Ciao a tutti! vi chiedo consiglio su un problema di rete. Nella mia rete Lan c'è un client che esonda di traffico tutta la rete, bloccando l'accesso a internet (una specie di attacco DoS). Questo client ha Windows, ma non riesco a capire COSA stia trasmettendo. Staccandogli il cavo ethernet la rete riprende a funzionare, e il router ricomincia a inoltrare per bene i pacchetti. Quello che volevo sapere è se potete spiegarmi come sniffare il traffico sulla mia rete Lan (ethernet 10/100), con quale programma, dato che i pacchetti sono inviati a tutti dovrei capire cosa trasmette (e a chi) quel client.
Ho provato TCPDump, ma controlla solo i pacchetti della macchina sul quale è installato!
Grazie mille!
Tengo a precisare che non volgio fare niente di illegale, la rete è quella mia casalinga.
Sniffing
Moderatore: Staff
Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Citare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.
La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza dell'ultima regola porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Citare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.
La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza dell'ultima regola porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.
12 messaggi
• Pagina 1 di 1
da zzt » gio mar 09, 2006 20:29
Puoi usare ethereal... ma il tuo problema credo che sia che stai sniffando da uno switch. Se è così sulla porta relativa alla macchina che sniffa a arriva solo il traffico di questa macchina e non quello di tutta la rete.
O sniffi su un hub o sniffi sul router...
O sniffi su un hub o sniffi sul router...
-
zzt - Linux 2.4
- Messaggi: 249
- Iscritto il: lun mar 07, 2005 1:00
da aLe46 » gio mar 09, 2006 20:34
Dipende da come è fatta la tua rete (segmentata o no).
Con rete non segmentata basta mettere l'interfaccia in modalità promiscua , su rete segmentata potresti usare l'ARP CACHE POISONING o impostare una porta di mirror sullo switch .
Saluti
Con rete non segmentata basta mettere l'interfaccia in modalità promiscua , su rete segmentata potresti usare l'ARP CACHE POISONING o impostare una porta di mirror sullo switch .
Saluti
-
aLe46 - Linux 2.4
- Messaggi: 257
- Iscritto il: gio feb 10, 2005 1:00
da ghigo » gio mar 09, 2006 21:25
ho una topologia un pò strana, in effetti:
router collegato ad uno switch, insieme ad altri 2 computer. Allo switch è collegato un hub. a cui sono collegati altri due computer.
L'host incriminato è uno dei computer collegati all'hub.
Questo macello è stato fatto per motivi di compatibilità elettrica fra i componenti della rete (in particolare router e hub, roba da non credere). Sono sicurissimo della involontarietà del danno prodotto (si tratta del computer di mio padre) ma credo si sia beccato qualche programma maligno che ora fa macello nella nostra rete.
Per andare a pescare le trasmissioni di questo host dovrei scavalcare lo switch, quindi? Ci sono programmi che implementano il processo? non importa se devo mettere mano al codice o se il programma non è user-friendly, basta risolva il problema!
Grazie ancora
router collegato ad uno switch, insieme ad altri 2 computer. Allo switch è collegato un hub. a cui sono collegati altri due computer.
L'host incriminato è uno dei computer collegati all'hub.
Questo macello è stato fatto per motivi di compatibilità elettrica fra i componenti della rete (in particolare router e hub, roba da non credere). Sono sicurissimo della involontarietà del danno prodotto (si tratta del computer di mio padre) ma credo si sia beccato qualche programma maligno che ora fa macello nella nostra rete.
Per andare a pescare le trasmissioni di questo host dovrei scavalcare lo switch, quindi? Ci sono programmi che implementano il processo? non importa se devo mettere mano al codice o se il programma non è user-friendly, basta risolva il problema!
Grazie ancora
-
ghigo - Linux 1.0
- Messaggi: 28
- Iscritto il: mar apr 05, 2005 0:00
- Località: Firenze
da linus.bash » ven mar 10, 2006 14:22
sid77 ha scritto:http://ettercap.sourceforge.net/
ed è pure programmato da due italiani!
quoto io usandolo nella mia azianda so tutto di tutti...
