ARP spoofing в продакшн-сети без письменного разрешения. Это уголовно наказуемо, и «я просто учился» - не аргумент для суда.

Что понадобится:

• ОС атакующего: Kali Linux 2024.x или Parrot OS (tcpdump, wireshark, ettercap-text-only стоят из коробки)
  
• Виртуальная сеть: три VM в одном bridge-сегменте - атакующий, жертва (любая ОС), шлюз (можно роутер на OpenWrt или просто Linux с включённым forwarding)
  
• Все VM в одной подсети без VLAN-сегментации, NAT через шлюзовую VM
  
• IP forwarding на атакующей машине:
  
  Код:

  ---

  echo 1 > /proc/sys/net/ipv4/ip_forward

  ---

  - без этого трафик жертвы будет тонуть на вашем интерфейсе

Я использую VirtualBox с Internal Network - он создаёт изолированный L2-сегмент, который отлично имитирует плоскую корпоративную сеть. VMware с Custom Network тоже подойдёт. Для полноты картины поднимите на одной из VM простой HTTP-сервер с формой логина:
- так вы получите реальный трафик для перехвата.
tcpdump - анализ трафика в командной строке без GUI
tcpdump - основной инструмент для захвата пакетов на удалённых серверах, где нет графической среды. На пентесте я часто получаю SSH-доступ к Linux-машине во внутреннем сегменте и первым делом запускаю tcpdump, чтобы понять, что вообще происходит вокруг.

Базовая команда:
. Флаг
- интерфейс,
отключает DNS-резолвинг (без него tcpdump генерирует кучу DNS-запросов и тормозит вывод),
добавляет verbose-информацию.

Для прицельного захвата - BPF-фильтры. Это тот же синтаксис, что и capture filters в Wireshark, обе утилиты работают поверх libpcap. Несколько боевых примеров:

• Код:

  ---

  sudo tcpdump -i eth0 port 80 or port 21

  ---

  - HTTP и FTP, протоколы, где пароли летают открытым текстом
  
• Код:

  ---

  sudo tcpdump -i eth0 arp

  ---

  - только ARP-пакеты, незаменимо для обнаружения ARP-спуфинга в сети
  
• Код:

  ---

  sudo tcpdump -i eth0 -A -s0 'tcp port 80 and (((ip[2:2] - ((ip[0]&0xf)>2)) != 0)'

  ---

  - только HTTP-пакеты с payload в ASCII (да, фильтр выглядит страшно, но работает безотказно)

Для записи в файл с последующим анализом сетевых пакетов в Wireshark:
. Флаг
остановит запись после 10 000 пакетов, чтобы дамп не разросся до неуправляемых размеров.

Вот реальный вывод tcpdump при перехвате HTTP-трафика с учётными данными:

Код:


Три строки - и у вас логин с паролем. Именно это я показываю заказчику в отчёте, когда объясняю, почему внутренние сервисы без TLS - не «приемлемый риск», а прямая угроза. Флаг
декодирует payload в ASCII, а фильтр
сужает захват до HTTP-трафика конкретного хоста.
Wireshark - сниффинг трафика с визуальным анализом
Если tcpdump - это стетоскоп, то Wireshark - полноценный микроскоп для сетевого трафика. На воркшопах я всегда говорю: захватывайте tcpdump-ом, анализируйте в Wireshark. Каждому инструменту - своё место.

Установка на Linux:
. На Windows - скачиваете с wireshark.org и ставите вместе с Npcap (драйвер для перехвата пакетов). При установке Wireshark предложит добавить пользователя в группу
- соглашайтесь, иначе придётся запускать от root.

Открываем pcap-файл, записанный tcpdump: File → Open → выбираем capture.pcap. Wireshark разложит каждый пакет по протокольным слоям: Ethernet, IP, TCP/UDP, прикладной протокол. Это и есть анализ сетевых пакетов в чистейшей форме.

Display filters - главное оружие. В отличие от capture filters, display filters работают постфактум и используют собственный синтаксис. Вот фильтры, с которых я начинаю на каждом пентесте:

• Код:

  ---

  http.request.method == "POST"

  ---

  - все POST-запросы, где обычно передаются формы логина
  
• Код:

  ---

  ftp.request.command == "PASS"

  ---

  - FTP-пароли открытым текстом
  
• Код:

  ---

  tcp.port == 23

  ---

  - Telnet-сессии, вся аутентификация без шифрования
  
• Код:

  ---

  http.authorization contains "Basic"

  ---

  - HTTP Basic Auth с base64-кодированными (не зашифрованными!) учётными данными
  
• Код:

  ---

  dns.qry.name contains "internal"

  ---

  - DNS-запросы к внутренним доменам, которые раскрывают структуру инфраструктуры

Отдельно про Follow Stream - без этой функции я не провожу ни один анализ. Правый клик по пакету → Follow → TCP Stream. Wireshark соберёт все пакеты одной TCP-сессии и покажет диалог между клиентом и сервером в читаемом виде. Для HTTP - полный запрос и ответ, для FTP - всю последовательность команд включая: USER и PASS.

