Перехват трафика приложения windows

Время на прочтение2 мин

Количество просмотров76K

Картинка с сайта: habr.com

Исследователи портала Bleeping Computer обнаружили, что компания Microsoft в составе обновления Windows 10 October 2018 Update без информирования пользователей добавила в ОС незаметную программу для диагностики сети и мониторинга пакетов под названием pktmon (Packet Monitor). Ее можно найти по этому пути: C:\Windows\system32\pktmon.exe.

Причем, информации об этой программе на сайте Microsoft нигде нет. Есть только описание в самой программе, там написано, что это «Monitor internal packet propagation and packet drop reports». Специалисты Bleeping Computer смогли научиться использовать pktmon, тем более у программы есть встроенный справочник. Также они опубликовали в своем исследовании несколько примеров активации разных возможностей pktmon для системных администраторов. Пользователи без административных прав не могут запускать эту программу.

Фактически, в Windows 10 появился встроенный аналог tcpdump, мощного и популярного инструмента для перехвата и анализа сетевых пакетов. Правда pktmon в настоящее время имеет ограниченный производителем функционал, который еще дорабатывается специалистами Microsoft. Причем полученные и сохраненные данные из pktmon уже сейчас можно использовать и в более функциональных приложениях, например, Microsoft Network Monitor или Wireshark. Вдобавок встроенная справочная документация приложения pktmon достаточно подробная, и лучше с ней ознакомиться, перед тем как начать экспериментировать с возможностями этой программы.

При использовании pktmon для мониторинга сетевого трафика необходимо настроить в программе фильтры пакетов на нужных портах, например, использовать команду «pktmon filter add -p 20». Для просмотра фильтров пакетов нужно использовать команду «pktmon filter list». Для удаления фильтров есть команда «pktmon filter remove».

Чтобы отслеживать пакеты на конкретных устройствах необходимо определить ID сетевого адаптера с помощью команды «pktmon comp list». Далее можно начинать перехватывать нужные пакеты: pktmon start —etw -p 0 -c 13, где «-p 0» — аргумент для захвата всего пакета, а «-c 13» — захват только с адаптера с ID 13. Данные будут записываться в файл pktMon.etl:

Картинка с сайта: habr.com

Для остановки работы процедуры захвата нужно ввести команду «pktmon stop». Далее можно преобразовать полученный файл в текстовый формат: pktmon PktMon.etl -o ftp.txt. Там будет записана в краткой форме информация о сетевом трафике:

Картинка с сайта: habr.com

Полностью файл pktMon.etl можно открыть и анализировать, например, с помощью Microsoft Network Monitor.

Картинка с сайта: habr.com

Оказывается, что в новом обновлении Windows 10 May 2020 Update (Windows 10 версии 2004) Microsoft также обновила инструмент pktmon. Теперь с его помощью можно будет перехватывать пакеты в режиме реального времени и даже конвертировать файлы с расширением ETL в формат PCAPNG, которые можно исследовать в программе для захвата и анализа сетевого трафика Wireshark.

Картинка с сайта: habr.com

Ранее в начале мая 2020 года Microsoft перенесла на конец мая 2020 начало развертывания большого майского обновления Windows 10 May 2020 Update (версия 2004) для обычных пользователей. Компания планировала выпустить это обновление 12 мая 2020 года. Теперь этот срок сдвинут по соображениям безопасности еще на две недели из-за необходимости исправить выявленную в последний момент уязвимость нулевого дня в Windows 10.

Встроенный анализатор (сниффер) сетевого трафика Packet Monitor (PktMon.exe) появился еще в Windows 10 1809 и Windows Server 2019. В последнем билде Windows 10 2004 (May 2020 Update), функционал анализатора пакета был существенно расширен (появилась поддержка захвата пакетов в реальном времени, и поддержка формата PCAPNG для простого импорта в анализатор сетевого трафика Wireshark). Таким образом в Windows появился функционал захвата сетевого трафика, аналогичный tcpdump, и его можно смело использовать системными и сетевыми администраторам для диагностики работы сети.