-
linus.bash - Linux 2.6
- Messaggi: 976
- Iscritto il: ven feb 10, 2006 13:58
- Località: Bologna
da ciaspola » ven mar 10, 2006 17:49
tcpdump con un portatile sull'hub dato che il pc incriminato e' attaccato all'hub come prima cosa ...
se non basta c'e' ettercap come diceva qualcun'altro qualche post + in su ma bisogna andarci un po' cauti perche' su alcuni switch managed ho avuto dei problemi (non a ettercap, allo switch ...)
comunque x esperienza personale (mi e' successo di recente) in casi simili si tratta sempre di un worm/virus o simile schifezza uindoziana ...
se non basta c'e' ettercap come diceva qualcun'altro qualche post + in su ma bisogna andarci un po' cauti perche' su alcuni switch managed ho avuto dei problemi (non a ettercap, allo switch ...)
comunque x esperienza personale (mi e' successo di recente) in casi simili si tratta sempre di un worm/virus o simile schifezza uindoziana ...
- ciaspola
- Linux 1.0
- Messaggi: 5
- Iscritto il: ven mar 10, 2006 12:46
- Località: torino
da ghigo » ven mar 10, 2006 19:06
Prima di tutto grazie a tutti delle informazioni! sono preziosissime, provo subito ettercap, se desse problemi allo switch (di che tipo ne hai avuti, di preciso?) proverò direttamente l'attacco all'hub. Ho già consigliato di pulire windows, comunque 
ho pensato anche io fosse qualche schifezza che si è installata lì sopra...
Grazie ancora, vi farò sapere al più presto!
ho pensato anche io fosse qualche schifezza che si è installata lì sopra...
Grazie ancora, vi farò sapere al più presto!
-
ghigo - Linux 1.0
- Messaggi: 28
- Iscritto il: mar apr 05, 2005 0:00
- Località: Firenze
da linus.bash » dom mar 12, 2006 22:01
ghigo ha scritto:Prima di tutto grazie a tutti delle informazioni! sono preziosissime, provo subito ettercap, se desse problemi allo switch (di che tipo ne hai avuti, di preciso?) proverò direttamente l'attacco all'hub. Ho già consigliato di pulire windows, comunque
Grazie ancora, vi farò sapere al più presto!
...attento che c'è dai 10 hai 30anni per la violazione di privacy
:mrgreen:-
linus.bash - Linux 2.6
- Messaggi: 976
- Iscritto il: ven feb 10, 2006 13:58
- Località: Bologna
da l1q1d » lun mar 13, 2006 9:43
A mio parareil problema è dovuto al fatto che mentre lo swtich redirige i pacchetti solo alla destinazione corretta, l'hub li manda a tutti causando un intasamento della rete. hai provato a collegare il pc incriminato senza l'hub?
-
l1q1d - Master
- Messaggi: 1862
- Iscritto il: lun feb 21, 2005 1:00
- Località: In uno spazio n-dimesionale
da ghigo » mer mar 15, 2006 20:17
A mio parareil problema è dovuto al fatto che mentre lo swtich redirige i pacchetti solo alla destinazione corretta, l'hub li manda a tutti causando un intasamento della rete. hai provato a collegare il pc incriminato senza l'hub?
no, non ho provato, ma sembra che mio padre sia riuscito a pulire il suo calcolatore dalle schifezze, e ora gira tranquillo. Ettercap funziona alla grande! Se si ripresenta il problema, prima cazzierò mio padre, poi proverò come dici tu! Può essere una buona idea! L'hub si ferma al livello fisico, magari togliendolo capirei qualcosa in più!
Grazie mille a tutti dell'aiuto!
-
ghigo - Linux 1.0
- Messaggi: 28
- Iscritto il: mar apr 05, 2005 0:00
- Località: Firenze
da ghigo » mer mar 15, 2006 20:17
A mio parareil problema è dovuto al fatto che mentre lo swtich redirige i pacchetti solo alla destinazione corretta, l'hub li manda a tutti causando un intasamento della rete. hai provato a collegare il pc incriminato senza l'hub?
no, non ho provato, ma sembra che mio padre sia riuscito a pulire il suo calcolatore dalle schifezze, e ora gira tranquillo. Ettercap funziona alla grande! Se si ripresenta il problema, prima cazzierò mio padre, poi proverò come dici tu! Può essere una buona idea! L'hub si ferma al livello fisico, magari togliendolo capirei qualcosa in più!
Grazie mille a tutti dell'aiuto!
-
ghigo - Linux 1.0
- Messaggi: 28
- Iscritto il: mar apr 05, 2005 0:00
- Località: Firenze
12 messaggi
• Pagina 1 di 1
Chi c’è in linea
Visitano il forum: Nessuno e 2 ospiti