Repository 32bit  Forum
Repository 64bit  Wiki

Sniffing

Postate qui per tutte le discussioni legate alla sicurezza di Linux/Slackware

Moderatore: Staff

Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Specificare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.

La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.

Sniffing

Messaggioda ghigo » gio mar 09, 2006 19:14

Ciao a tutti! vi chiedo consiglio su un problema di rete. Nella mia rete Lan c'è un client che esonda di traffico tutta la rete, bloccando l'accesso a internet (una specie di attacco DoS). Questo client ha Windows, ma non riesco a capire COSA stia trasmettendo. Staccandogli il cavo ethernet la rete riprende a funzionare, e il router ricomincia a inoltrare per bene i pacchetti. Quello che volevo sapere è se potete spiegarmi come sniffare il traffico sulla mia rete Lan (ethernet 10/100), con quale programma, dato che i pacchetti sono inviati a tutti dovrei capire cosa trasmette (e a chi) quel client.
Ho provato TCPDump, ma controlla solo i pacchetti della macchina sul quale è installato!
Grazie mille!

Tengo a precisare che non volgio fare niente di illegale, la rete è quella mia casalinga.
Avatar utente
ghigo
Linux 1.0
Linux 1.0
 
Messaggi: 28
Iscritto il: lun apr 04, 2005 23:00
Località: Firenze

Messaggioda zzt » gio mar 09, 2006 19:29

Puoi usare ethereal... ma il tuo problema credo che sia che stai sniffando da uno switch. Se è così sulla porta relativa alla macchina che sniffa a arriva solo il traffico di questa macchina e non quello di tutta la rete.

O sniffi su un hub o sniffi sul router...
Avatar utente
zzt
Linux 2.4
Linux 2.4
 
Messaggi: 249
Iscritto il: lun mar 07, 2005 0:00

Messaggioda aLe46 » gio mar 09, 2006 19:34

Dipende da come è fatta la tua rete (segmentata o no).
Con rete non segmentata basta mettere l'interfaccia in modalità promiscua , su rete segmentata potresti usare l'ARP CACHE POISONING o impostare una porta di mirror sullo switch .


Saluti :D
Avatar utente
aLe46
Linux 2.4
Linux 2.4
 
Messaggi: 257
Iscritto il: gio feb 10, 2005 0:00

Messaggioda ghigo » gio mar 09, 2006 20:25

ho una topologia un pò strana, in effetti:

router collegato ad uno switch, insieme ad altri 2 computer. Allo switch è collegato un hub. a cui sono collegati altri due computer.

L'host incriminato è uno dei computer collegati all'hub.

Questo macello è stato fatto per motivi di compatibilità elettrica fra i componenti della rete (in particolare router e hub, roba da non credere). Sono sicurissimo della involontarietà del danno prodotto (si tratta del computer di mio padre) ma credo si sia beccato qualche programma maligno che ora fa macello nella nostra rete.
Per andare a pescare le trasmissioni di questo host dovrei scavalcare lo switch, quindi? Ci sono programmi che implementano il processo? non importa se devo mettere mano al codice o se il programma non è user-friendly, basta risolva il problema!
Grazie ancora
Avatar utente
ghigo
Linux 1.0
Linux 1.0
 
Messaggi: 28
Iscritto il: lun apr 04, 2005 23:00
Località: Firenze

Messaggioda sid77 » ven mar 10, 2006 11:27

http://ettercap.sourceforge.net/

ed è pure programmato da due italiani! :D
Avatar utente
sid77
Linux 2.6
Linux 2.6
 
Messaggi: 568
Iscritto il: mar mag 31, 2005 23:00
Località: PowerPC
Slackware: 12.0/12.1/curr (ppc)

Messaggioda linus.bash » ven mar 10, 2006 13:22

sid77 ha scritto:http://ettercap.sourceforge.net/

ed è pure programmato da due italiani! :D


quoto io usandolo nella mia azianda so tutto di tutti... :D
Avatar utente
linus.bash
Linux 2.6
Linux 2.6
 
Messaggi: 976
Iscritto il: ven feb 10, 2006 12:58
Località: Bologna

Messaggioda ciaspola » ven mar 10, 2006 16:49

tcpdump con un portatile sull'hub dato che il pc incriminato e' attaccato all'hub come prima cosa ...

