Портали захоплення
Коли ви приєднуєтеся до загальнодоступної мережі Wi-Fi, ви інколи помічаєте, що вам потрібно прийняти "Умови використання" або вказати пароль чи оплату для користування мережею. Ваш веб-переглядач відкриває або переходить на сторінку, яка відображає юридичні умови мережі або веб-форму входу, ви заповнюєте її, і ви в дорозі. В ідеалі.
Як це все працює?
У Вікіпедії є гарна стаття про адаптивні портали, але давайте поговоримо про механізми нижчого рівня.
Виявлення порталу операційних системКоли встановлюється нове мережеве підключення, Windows у фоновому режимі надсилає HTTP-запит на адресу www.msftconnecttest.com/connecttest.txt. Якщо результатом є HTTP/200, але тіло відповіді не відповідає рядку, який, як відомо, сервер завжди надсилає у відповідь («Тест Microsoft Connect»), операційна система запустить веб-браузер за «Небезпечною URL-адресою HTTP www». msftconnecttest.com/redirect. Очікується, що якщо користувач перебуває за приєднаним порталом, маршрутизатор WiFi перехопить ці HTTP-запити та відповість переспрямуванням на сторінку, яка дозволить користувачеві підключитися до мережі. Після того, як користувач завершить ритуал, маршрутизатор WiFi зберігає MAC-адресу мережевої карти пристрою, щоб уникнути повторення танцю з кожним наступним підключенням.
Ця функція опитування є частиною функції індикатора стану підключення до мережі Windows, яка також гарантує, що піктограма WiFi на панелі завдань вказує, чи поточне підключення ще не має доступу до Інтернету загалом. Окрім поведінки активного опитування, NCSI також має поведінку пасивного опитування, яка відстежує поведінку інших мережевих API для виявлення стану мережі.< /p>
Інші програми Windows можуть визначати статус приєднаного порталу за допомогою API диспетчера списків мереж, який повідомляє NLM_INTERNET_CONNECTIVITY_WEBHIJACK, коли Windows помічає, що активний зонд був захоплений мережею. Підприємства можуть змінити поведінку функції NCSI за допомогою розділів реєстру або групової політики.
На комп’ютерах MacOS операційна система пропонує дуже подібний активний тест: незахищений тест до http://captive.apple.com завжди має відповідати («Успіх»).
Виявлення Edge PortalChromium містить власну логіку виявлення порталу приєднання, де очікується, що URL-адреса зонду повертатиме відповідь HTTP/204 No Content.
Edge визначає URL-адресу зонду http://edge-http.microsoft.com/captiveportal/generate_204
Chrome використовує URL-адресу зонда http://www.gstatic.com/generate_204.
Уникайте HTTPSДеякі адаптивні портали здійснюють перехоплення, повертаючи підроблену адресу сервера, коли клієнт намагається виконати пошук DNS. Однак викрадення DNS неможливо, якщо використовується DNS-over-HTTPS (DoH). Щоб пом’якшити це, детектор обходить DoH під час визначення імені хоста URL-адреси зонду.
Також зауважте, що всі URL-адреси перевірки містять http:// insecure. Якщо URL-адреса зонду починалася з https://, маршрутизатор WiFi не зможе її зламати. HTTPS спеціально розроблений, щоб запобігти монстру посередині (MiTM), як-от маршрутизатор WiFi, змінювати трафік, використовуючи криптографію та цифрові підписи для захисту трафіку від модифікації. Якщо хакер намагається перенаправити запит в інше місце, браузер відобразить сторінку помилки сертифіката, яка вказує на те, що сертифікат маршрутизатора не є надійним або що сертифікат, який маршрутизатор використовує для шифрування своєї відповіді, не має URL-адреси, яка відповідає очікуваному веб-сайту. (наприклад, edge-http.microsoft.com).
Це означає, серед іншого, що нові функції веб-переглядача, які оновлюють...
