Доброго времени суток. Статья не станет откровением для тех, кто работает / работал сетевиком, но будет полезна и интересна людям, не связанных с этой сферой.

Целью статьи будет получить максимальное количество информации о деятельности людей в личной сети.

Статья написана исключительно с целью обезопасить людей, не разбирающихся в этом вопросе. Перехват чужих данных может быть незаконным.

Для начала действий нам понадобится:

  • Компьютер (вероятно, ноутбук) с сетевой картой и установленным Debian (подойдет любой другой дистрибутив Linux, либо вовсе другое семейство ОС, но тогда инструкции в статье могут не совпадать).

  • Wireshark.

  • Nmcli.

  • Источник, обеспечивающий компьютеру доступ в Интернет, отличный от Wi-Fi (подойдет проводное соединение, либо банальный USB-модем на телефоне).

Набор ресурсов можно существенно сократить, но в этом случае, понадобится рутированный Android, а результат будет, как правило, хуже, поэтому, этот вариант мы не будем рассматривать.

Когда мы определились с набором инструментов можно приступать. Тут стоит объяснить, что именно мы будет делать. Необходимо будет превратить компьютер в точку доступа, чтобы трафик от устройств шел сначала к компьютеру, а уже потом дальше по цепи. Это позволит перехватывать пакеты и получать из них информацию. Теоретически, реализовать эту схему можно прямо на роутере, но тогда придется столкнуться, в ряде случаев, с огромным количеством проблем, связанных с прошивкой роутера, поэтому, легче заставить весь трафик идти через личный компьютер.

Для начала, отключаем компьютер от Wi-Fi сети.

Далее нужно получить имя сетевого интерфейса. В Debian получить это имя можно следующей командой:

ifconfig

Если /usr/sbin не добавлен в переменную PATH, то необходимо выполнить следующую команду вместо первой:

/usr/sbin/ifconfig

Команда вернет много текста, среди этих строк нужно найти имя сетевого интерфейса. В моем ноутбуке сетевой интерфейс называется так: wlp2s0. В других компьютерах имя этого интерфейса может отличаться, но все равно будет похоже на имя, указанное выше.

Далее необходимо создать саму сеть. У нас есть достаточное количество данных для этого процесса. Выполняем, предварительно заменив wlp2s0 на название своего сетевого интерфейса, а wifi - на название своей сети. Обратите внимание, что название сети должно кодироваться не более, чем 32-я байтами. Если Вы используете только английские символы, то 1 символ кодируется 1 байтом и можно использовать длину сети до 32-х символов. Если Вы используете символы иного алфавита, то 1 символ кодируется 2 байтами и можно использовать длину сети до 16-и символов.

INTERFACE="wlp2s0"
NAME="wifi"
nmcli con add type wifi ifname $INTERFACE con-name $NAME autoconnect yes ssid $NAME
nmcli con modify $NAME 802-11-wireless.mode ap 802-11-wireless.band bg ipv4.method share
nmcli con up $NAME

Команды выше поднимут сеть без шифрования, если же нам потребуется создать сеть с шифрованием, то следует выполнить следующие команды, предварительно, по аналогии с первым вариантом, заменив переменные INTERFACE и NAME, а также указать в переменную PASSWORD Ваш пароль. Обратите внимание, что длина пароля должна быть от 8-и символов.

INTERFACE="wlp2s0"
NAME="wifi"
PASSWORD="12345678"
nmcli con add type wifi ifname $INTERFACE con-name $NAME autoconnect yes ssid $NAME
nmcli con modify $NAME 802-11-wireless.mode ap 802-11-wireless.band bg ipv4.method share
nmcli con modify $NAME wifi-sec.key-mgmt wpa-psk
nmcli con modify $NAME wifi-sec.psk $PASSWORD
nmcli con up $NAME

Тут следует обратить внимание на опасную вещь, которая грозит почти каждому телефону и ноутбуку. Современные устройства по-умолчанию не подключаются к любым открытым сетям, они подключаются только лишь к знакомым сетям. Но этот механизм можно обмануть. Если знать к каким сетям подключалось устройство (а очень много устройств подключались к сетям в метро, кафе, аэропортах и т.д.), то можно создать сеть со знакомым для телефона названием и знакомым паролем (если пароля нет, то без пароля) и телефон сразу подключится к сети (при условии, что Wi-Fi включен и нет подключения к другой сети).

Созданная нами сеть будет работать и бить настолько далеко, насколько позволяет сетевая карта нашего компьютера. Чем сильнее сетевая карта, тем, соотвественно, дальше сигнал бьет. Но вот только есть одна проблема. Ни у компьютера на котором запущена сеть, ни у устройств, подключенных к компьютеру не будет доступа в Интернет. Чтобы решить эту проблему нужно подключить к компьютеру провод или USB-модем (его поддерживают почти все современные смартфоны). После подключения доступ в Интернет появится.