Packet Monitor позволяет получить всю сетевую активность, проходящую через сетевой интерфейс компьютера на уровне каждого пакета.

Ранее для захвата сетевого трафика и инспектирования пакетов в Windows использовалась команда netsh trace.

Справку по использованию параметров
pktmon.exe
можно получить, набрав команду в командной строке.

Картинка с сайта: winitpro.ru

Основные команды утилиты Packet Monitor:

• filter — управление фильтрами пакетов
• comp – управление зарегистрированными компонентами;
• reset — сброс счетчиков;
• start – запустить мониторинг пакетов;
• stop— остановить сбор пакетов;
• format – конвертировать лог файл трафика в текстовый формат;
• pcapng – конвертация в формат pcapng;
• unload – выгрузить драйвер PktMon.

Чтобы получить справку по субкоманде, укажите ее имя:

pktmon filter

Картинка с сайта: winitpro.ru

Попробуем собрать дамп трафика, который приходит на некоторые запущенные службы компьютера. Допустим, нам нужно проанализировать трафик FTP (TCP порты 20, 21) и HTTP (порты 80 и 443).

Создадим фильтр пакетов для 4 TCP портов (также можно мониторить UDP и ICMP трафик):

pktmon filter add -p 20 21
pktmon filter add HTTPFilt –p 80 443

Выведем список имеющихся фильтров:

pktmon filter list

Картинка с сайта: winitpro.ru

Чтобы запустить фоновый сбор трафика, выполните команду:

pktmon start –etw

Log file name: C:\Windows\System32\PktMon.etl
Logging mode: Circular
Maximum file size: 512 MB
Active measurement started.

Картинка с сайта: winitpro.ru

В таком режиме pktmon собирает данные со всех сетевых интерфейсов, но в журнал попадают только первые 128 байтов пакета. Чтобы захватить пакеты целиком и только на определенном интерфейсе компьютера, используется команда:

pktmon start --etw -p 0 -c 9

где значение аргумента c – номер (ID) нужного сетевого интерфейса, полученного с помощью:

pktmon comp list

Картинка с сайта: winitpro.ru

Фильтр пакетов начнет запись всего трафика, соответствующего заданным фильтрам в файл C:\Windows\System32\PktMon.etl (максимальный размер 512 Мб). Чтобы остановить запись дампа, выполните команду:

pktmon stop

Также сбор сетевых пакетов прекращается после перезегрузки Windows.

Теперь вы можете сконвертировать файл с дампом трафика из формата ETL в обычный текст:

pktmon format PktMon.etl -o c:\ps\packetsniffer.txt

или

pktmon PCAPNG PktMon.etl  -o c:\ps\packetsniffer.pcapng

Полученный дамп трафика можно анализировать в текстовом виде, загрузить ETL файл в установленный на компьютере администратора Microsoft Network Monitor или WireShark (в форматер PCAPNG).

Картинка с сайта: winitpro.ru

Чтобы удалить все созданные фильтры Packet Monitor, выполните:

pktmon filter remove

Вы можете использовать PktMon для мониторинга сетевого трафика в реальном времени. Для этого используется параметр
-l real-time
. В этом режиме захваченные сетевые пакеты отображаются в консоли, и не пишутся в фоновом режиме в лог файл.

pktmon start --etw -p 0 -l real-time

Картинка с сайта: winitpro.ru

Чтобы остановить сбор трафика, используйте комбинацию клавиш Ctrl+C.

Если у вас наблюдается drop пакетов на сетевом интерфейсе, PacketMon может показать причину дропов (например, некорректный MTU или VLAN).

Также вы можете использовать PktMon в Windows Admin Center через расширения. Собранные данные с компьютеров и серверов при диагностике сетевых проблем можно использовать для анализа в более мощных программах анализа сетевого трафика, таких как Microsoft Network Monitor или Wireshark.

SmartSniff
для Windows

Перехват и ана­лиз тра­фика — один самых важных начальных этапов взлома (пентеста). В перехваченном трафике мож­но найти мно­го интересных данных, в том числе логины у пароли. Для этой цели исполь­зуют­ся специальные программы — сниф­феры. В этой статье я расскажу о лучших сниф­ферах для Windows.