se non basta c'e' ettercap come diceva qualcun'altro qualche post + in su ma bisogna andarci un po' cauti perche' su alcuni switch managed ho avuto dei problemi (non a ettercap, allo switch ...)

comunque x esperienza personale (mi e' successo di recente) in casi simili si tratta sempre di un worm/virus o simile schifezza uindoziana ...
ciaspola
Linux 1.0
Linux 1.0
 
Messaggi: 5
Iscritto il: ven mar 10, 2006 11:46
Località: torino

Messaggioda ghigo » ven mar 10, 2006 18:06

Prima di tutto grazie a tutti delle informazioni! sono preziosissime, provo subito ettercap, se desse problemi allo switch (di che tipo ne hai avuti, di preciso?) proverò direttamente l'attacco all'hub. Ho già consigliato di pulire windows, comunque :lol: ho pensato anche io fosse qualche schifezza che si è installata lì sopra...

Grazie ancora, vi farò sapere al più presto!
Avatar utente
ghigo
Linux 1.0
Linux 1.0
 
Messaggi: 28
Iscritto il: lun apr 04, 2005 23:00
Località: Firenze

Messaggioda linus.bash » dom mar 12, 2006 21:01

ghigo ha scritto:Prima di tutto grazie a tutti delle informazioni! sono preziosissime, provo subito ettercap, se desse problemi allo switch (di che tipo ne hai avuti, di preciso?) proverò direttamente l'attacco all'hub. Ho già consigliato di pulire windows, comunque :lol: ho pensato anche io fosse qualche schifezza che si è installata lì sopra...

Grazie ancora, vi farò sapere al più presto!


...attento che c'è dai 10 hai 30anni per la violazione di privacy :arrow: :mrgreen:
Avatar utente
linus.bash
Linux 2.6
Linux 2.6
 
Messaggi: 976
Iscritto il: ven feb 10, 2006 12:58
Località: Bologna

Messaggioda l1q1d » lun mar 13, 2006 8:43

A mio parareil problema è dovuto al fatto che mentre lo swtich redirige i pacchetti solo alla destinazione corretta, l'hub li manda a tutti causando un intasamento della rete. hai provato a collegare il pc incriminato senza l'hub?
Avatar utente
l1q1d
Master
Master
 
Messaggi: 1862
Iscritto il: lun feb 21, 2005 0:00
Località: In uno spazio n-dimesionale

Messaggioda ghigo » mer mar 15, 2006 19:17

A mio parareil problema è dovuto al fatto che mentre lo swtich redirige i pacchetti solo alla destinazione corretta, l'hub li manda a tutti causando un intasamento della rete. hai provato a collegare il pc incriminato senza l'hub?


no, non ho provato, ma sembra che mio padre sia riuscito a pulire il suo calcolatore dalle schifezze, e ora gira tranquillo. Ettercap funziona alla grande! Se si ripresenta il problema, prima cazzierò mio padre, poi proverò come dici tu! Può essere una buona idea! L'hub si ferma al livello fisico, magari togliendolo capirei qualcosa in più!
Grazie mille a tutti dell'aiuto!
Avatar utente
ghigo
Linux 1.0
Linux 1.0
 
Messaggi: 28
Iscritto il: lun apr 04, 2005 23:00
Località: Firenze

Messaggioda ghigo » mer mar 15, 2006 19:17

A mio parareil problema è dovuto al fatto che mentre lo swtich redirige i pacchetti solo alla destinazione corretta, l'hub li manda a tutti causando un intasamento della rete. hai provato a collegare il pc incriminato senza l'hub?


no, non ho provato, ma sembra che mio padre sia riuscito a pulire il suo calcolatore dalle schifezze, e ora gira tranquillo. Ettercap funziona alla grande! Se si ripresenta il problema, prima cazzierò mio padre, poi proverò come dici tu! Può essere una buona idea! L'hub si ferma al livello fisico, magari togliendolo capirei qualcosa in più!
Grazie mille a tutti dell'aiuto!
Avatar utente
ghigo
Linux 1.0
Linux 1.0
 
Messaggi: 28
Iscritto il: lun apr 04, 2005 23:00
Località: Firenze


Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Yahoo [Bot] e 1 ospite