Кто может прослушивать HTTP-трафик пользователя?

Question 1

Легко — просто проложите кабель от вашего ПК к серверу.

Возможно, это характерно только для Австрии, но, вероятно, это наблюдается во всем мире.

Предположим, у нас есть пользователь DSL:

ПК -> Ethernet -> Модем

Любой, у кого есть доступ к местной инфраструктуре, может отслеживать трафик

Модем -> 2-проводной-медный -> DSLAM

Любой, у кого есть доступ к медной инфраструктуре и оборудованию, способному расшифровать данные, может подслушать. Большая часть этой проводки относительно незащищена и легкодоступна, если знать, где искать, но для того, чтобы расшифровать данные, вам, вероятно, понадобится очень специфическое оборудование.

DSLAM -> Инфраструктура ISP -> Основные маршрутизаторы ISP

Большинство DSLAM подключены через оптоволокно к какому-либо типу оптоволоконного кольца/MAN и маршрутизаторам интернет-провайдера.

В Германии были истории, когда якобы трехбуквенные агентства из США A прослушивали трафик городской сети. Существуют готовые устройства, которые могут это сделать, вам просто нужен правильный бюджет, намерение и знание местной инфраструктуры.

Основные маршрутизаторы ISP -> BGP -> Целевая AS

Учитывая, что сервер назначения не находится в той же автономной системе, что и пользователь, трафик должен быть отправлен через "Интернет". Если вы идете через Интернет, то, используя цитату из Snatch, "All Bets Are Off". Существует так много уголков и щелей, куда могут залезть злонамеренные операторы, что вам лучше всего предположить, что весь ваш трафик будет прочитан.

Министерство внутренней безопасности (или, может быть, какое-то другое агентство) активно прослушивало магистральную инфраструктуру США на этом уровне.

Маршрутизатор Target AS Border -> Инфраструктура ISP -> Жилищный центр

См. выше.

Маршрутизатор центра размещения -> Коммутаторы -> Сервер

Вот как уже было атаковано довольно много сайтов. Ethernet не обеспечивает защиты для хостов, которые находятся в том же (V)LAN/широковещательном домене, поэтому любой хост может попытаться подделать/отравить ARP, чтобы выдать себя за другой сервер. Это означает, что весь трафик для данного сервера может быть туннелирован через машину в том же (V)LAN.

Answer

Легко — просто проложите кабель от вашего ПК к серверу.

Возможно, это характерно только для Австрии, но, вероятно, это наблюдается во всем мире.

Предположим, у нас есть пользователь DSL:

ПК -> Ethernet -> Модем

Любой, у кого есть доступ к местной инфраструктуре, может отслеживать трафик

Модем -> 2-проводной-медный -> DSLAM

Любой, у кого есть доступ к медной инфраструктуре и оборудованию, способному расшифровать данные, может подслушать. Большая часть этой проводки относительно незащищена и легкодоступна, если знать, где искать, но для того, чтобы расшифровать данные, вам, вероятно, понадобится очень специфическое оборудование.

DSLAM -> Инфраструктура ISP -> Основные маршрутизаторы ISP

Большинство DSLAM подключены через оптоволокно к какому-либо типу оптоволоконного кольца/MAN и маршрутизаторам интернет-провайдера.

В Германии были истории, когда якобы трехбуквенные агентства из США A прослушивали трафик городской сети. Существуют готовые устройства, которые могут это сделать, вам просто нужен правильный бюджет, намерение и знание местной инфраструктуры.

Основные маршрутизаторы ISP -> BGP -> Целевая AS

Учитывая, что сервер назначения не находится в той же автономной системе, что и пользователь, трафик должен быть отправлен через "Интернет". Если вы идете через Интернет, то, используя цитату из Snatch, "All Bets Are Off". Существует так много уголков и щелей, куда могут залезть злонамеренные операторы, что вам лучше всего предположить, что весь ваш трафик будет прочитан.

Министерство внутренней безопасности (или, может быть, какое-то другое агентство) активно прослушивало магистральную инфраструктуру США на этом уровне.

Маршрутизатор Target AS Border -> Инфраструктура ISP -> Жилищный центр

См. выше.

Маршрутизатор центра размещения -> Коммутаторы -> Сервер

Вот как уже было атаковано довольно много сайтов. Ethernet не обеспечивает защиты для хостов, которые находятся в том же (V)LAN/широковещательном домене, поэтому любой хост может попытаться подделать/отравить ARP, чтобы выдать себя за другой сервер. Это означает, что весь трафик для данного сервера может быть туннелирован через машину в том же (V)LAN.