Еще по теме: Лучший сниффер для Android

Лучшие снифферы для Windows

Снифферы часто применяются и в других целях — для анализа и устранения неполадок локальной сети. Для обнаружения вредоносной активности и контроля сотрудников (посещение сайтов и т.д.). Но в большинстве снифферы конечно используются для пентеста (тестирование на проникновения).

Intercepter-NG

Про­изво­дитель: неиз­вес­тно
Сайт: http://sniff.su
Ли­цен­зия: бес­плат­но

Это тоже очень ста­рый и убе­лен­ный седина­ми инс­тру­мент — впер­вые мы писали о нем еще в 2012 году. C тех пор раз­рабаты­ваемый нашими сооте­чес­твен­никами про­ект не толь­ко не исчез с прос­торов интерне­та, как мно­гие его кон­курен­ты, но даже активно раз­вивал­ся и совер­шенс­тво­вал­ся — пос­ледняя акту­аль­ная редак­ция сниф­фера датиро­вана 2020 годом. Сущес­тву­ет вер­сия прог­раммы для Android в виде .APK-фай­ла и даже кон­соль­ная вер­сия это­го инс­тру­мен­та для Unix.

В сво­ей работе Intercepter-NG исполь­зует ути­литу NPcap, пор­табель­ную вер­сию которой, по завере­ниям раз­работ­чиков, тас­кает с собой. Одна­ко прак­тика показа­ла, что ее либо забыли туда положить, либо в Windows 10 она не работа­ет — для запус­ка сниф­фера мне приш­лось качать NPcap с сай­та https://nmap.org/npcap/ и уста­нав­ливать его вруч­ную.

Картинка с сайта: spy-soft.net

Intercepter-NG име­ет доволь­но сим­патич­ный поль­зователь­ский интерфейс и поз­воля­ет прос­матри­вать тра­фик в нес­коль­ких режимах. Есть обыч­ный прос­мотр пакетов и их содер­жимого, в котором мож­но филь­тро­вать пакеты с помощью пра­вил pcap или исполь­зовать фун­кцию Follow TCP stream для деталь­ного ана­лиза какой‑либо сес­сии. Есть режим Messengers Mode, в котором тул­за пыта­ется перех­ватить тра­фик мес­сен­дже­ров — преж­де все­го иско­паемых ICQ, MSN, Yahoo и AIM, но есть там под­дер­жка про­токо­ла Jabber. С Telegram фокус не удал­ся: сниф­фер поп­росту его не уви­дел.

Име­ется Passwords Mode, в котором на экра­не демонс­три­руют­ся вылов­ленные из тра­фика логины и пароли, переда­ваемые по про­токо­лам FTP, HTTP, SMTP, POP3, IMAP, LDAP, Telnet и дру­гим. Режим Resurrection mode поз­воля­ет вос­ста­нав­ливать фай­лы, переда­ваемые через HTTP, FTP, SMB, IMAP, POP3 и SMTP, — при этом удач­но вос­ста­нав­лива­ются толь­ко фай­лы из завер­шенных TCP-сес­сий.

В сос­таве Intercepter-NG име­ется допол­нитель­ный и очень полез­ный инс­тру­мен­тарий. Это прос­той DHCP-сер­вер, служ­ба NAT, поз­воля­ющая тран­сли­ровать пакеты ICMP/UDP/TCP меж­ду раз­личны­ми Ethernet-сег­мента­ми сети. Есть нес­коль­ко сетевых ска­неров: ARP, DHCP, реали­зован «умный» поиск шлю­зов. Еще один полез­ный инс­тру­мент — модуль для орга­низа­ции MiTM-атак. Под­держи­вают­ся методы Spoofing (с под­дер­жкой про­токо­лов DNS/NBNS/LLMNR), ICMP Redirect, DNS over ICMP Redirect, SSL MiTM, SSLStrip и некото­рые дру­гие.