Коли ви приєднуєтеся до загальнодоступної мережі Wi-Fi, ви інколи помічаєте, що вам потрібно прийняти "Умови використання" або вказати пароль чи оплату для користування мережею. Ваш веб-переглядач відкриває або переходить на сторінку, яка відображає юридичні умови мережі або веб-форму входу, ви заповнюєте її, і ви в дорозі. В ідеалі.
Як це все працює?
У Вікіпедії є гарна стаття про адаптивні портали, але давайте поговоримо про механізми нижчого рівня.
Виявлення порталу операційних системКоли встановлюється нове мережеве підключення, Windows у фоновому режимі надсилає HTTP-запит на адресу www.msftconnecttest.com/connecttest.txt. Якщо результатом є HTTP/200, але тіло відповіді не відповідає рядку, який, як відомо, сервер завжди надсилає у відповідь («Тест Microsoft Connect»), операційна система запустить веб-браузер за «Небезпечною URL-адресою HTTP www». msftconnecttest.com/redirect. Очікується, що якщо користувач перебуває за приєднаним порталом, маршрутизатор WiFi перехопить ці HTTP-запити та відповість переспрямуванням на сторінку, яка дозволить користувачеві підключитися до мережі. Після того, як користувач завершить ритуал, маршрутизатор WiFi зберігає MAC-адресу мережевої карти пристрою, щоб уникнути повторення танцю з кожним наступним підключенням.
Ця функція опитування є частиною функції індикатора стану підключення до мережі Windows, яка також гарантує, що піктограма WiFi на панелі завдань вказує, чи поточне підключення ще не має доступу до Інтернету загалом. Окрім поведінки активного опитування, NCSI також має поведінку пасивного опитування, яка відстежує поведінку інших мережевих API для виявлення стану мережі.< /p>
Інші програми Windows можуть визначати статус приєднаного порталу за допомогою API диспетчера списків мереж, який повідомляє NLM_INTERNET_CONNECTIVITY_WEBHIJACK, коли Windows помічає, що активний зонд був захоплений мережею. Підприємства можуть змінити поведінку функції NCSI за допомогою розділів реєстру або групової політики.
На комп’ютерах MacOS операційна система пропонує дуже подібний активний тест: незахищений тест до http://captive.apple.com завжди має відповідати («Успіх»).
Виявлення Edge PortalChromium містить власну логіку виявлення порталу приєднання, де очікується, що URL-адреса зонду повертатиме відповідь HTTP/204 No Content.
Edge визначає URL-адресу зонду http://edge-http.microsoft.com/captiveportal/generate_204
Chrome використовує URL-адресу зонда http://www.gstatic.com/generate_204.
Уникайте HTTPSДеякі адаптивні портали здійснюють перехоплення, повертаючи підроблену адресу сервера, коли клієнт намагається виконати пошук DNS. Однак викрадення DNS неможливо, якщо використовується DNS-over-HTTPS (DoH). Щоб пом’якшити це, детектор обходить DoH під час визначення імені хоста URL-адреси зонду.
Також зауважте, що всі URL-адреси перевірки містять http:// insecure. Якщо URL-адреса зонду починалася з https://, маршрутизатор WiFi не зможе її зламати. HTTPS спеціально розроблений, щоб запобігти монстру посередині (MiTM), як-от маршрутизатор WiFi, змінювати трафік, використовуючи криптографію та цифрові підписи для захисту трафіку від модифікації. Якщо хакер намагається перенаправити запит в інше місце, браузер відобразить сторінку помилки сертифіката, яка вказує на те, що сертифікат маршрутизатора не є надійним або що сертифікат, який маршрутизатор використовує для шифрування своєї відповіді, не має URL-адреси, яка відповідає очікуваному веб-сайту. (наприклад, edge-http.microsoft.com).
Це означає, серед іншого, що нові функції веб-переглядача, які оновлюють...
What's Your Reaction?
