Puoi annusare il traffico verso l'indirizzo IP dall'esterno della tua rete?

6

Non sono sicuro di come si chiama o anche se è possibile, ma qui è lo scenario di cui sono curioso:

Accedo a un sito che non usa SSL / TLS per fare un po 'di lavoro (purtroppo devo usare questo sito e ho già detto ai proprietari di ripararlo).

La mia domanda è semplicemente possibile che qualcuno (e in tal caso, come) possa sniffare il traffico verso quel sito da una rete che non è la mia.

Per esempio, accedo dal mio pc di lavoro che è presumibilmente in una rete sicura (IE nessuno è fisicamente in giro nel parcheggio facendo un attacco MitM) ma può qualcuno non sul mio lavoro la rete semplicemente annusa il traffico al sito http stesso e semplicemente intercetta la richiesta POST lì, indipendentemente da dove mi trovo?

Per chiarire, sto cercando di sapere se è possibile solo senza usare 'hack' ma invece qualcosa come tcpdump . quindi, ad esempio, so che se un utente malintenzionato ha compromesso il server web o il mio pc di lavoro, possono facilmente annusare il mio traffico, ma a quel punto non sono più fuori dalla mia rete.

Ecco un'immagine che faccio.

    
posta user68784 06.03.2015 - 20:39
fonte

3 risposte

3

Qualsiasi nodo in qualsiasi punto del traffico può rilevare il traffico, inclusi tutti gli ISP lungo il percorso.

La domanda, quindi, è quali minacce desideri mitigare? Se sei in grado di proteggere da attacchi "small-time", qualsiasi punto all'interno della rete dell'ISP è più sicuro e devi solo preoccuparti dei punti di ingresso e di uscita (server, client, connessioni di rete locali, ecc. Che hai eliminato dalla minaccia campo di applicazione).

    
risposta data 06.03.2015 - 20:57
fonte
1

Nel caso più esagerato, qualcuno potrebbe alterare il routing BGP tra le reti in modo che il traffico scorra attraverso la rete. Questo è successo a Youtube, dove tutti i loro indirizzi sono stati indirizzati in Pakistan: link

Combinato con uno sforzo di ascolto, è del tutto possibile essere fatto senza preavviso. È anche possibile ascoltare passivamente ovunque su Internet che è coinvolto nello spostamento del traffico.

Prendi in considerazione anche la possibilità del dirottamento DNS.

    
risposta data 06.03.2015 - 21:34
fonte
0

Come altri hanno già detto, TLS / HTTPS protegge dagli aggressori che si trovano nel percorso tra te e il sito web. gli attaccanti al di fuori di quel percorso non possono annusare il traffico se non si iniettano nel percorso (logicamente parlando, non fisicamente).

Iniettare nel percorso tramite i vettori di attacco come:

  • dirottamento del percorso BGP (come accennato in precedenza)
  • Avvelenamento DNS (come accennato in precedenza)
  • Apparecchiatura compromessa presso un ISP (router / firewall)
  • altri vettori di attacco non elencati o non ancora scoperti

È importante capire che l'attaccante non ha bisogno di essere fisicamente in una posizione specifica per utilizzare i suddetti vettori di attacco. L'ascolto passivo può essere fatto in remoto. Lo faccio spesso con il mio firewall. Posso usare SSH per avviare in remoto una sessione di sniffing dei pacchetti. I pacchetti catturati vengono salvati sulla mia macchina remota. Questo può essere filtrato per includere solo pacchetti dal sito web di cui voglio rubare informazioni.

Inoltre, se l'attaccante si trova sulla stessa rete Layer 2 del PC client o del server web, allora sono possibili anche attacchi di avvelenamento ARP per le acquisizioni passive di pacchetti.

    
risposta data 07.03.2015 - 00:33
fonte

Leggi altre domande sui tag