С помощью прог­раммы мож­но прос­каниро­вать задан­ный диапа­зон пор­тов в поис­ках работа­ющих на них при­ложе­ний, про­вес­ти ана­лиз свя­зан­ных с эти­ми пор­тами про­токо­лов. Мож­но перек­лючить сниф­фер в экс­тре­маль­ный режим, при котором он будет перех­ватывать все TCP-пакеты без про­вер­ки пор­тов, что поз­волит обна­ружить в сети при­ложе­ния, работа­ющие на нес­тандар­тных и пере­опре­делен­ных адми­нис­тра­тором пор­тах. Прав­да, в этом режиме при­ложе­ние нещад­но тор­мозит и пери­оди­чес­ки зависа­ет намер­тво.

В акту­аль­ной вер­сии Intercepter-NG появи­лась встро­енная тул­за для экс­плу­ата­ции уяз­вимос­ти Heartbleed — ошиб­ки в крип­тогра­фичес­ком прог­рам­мном обес­печении OpenSSL, с помощью которой мож­но несан­кци­они­рован­но читать память на сер­вере или на кли­енте, в том чис­ле для извле­чения зак­рытого клю­ча сер­вера.

Еще в сос­тав пакета был добав­лен инс­тру­мент для брут­форса и мно­гопо­точ­ный ска­нер уяз­вимос­тей X-Scan. Ины­ми сло­вами, из прос­того при­ложе­ния сетево­го ана­лиза Intercepter-NG понем­ногу прев­раща­ется в эда­кий ком­байн, поз­воля­ющий не отхо­дя от кас­сы прос­каниро­вать сеть на наличие откры­тых пор­тов и незак­рытых уяз­вимос­тей, перех­ватить логины с пароля­ми и чего‑нибудь сбру­тить.

К минусам Intercepter-NG сле­дует отнести то, что прог­рамма рас­позна­ется как вре­донос­ная анти­виру­сом Кас­пер­ско­го и Windows Defender, из‑за чего при­бива­ется еще на эта­пе заг­рузки с сай­та про­изво­дите­ля. Так что для работы со сниф­фером при­дет­ся отклю­чать анти­виру­сы, но это доволь­но скром­ная пла­та за воз­можность поль­зовать­ся столь мно­гофун­кци­ональ­ным инс­тру­мен­том.

SmartSniff

Про­изво­дитель: Nirsoft
Сайт: http://www.nirsoft.net/utils/smsniff.html
Ли­цен­зия: бес­плат­но

Прос­тень­кий сниф­фер, работа­ющий с про­токо­лами TCP, UDP и ICMP. Тре­бует уста­нов­ки драй­вера WinPcap и Microsoft Network Monitor Driver вер­сии 3.

Картинка с сайта: spy-soft.net

Про­ект изна­чаль­но раз­рабаты­вал­ся под Windows 2000/XP (что, в общем‑то, замет­но по его интерфей­су), но жив и по сей день — пос­ледняя вер­сия сниф­фера датиро­вана 2018 годом. Ути­лита поз­воля­ет перех­ватывать тра­фик, про­ходя­щий через локаль­ную машину, и прос­матри­вать содер­жимое пакетов — боль­ше она, собс­твен­но, ничего не уме­ет.

tcpdump

Про­изво­дитель: Tcpdump Group
Сайт: tcpdump.org
Ли­цен­зия: бес­плат­но (модифи­циро­ван­ная лицен­зия BSD)

На­писан­ная на С кон­соль­ная ути­лита, изна­чаль­но раз­работан­ная под Unix, но поз­же пор­тирован­ная на Windows, в которой исполь­зует­ся WinPcap. Для нор­маль­ной работы тре­бует наличия адми­нис­тра­тив­ных при­виле­гий.

Картинка с сайта: spy-soft.net

Сре­ди поль­зовате­лей Windows более популяр­на вер­сия tcpdump с откры­тым исходным кодом под наз­вани­ем WinDump, которую мож­но бес­плат­но ска­чать с сай­та https://www.winpcap.org/windump/.