Пример через tshark (консольный Wireshark) - фильтрация HTTP-запросов с учётными данными:

Код:


Три внутренних сервиса, три хоста, которые шлют учётные данные по HTTP. Флаг
задаёт display filter,
переключает вывод в табличный формат,
указывает поля для извлечения. Я регулярно вставляю этот однострочник в скрипты для автоматического сбора «low-hanging fruit» из большого дампа.
Ettercap и ARP spoofing - MITM-атака на практике
Ettercap - инструмент, заточенный под MITM-атаки в локальных сетях. Он автоматизирует ARP-отравление, перехват трафика и даже модификацию пакетов на лету. В MITRE ATT&CK это Adversary-in-the-Middle (T1557) и подтехника ARP Cache Poisoning (T1557.002).

📚 Часть контента скрыта. Этот материал доступен участникам сообщества с рангом One Level или выше


Получить доступ просто — достаточно проявить активность на форуме

https://forum.antichat.xyz/attachmen...7204283689.png

Маппинг на MITRE ATT&CK - инструменты пентеста сети в контексте фреймворка
Каждое действие, описанное выше, имеет точный идентификатор в MITRE ATT&CK. Это нужно не только для отчёта - маппинг помогает защитникам понять, какие детекшн-правила писать.

ДействиеТехника MITRE ATT&CKТактикаИнструментПасси вный захват пакетовNetwork Sniffing (T1040)Credential Access, Discoverytcpdump, WiresharkARP-отравление и перехватARP Cache Poisoning (T1557.002)Credential Access, CollectionEttercap, arpspoofMITM-проксированиеAdversary-in-the-Middle (T1557)Credential Access, CollectionEttercap, mitmproxyLLMNR/NBT-NS PoisoningLLMNR/NBT-NS Poisoning and SMB Relay (T1557.001)Credential Access, CollectionResponderМодификация трафика на летуTransmitted Data Manipulation (T1565.002)ImpactEttercap filtersЗеркалирование трафикаTraffic Duplication (T1020.001)ExfiltrationPort mirroring

Обратите внимание: T1040 и T1557 - в разных тактиках. Пассивный сниффинг - Discovery и Credential Access. Активный MITM - Credential Access и Collection. Это не формальность: разные тактики подразумевают разные методы обнаружения.
Обнаружение и защита от прослушивания сетевого трафика
Знать атаки и не знать защиту - полдела. Вот что реально работает против сниффинга и MITM-атак на уровне сетевой инфраструктуры.

Dynamic ARP Inspection (DAI) - функция управляемых коммутаторов, которая проверяет ARP-пакеты по привязке IP-MAC из DHCP Snooping таблицы. Кто-то отправил gratuitous ARP с чужим IP - пакет дропается, порт может быть заблокирован. Это единственная надёжная защита от Ettercap ARP spoofing на уровне L2.

DHCP Snooping - предшественник DAI. Коммутатор запоминает, какой IP выдал DHCP-сервер какому MAC-адресу, и строит таблицу легитимных привязок. Без DHCP Snooping DAI работать не будет - они идут в связке.

Обнаружение promiscuous mode. Хост в promiscuous mode по-другому обрабатывает некоторые Ethernet-фреймы. Утилита
отправляет специально сформированные пакеты и анализирует ответы - так можно обнаружить сниффер в сети. Метод работает только в пределах L2-сегмента и часто даёт false negatives на современных ОС с включённым rp_filter - не стоит полагаться на него как на единственное средство детекции.

Мониторинг ARP-аномалий. IDS вроде Suricata или Snort детектируют аномально частые ARP-ответы от одного хоста - признак ARP-спуфинга. Правило: отслеживать количество gratuitous ARP с одного source MAC за единицу времени. Если коммутатор не поддерживает DAI - это единственный оставшийся механизм детекции.

Шифрование всего. Самая радикальная и самая надёжная мера. HTTPS с HSTS на всех внутренних сервисах, SMB signing, отказ от FTP и Telnet в пользу SFTP и SSH, WPA3-Enterprise для Wi-Fi. Если весь трафик зашифрован, сниффинг превращается в бесполезный захват мусора. Но я ни разу не видел корпоративную сеть, где это было реализовано на 100%.

Сегментация сети. Плоская сеть - подарок для атакующего. VLAN-сегментация с ACL между сегментами ограничивает broadcast-домен и делает ARP-отравление возможным только в пределах одного VLAN. Бухгалтерия, разработка и серверный сегмент в разных VLAN - атакующий в одном сегменте не достанет до другого через ARP spoofing.
Вопрос к читателям
Для тех, кто разворачивал Ettercap в лаборатории с тремя VM: при запуске
с включённым IP forwarding через
жертва обычно сохраняет связность. Но при работе через bridge-интерфейс в VirtualBox часто возникает packet loss у жертвы выше 30%, даже если forwarding включён. Какой параметр ядра или настройку виртуальной сети вы используете, чтобы минимизировать потери? Поделитесь конкретной конфигурацией: тип сети в гипервизоре, значения
или другие sysctl, которые решили проблему.

Dai получается не будет работать где нету dhcp ? Или можно руками заполнить таблицу ? Но тут возможно удобнее статик арп прописать на хосте.

А порт секьюрити не поможет если настроить на 1 мак на порту.
А ещё 802.1х ?