Поздравляем! Мы создали рабочую сеть! В любой момент ее можно отключить и удалить этой командой, заменив wifi на имя Вашей сети.

nmcli connection delete id "wifi"

Теперь, допустим, что кто-то подключился к этой сети. Запустим Wireshark, указав наш сетевой интерфейс. Далее надо сделать небольшую настройку. Переходим в "Редактирование" - "Параметры" - "Name Resolution". Далее надо поставить галочки на: "Resolve MAC addresses", "Resolve transport names", "Resolve network (IP) addresses" и "Use an external network name resolver".

Теперь наш компьютер захватывает все пакеты. Параллельно этому процессу будем настраивать фильтры.

В поле фильтра введем tcp. Если кто-то подключен к нашей сети, то пойдет много пакетов. И отправитель и получатель будет представлен в виде IP адреса, но IP сайтов Wireshark будет превращать в читабельные имена (например, google.com), а IP тех, кто подключен к сети будут, как правило, похожи на Ваш (Ваш можно узнать через тот же ifconfig). Если нас заинтересует какой-то конкретный клиент сети, то фильтр стоит изменить на tcp and ip.src == x.x.x.x, где x.x.x.x - заинтересовавший нас клиент. Таким образом, можно полностью просматривать с какими сайтами общаются клиенты сети.

Помимо этого, в Wireshark есть еще очень много функционала, но к счастью большая часть этого функционала (среди них воровство логинов и паролей, просмотр медиа и т.д.) работает только на устаревшем http, когда почти весь Интернет перешел уже на шифрованный https, где получить данные пакетов, практически, невозможно.

В качестве защиты можно использовать привычные средства вроде Tor или VPN.

Спасибо за чтение.

Комментарии (9)


  1. unsignedchar
    21.01.2022 23:48
    +3

    Тема шпионажа не раскрыта. Что полезного удалось увидеть wireshark'ом?


    1. gth-other Автор
      21.01.2022 23:54
      -1

      Как минимум информация о сайтах куда заходят пользователи, точное время и продолжительность посещения этих самых сайтов. В нужном контексте с нужными людьми разглашение этой информации может привести к не очень радостным последствиям.


      1. unsignedchar
        22.01.2022 00:21
        +1

        Ну, что делает средний пользователь в интернете? Зашёл в гуглопочту, полистал соцсети. В мессенджер что то отправил. Покупку оплатил. Какие такие особенные последствия могут грозить по результатам wireshark? Я же понимаю, это не целенаправленная охота за одним человеком. Логируется всё подряд.


        1. gth-other Автор
          22.01.2022 00:28

          Ситуации бывают разные.

          Самое банальное - работадатель может заметить, что вместо работы кое-кто листает социальные сети и выбирает что-то в Интернет-магазине (к примеру). Причем узнать можно с легкостью даже при условии, что посещение "неугодных" сайтов происходит не с офисного компьютера, а телефона.


          1. unsignedchar
            22.01.2022 00:48
            +1

            Хотите сказать, что если работодатель на работе организует honeypot, то поймет, что сотрудники вместо работу работать в фейсбуках чатятся. Неубедительный сценарий.


            1. gth-other Автор
              22.01.2022 00:57

              Почему же неубедительный? Почти на каждой работе есть Wi-Fi для сотрудников. Если трафик идет через компьютер с перехватчиком пакетов, то понять, что кто-то и самое главное кто именно шарится в феисбуке вместо работы не составит труда. А потом - пока премия и привет душевный разговор с начальником (:

              Подобные вещи могут подставить в самый неожиданный момент.


              1. unsignedchar
                22.01.2022 01:09

                В заголовке написано что-то про общественные сети. Рабочая сеть, которая на работе, это что-то другое же?

                Что принципиально плохого ждёт нас в общественных сетях? Траффик пишется - так он и так пишется в некоторых странах.


        1. gth-other Автор
          22.01.2022 00:31

          Все равно иметь ввиду, что владелец сети или человек, который просто выдергнет провод из роутера и создаст такую же сеть может смотреть на какие сайты ты заходишь - надо обязательно. В противном случае, могут возникнуть очень неудобные ситуации.


  1. PKav
    22.01.2022 00:18
    -2

    Было актуально лет 15 назад, когда интернет-провайдерам стали ставить системы СОРМ для слежки за пользователями. Сейчас эти серверы точно так же стоят на всех сетях и точно так же бесполезны.