Burp Suite

Про­изво­дитель: Portswigger
Сайт: https://portswigger.net/burp
Ли­цен­зия: бес­плат­но (Community Edition)

Еще один популяр­ный у пен­тесте­ров инс­тру­мент, пред­назна­чен­ный для тес­тирова­ния безопас­ности веб‑при­ложе­ний. Burp вхо­дит в сос­тав Kali Linux, есть вер­сия под Windows с 64-бит­ной архи­тек­турой.

Этот фрей­мворк недаром называ­ют «швей­цар­ским ножом пен­тесте­ра» — в пла­не поис­ка уяз­вимос­тей и ауди­та безопас­ности веб‑при­ложе­ний ему нет рав­ных. Burp Suite вклю­чает воз­можнос­ти для отправ­ки на уда­лен­ные узлы модифи­циро­ван­ных зап­росов, брут­форса, фаз­зинга, поис­ка фай­лов на сер­вере и мно­гое дру­гое.

Собс­твен­но, в качес­тве сниф­фера Burp сов­сем не уни­вер­сален — он уме­ет толь­ко отсле­живать тра­фик меж­ду бра­узе­ром и уда­лен­ным веб‑при­ложе­нием с исполь­зовани­ем перех­ватыва­юще­го прок­си, для работы которо­го с про­токо­лом HTTPS тре­бует­ся уста­новить в сис­теме допол­нитель­ный сер­тификат. Но для опре­делен­ных целей это­го может ока­зать­ся дос­таточ­но.

Картинка с сайта: spy-soft.net

Burp перех­ватыва­ет все пакеты, которые отправ­ляет и получа­ет бра­узер и, соот­ветс­твен­но, поз­воля­ет ана­лизи­ровать тра­фик раз­личных веб‑при­ложе­ний, вклю­чая онлайн‑мес­сен­дже­ры или соц­сети. Если в иссле­дуемой пен­тесте­ром инфраструк­туре име­ются работа­ющие через HTTP или HTTPS сер­висы, луч­шего инс­тру­мен­та для их тес­тирова­ния, пожалуй, не най­ти. Но исполь­зовать Burp толь­ко в качес­тве сниф­фера HTTP/HTTPS-тра­фика — это все рав­но, что возить с дач­ного учас­тка кар­тошку на «Лам­бор­джи­ни»: он пред­назна­чен сов­сем для дру­гих задач.

Заключение

Ес­ли переф­разиро­вать популяр­ную пес­ню, сниф­феры быва­ют раз­ные — и каж­дый из них луч­ше под­ходит для сво­их задач.

В целях иссле­дова­ния веб‑при­ложе­ний и перех­вата локаль­ного HTTP-тра­фика нет ничего луч­ше Burp Suite, для поис­ка проб­лемных мест в собс­твен­ной локаль­ной сети или получе­ния спис­ка уда­лен­ных узлов, к которым обра­щает­ся какая‑либо прог­рамма, отлично подой­дет Wireshark.

А для атак на сетевую инфраструк­туру мож­но исполь­зовать Intercepter-NG — эта тул­за рас­полага­ет целым набором полез­ных инс­тру­мен­тов для тес­тирова­ния на про­ник­новение.

Еще по теме: Лучшие устройства хакера

Один из важных элементов тестирования — анализ трафика, в котором содержится масса полезных данных о коммуникации приложений с серверами. Эта информация позволяет  разработчикам обнаруживать потенциальные узкие места в их продукте и корректировать его функционал еще до релиза. Доступ к трафику обеспечивают специальные инструменты тестирования – снифферы.

• Что такое снифферы и для чего они нужны
• Сценарии использования снифферов в тестировании
• Принцип работы снифферов
  • Схема работы со сниффером
• Популярные инструменты работы со снифферами

Что такое снифферы и для чего они нужны

Сниффер — инструмент для регистрации, анализа и изменения запросов между веб-приложением и сервером с помощью перехвата HTTP и HTTPS трафика.

• Снифферы анализирует заголовок, статус-код и тело ответа приложения на запрос.
• Снифферы показывают, какие данные циркулируют между приложением и внешними сервисами, и насколько эти данные совпадают с ожидаемыми.
• С их помощью можно менять запросы и ответы сервера для моделирования различных кейсов в процессе тестирования приложения.
• Снифферы могут эмулировать низкую скорость интернета, чтобы обнаружить ошибки в протоколе обмена данными.