Question 2

В коммутируемой локальной сети (как и в большинстве сетей Ethernet) вы можете использовать отравление кэша ARP, чтобы во многих случаях подслушивать такой трафик. По сути, вы можете обмануть клиентский компьютер и заставить его думать, что ваша подслушивающая станция — это маршрутизатор из локальной сети.

В локальных сетях с общим доступом к среде, т.е. некоммутируемых,как беспроводной Ethernet без шифрования или с нарушенным шифрованием-- вам даже не нужно этого делать. Просто послушайте!

На ISP, ISP ISP, ISP ISP ISP... и т. д. злоумышленнику нужно будет только прослушивать трафик. Любая точка на пути, по которому проходит трафик, подвержена потенциальному прослушиванию. Между ними также есть локальные сети, поэтому всегда есть возможность прослушивания с помощью отравления кэша ARP и т. д.

Наконец, на дальнем конце будет еще одна локальная сеть, столь же уязвимая для прослушивания, как и исходная локальная сеть.

J. Случайный идиот, знающий ваш IP-адрес, не будет прослушивать ваш трафик, не взломав что-нибудь по пути или не перенаправив поток трафика с его обычного пути к себе.

Да, открытый текст — это плохо.

Answer

В коммутируемой локальной сети (как и в большинстве сетей Ethernet) вы можете использовать отравление кэша ARP, чтобы во многих случаях подслушивать такой трафик. По сути, вы можете обмануть клиентский компьютер и заставить его думать, что ваша подслушивающая станция — это маршрутизатор из локальной сети.

В локальных сетях с общим доступом к среде, т.е. некоммутируемых,как беспроводной Ethernet без шифрования или с нарушенным шифрованием-- вам даже не нужно этого делать. Просто послушайте!

На ISP, ISP ISP, ISP ISP ISP... и т. д. злоумышленнику нужно будет только прослушивать трафик. Любая точка на пути, по которому проходит трафик, подвержена потенциальному прослушиванию. Между ними также есть локальные сети, поэтому всегда есть возможность прослушивания с помощью отравления кэша ARP и т. д.

Наконец, на дальнем конце будет еще одна локальная сеть, столь же уязвимая для прослушивания, как и исходная локальная сеть.

J. Случайный идиот, знающий ваш IP-адрес, не будет прослушивать ваш трафик, не взломав что-нибудь по пути или не перенаправив поток трафика с его обычного пути к себе.

Да, открытый текст — это плохо.

Question 3

Если вы добавите беспроводную связь в любое место на пути (Wi-Fi-карту, беспроводной мост и т. д.), то любой, кто находится поблизости от сети, сможет ее прослушать.

WEP легко взломать, если простоять рядом с загруженной сетью достаточно недолго, а как только вы окажетесь в сети, вы сможете просматривать трафик всех участников.

Попробуйте сами, если хотите. Загрузите программу WireShark и попросите ее захватить в режиме Promiscious. Посмотрите, что получится!

Все, что является чувствительным, конфиденциальным, личным и связанным с бизнесом, должно отправляться через HTTPS. Подписанный сертификат не дорог, и если вы находитесь в домене, вы можете создать свой собственный центр сертификации, который может быть использован для назначения сертификатов для шифрования трафика, который будет автоматически доверенным для клиентов в том же домене.

Answer

Если вы добавите беспроводную связь в любое место на пути (Wi-Fi-карту, беспроводной мост и т. д.), то любой, кто находится поблизости от сети, сможет ее прослушать.

WEP легко взломать, если простоять рядом с загруженной сетью достаточно недолго, а как только вы окажетесь в сети, вы сможете просматривать трафик всех участников.

Попробуйте сами, если хотите. Загрузите программу WireShark и попросите ее захватить в режиме Promiscious. Посмотрите, что получится!

Все, что является чувствительным, конфиденциальным, личным и связанным с бизнесом, должно отправляться через HTTPS. Подписанный сертификат не дорог, и если вы находитесь в домене, вы можете создать свой собственный центр сертификации, который может быть использован для назначения сертификатов для шифрования трафика, который будет автоматически доверенным для клиентов в том же домене.

Question 4

Любой, у кого есть доступ к маршрутизатору, коммутатору или другому сетевому оборудованию на пути между вашим компьютером и веб-сервером, может следить за вашим трафиком. Они также видят ваш https-трафик, просто не могут его понять.

Answer

Любой, у кого есть доступ к маршрутизатору, коммутатору или другому сетевому оборудованию на пути между вашим компьютером и веб-сервером, может следить за вашим трафиком. Они также видят ваш https-трафик, просто не могут его понять.

Кто может прослушивать HTTP-трафик пользователя?

решение1

решение2

решение3

решение4

Связанный контент