¿cómo puede ver una solicitud HTTP en tránsito?

5

En Google Chrome, a veces verá el protocolo https: en la barra de URL con una huelga roja a través de él. Al hacer clic en el botón de información, se dice que no todos los elementos de la página están encriptados y que otros pueden verlos mientras están en tránsito.

Mi pregunta es: ¿cómo se puede ver una / todas las solicitudes mientras estoy en tránsito? He leído un poco sobre los sniffers HTTP, pero parece que están inspeccionando las solicitudes entrantes / salientes de su propia máquina. ¿Cómo puede interceptar una solicitud en el éter, en una red particular?

    
pregunta user1325378 18.04.2012 - 19:46
fuente

8 respuestas

6

Detector de paquetes

Los rastreadores de paquetes le permiten ver todo lo que está viajando en la red. Wireshark es el más popular y gratuito, y es fácil de descargar e instalar.

Con un rastreador de paquetes, puedes leer en texto plano cualquier cosa que no esté encriptada.

Esto requiere que tenga acceso a la red de donde proviene la comunicación (ya sea servidor o host). No puede leer paquetes en una red a la que no tiene acceso. Es por eso que ha escuchado que leen lo que viene de su propia computadora.

Pero, es posible obtener acceso a otras redes. Wifi (público o privado pirateado) es un medio popular y fácil de obtener acceso al tráfico de la red de otros. Algunos atacantes van a excelente longitudes para instalar físicamente los sniffers en redes corporativas para que puedan acceder a este tipo de datos.

HTTPS

HTTPS cifra la información entre un navegador y el servidor para que los rastreadores no puedan leer el contenido real de la comunicación. Para un sitio que tiene una mezcla de contenido HTTP y HTTPS, partes de la comunicación serán legibles y otras no.

Pruebas

Esto es fácil de probar. Descargue e instale Wireshark e inicie una captura. Luego inicie un navegador web y navegue a un sitio web que no sea HTTPS. Detenga la captura de Wireshark, luego mire los datos. Encontrará el texto real del sitio web en la captura.

Inténtalo de nuevo en un sitio web HTTPS (por ejemplo, google) y verás que no puedes leer el texto del sitio web.

Ahora intente todo el proceso en un sitio web mixto, y verá qué está encriptado y qué no. Es posible que los anuncios y otros contenidos de terceros no se hayan cifrado, por ejemplo.

Impacts

Los rastreadores de paquetes son las herramientas técnicas, pero las herramientas de pirateo preempaquetadas usan rastreadores de paquetes integrados para leer esta información y formatearla para usos maliciosos. Firesheep es la herramienta actualmente famosa que puede secuestrar la conexión de alguien a Facebook y Twitter.

    
respondido por el schroeder 18.04.2012 - 21:29
fuente
3

Para capturar paquetes "en el éter", debe poder controlar el punto final o el medio en el que la comunicación está operando. En el caso de conexiones por cable, debe controlar el servidor, el conmutador, el enrutador, etc., o conectarse directamente a la línea. En el caso de wifi, puede utilizar wireshark como @schroeder ha mencionado junto con su tarjeta wifi. El problema aquí es que si el enrutador wifi usa cifrado, entonces sin esfuerzo solo podrá ver su propio tráfico.

En cuanto a su propio uso, dependiendo de su sistema operativo, puede encontrar que Fiddler2 es mucho más ligero y más fácil de usar. usar / entender el proxy de depuración para Windows. Inicia y Chrome lo usará automáticamente. Todas las solicitudes pueden pasar por allí. Y para colmo, puede introducir un certificado SSL que le permita descifrar sus sesiones HTTPS.

    
respondido por el logicalscope 18.04.2012 - 22:24
fuente
2

Un poco aparte, pero en el caso específico de OP de ver una página web en chrome: puede presionar f12 o ctrl-shift-i para abrir las herramientas de los desarrolladores y hacer clic en la pestaña de red. Actualice la página para ver una lista de todas las solicitudes de red realizadas por el navegador. Haga clic en una solicitud individual en la lista para ver los detalles de esa solicitud.

    
respondido por el Cheekysoft 19.04.2012 - 14:31
fuente
1

Puede usar cualquier rastreador de paquetes con el que se sienta cómodo, la función principal que le permite escuchar todos los paquetes en Ether que pertenecen a su red es Escuchar en modo promiscuo .

Normalmente, las herramientas como Wireshark permiten escuchar en modo promiscuo en cualquier momento sin ninguna configuración externa. Pero incluso si no funciona, puedes buscar tu NIC para configurarlo en modo promiscuo (dado que es compatible con eso).

    
respondido por el AbhishekKr 19.04.2012 - 13:27
fuente
0

¿Puedo sugerir el uso de scapy para esto?

Tengo un post en Stack Overflow que habla sobre cómo hacer esto. No estoy seguro de cuánta experiencia en programación tiene, pero esta solución debería ser plug and play después de que Scapy y Python estén instalados en la caja.

Lo que esto proporcionará es una instantánea más fácil y rápida de todas y cada una de las solicitudes de http que realice en su casilla sin necesidad de detenerse y profundizar en un paquete.

Consulte publicación de desbordamiento de pila sobre el mismo tema ..

    
respondido por el dc5553 19.04.2012 - 13:22
fuente
0

Creo que la mejor manera de entender lo fácil que es rastrear el tráfico HTTP es leer sobre Firesheep

Con el acceso WiFi, ya no es necesario que se siente en el cable.

    
respondido por el AaronS 19.04.2012 - 13:45
fuente
0

Otra gran herramienta que no se ha recomendado es mitmproxy .

Te permite:

  • Interceptar y modificar el tráfico HTTP sobre la marcha
  • Guardar conversaciones HTTP para su posterior reproducción y análisis
  • Repetir los clientes y servidores HTTP
  • Realice cambios en el guión del tráfico HTTP mediante Python
  • certificados de intercepción SSL generados sobre la marcha
respondido por el Siddhartha Tesla 05.05.2012 - 21:18
fuente
0

Lo que estás buscando es un hombre en el ataque central.

Un hombre en el ataque central es cuando alguien entre usted y el servidor está leyendo / modificando su comunicación.

Algunos métodos conocidos para archivar esto son:

Arp-spoofing : arp-spoofing se utiliza en la red local para insertarlo en la comunicación entre su objetivo y su puerta de enlace a Internet. Cain and abel es una herramienta que puede hacer esto y también puede encontrar contraseñas y nombres de usuario de conexiones no cifradas.

DNS spoofing : una URL como www.google.com se traduce en una IP por DNS. Entonces, si controlas el DNS, controlas a dónde apuntan todos los URL. Entonces, apunta todos los sitios a su computadora y lo hace actuar como un proxy.

    
respondido por el KilledKenny 18.04.2012 - 21:44
fuente

Lea otras preguntas en las etiquetas