Тестировщики используют снифферы для исследования взаимодействия приложения с сервером, оценки правильности передачи данных и проведения модульного тестирования API.

Сценарии использования снифферов в тестировании

1. Тестирование производительности. Снифферы проверяют время загрузки стилей, изображений и скриптов и анализируют время выполнения AJAX-запросов.
2. API. Для отладки взаимодействия приложения с внешними API снифферы дают возможность просматривать и менять запросы и ответы.
3. Тестирование безопасности. Снифферы перехватывают и анализируют трафик для оценки безопасности приложения.
4. Тестирование обработки ошибок. Снифферы эмулируют разнообразные сценарии ошибок, чтобы проверить реакцию приложения на них.
5. Тестирование кэширования. Снифферы предлагают ряд функций для оценки эффективности кеширования, изучения его работы и проверки заголовков кэширования.
6. Тестирование мобильных приложений. Перехват и анализ сетевого трафика между сервером и мобильным устройством помогает выявить возможные проблемы, связанные с сетью или сервером.
7. Тестирование реакции приложения на нестандартные сценарии. Эмулирование низкой скорости интернета позволяет оценить реакции приложения на замедление соединения.

Принцип работы снифферов

Общение приложения или сайта с сервером происходит через передачу запросов и ответов через протокол HTTP/HTTPS. Сниффер становится посредником между ними. Он собирает и анализирует необходимую информацию о запросах для тестирования и отладки решения и далее передает ее нужному серверу. Ответ сервера сниффер направляет напрямую приложению, для которого он ничем не отличается от классического сервера.

Схема работы со сниффером

1. Настройка. Тестировщику необходимо выбрать подходящий по условия задачи инструмент и установить его на устройстве, через которое приложение будет передавать информацию.
2. Захват трафика. В процессе тестирования специалист реализует определенный сценарий. Сниффер ловит весь трафик, который проходит через используемое устройство или сеть, и анализирует его.
3. Анализ данных. Тестировщик изучает параметры взаимодействия приложения с сервером, обрабатываемые запросы и генерацию ответов и проводит анализ этих данных.
4. Обнаружение проблем. С помощью сниффера тестировщик может выявить возможные ошибки в данных, некорректные запросы и задержки ответов.
5. Отчет. Специалист документирует результаты анализа, фиксирует выявленные проблемы и составляет рекомендациями по их устранению.

Популярные инструменты работы со снифферами

Для анализа сетевого трафика в разработке  QA-специалисты чаще всего используют инструменты Fiddler, Charles Proxy и Proxyman . Все три сервиса работают по подписке и предоставляют бесплатный тестовый период.

• Fiddler предназначен для работы с приложениями, созданными для Windows, MacOS и Linux. Его отличительная черта — функция FiddlerScript. Она дает возможность разрабатывать сценарии реализации запросов и автоматизировать работу с ними. Скрипты позволяют быстрее обнаруживать кейсы с ошибками и оперативно устранять их. Недостаток инструмента — сложный дизайн, который компенсируется набором полезных для тестировщиков функций.
• Charles Proxy — кросс-платформенное решение. Дизайн инструмента немного устарел, но интуитивно понятен как для опытных специалистов, так и для начинающих тестировщиков. Сервис имеет набор мощных настроек для управления скоростью интернета. Он хорошо подойдет для задач по корректировке пропускной способности сети.
• Proxyman работает в основном с приложениями, разработанными для macOS, и имеет наиболее дружелюбный для пользователей и современный интерфейс. Его преимущество в возможности быстро подключиться к симуляторам iOS, что позволяет эффективнее тестировать мобильные приложения.

Слушатели курса«Инженер по тестированию»знакомятся с разнообразными инструментами тестирования, в том числе и снифферами. В рамках учебных проектов вы сможете поработать с разными сервисами и выбрать наиболее подходящие для боевых проектов..