arp statica e sniffing

Postate qui per tutte le discussioni legate alla sicurezza di Linux/Slackware

Moderatore: Staff

Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Specificare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.

La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.
Meskalamdug
Iper Master
Iper Master
Messaggi: 3961
Iscritto il: ven 14 mag 2004, 0:00

arp statica e sniffing

Messaggio da Meskalamdug »

Oggi,incuriosito da un articolo
provo a sniffare il traffico della mia rete
con ettercap.
Con grande dolore ho scoperto che in 4 mosse
si possono sniffare tutti i pacchetti..ma quello che e' peggio
1)Le sessioni ftp mostrano user e pass in chiaro
2)Quelle http idem..https invece mi e' sembrato sicuro
3)La posta idem..mostrano u e p in chiaro!
Ora dico..io ho sniffato il mio stesso ip di rete
se qualche estraneo lo avesse fatto col mio ip?
Ho letto che la soluzione estrema e' rendere la cache arp statica
con arp -s ipmacchina macaddress.
Ho provato e in effetti ora ettercap non riesce neppure
a trovare un host.

Ho un paio di domande..
1)Con questa soluzione avrò delle noie con servizi di rete?
2)La cache arp va resa statica a ogni avvio
o basta una sola volta?
Grazie a chi mi risponderà

Dani
Linux 4.x
Linux 4.x
Messaggi: 1447
Iscritto il: mer 26 apr 2006, 1:52
Desktop: gnome
Distribuzione: arch

Messaggio da Dani »

Scusa, come si fanno a sniffare le password che escono dal proprio sistema ?

Meskalamdug
Iper Master
Iper Master
Messaggi: 3961
Iscritto il: ven 14 mag 2004, 0:00

Messaggio da Meskalamdug »

Dani ha scritto:Scusa, come si fanno a sniffare le password che escono dal proprio sistema ?
Avvia ettercap
avvia unified sniffing e scegli l'interfaccia di rete
fai uno scan della tua rete
avvia target aggiungi il tuo ip
avvia "start sniffing"
avvia mitm arp poisoning(spunta entrambe le opzioni)
Adesso osserva il menù in basso
quando apri il client e leggi la posta
oppure quando ti colleghi a un sito come questo
Ciao

Bart
Staff
Staff
Messaggi: 4249
Iscritto il: lun 9 ago 2004, 0:00
Località: Rimini

Messaggio da Bart »

E beh in locale funziona molto bene. Testato sul mio client di posta visualizza indirizzo email e relativa psw in chiaro. :? Adesso faccio un po' di prove con delle modifiche. Direi che in una LAN è un disastro ma non sono certo che si possa fare all'esterno. Le noie iniziano se in una rete locale usi come target l'indirizzo del router.... Ma per farlo andare occorre per forza avviarlo da root? A me da utente normale mi da noie...

Avatar utente
targzeta
Iper Master
Iper Master
Messaggi: 6629
Iscritto il: gio 3 nov 2005, 14:05
Nome Cognome: Emanuele Tomasi
Slackware: 64-current
Kernel: latest stable
Desktop: IceWM
Località: Carpignano Sal. (LE) <-> Pisa

Re: arp statica e sniffing

Messaggio da targzeta »

Meskalamdug ha scritto:...
Con grande dolore ho scoperto che in 4 mosse
si possono sniffare tutti i pacchetti..
:D :D :D
Tutto il traffico si può sniffare. In una rete locale l'unica è di avere uno switch che indirizza i pacchetti solo ed esclusivamente sulla macchina destinataria.
E sulle wireless....non c'è verso, se cripti i pacchetti forse.... ecco perchè https va bene. Bada che non c'è modo di non far arrivare i pacchetti ad altri, solo che se cripti i pacchetti le chiavi non viaggiano in chiaro.

Ora sai anche perchè è preferibli usare il protocollo ssh a quello ftp :)

Scusami, altrimenti noi poveri mortali come faremmo a scroccare la rete internet?

Spina

_NYTRO_
Linux 2.x
Linux 2.x
Messaggi: 419
Iscritto il: sab 8 mag 2004, 0:00

Messaggio da _NYTRO_ »

Ovviamente i protocolli non "S" viaggiano in chiaro.. quindi puoi vedere di tutto di +.
Nelle LAN i dati viaggiano broadcast quindi non ci vuole niente..
Per sniffare, la scheda di rete deve andare in modalità promiscua(fattibile solo da root) ecco perchè da user non becchi niente.
Sinceramente non so bene come funzioni questa modalità e su che si basa, ma posso ipotizzare che mettendo una cache ARP statica vai ad evitare che vengano inserite altre entry "false" per indirizzare i pack all'intruso..
PS: ormai anche nelle reti "switchate" il traffico viene sniffato.. ;)
Poi mi informo che sta roba mi interessa..

Avatar utente
targzeta
Iper Master
Iper Master
Messaggi: 6629
Iscritto il: gio 3 nov 2005, 14:05
Nome Cognome: Emanuele Tomasi
Slackware: 64-current
Kernel: latest stable
Desktop: IceWM
Località: Carpignano Sal. (LE) <-> Pisa

Messaggio da targzeta »

_NYTRO_ ha scritto:...PS: ormai anche nelle reti "switchate" il traffico viene sniffato.. ;)
Le reti LAN ethernet "switchate" "non possono" essere sniffate. Fatto sta, che come dici tu a volte succede. Se la rete non è fatta bene lo switch, che di solito indirzza i pacchetti solo verso la macchina destinataria, si impalla.
E sapete come reagisce uno switch che si impalla? Inizia a mandare tutti i pacchetti a tutti :).

Spina

_NYTRO_
Linux 2.x
Linux 2.x
Messaggi: 419
Iscritto il: sab 8 mag 2004, 0:00

Messaggio da _NYTRO_ »

Come vi dicevo..
http://it.wikipedia.org/wiki/Sniffing
http://it.wikipedia.org/wiki/MAC_flooding
Tra l'altro, non tutti sanno che Ettercap(creato da due ragazzi italiani) può essere usato anche per "difesa" come un rilevatore di sniffing, quindi se ogni tanto lo fate girare anche in quella modalità non fa male.. :p

Per chi vuole approfondire: http://ettercap.sf.net/devel/bh-us-03-o ... alleri.pdf

Ciao.

_NYTRO_
Linux 2.x
Linux 2.x
Messaggi: 419
Iscritto il: sab 8 mag 2004, 0:00

Messaggio da _NYTRO_ »

spina ha scritto:
_NYTRO_ ha scritto:...PS: ormai anche nelle reti "switchate" il traffico viene sniffato.. ;)
Le reti LAN ethernet "switchate" "non possono" essere sniffate. Fatto sta, che come dici tu a volte succede. Se la rete non è fatta bene lo switch, che di solito indirzza i pacchetti solo verso la macchina destinataria, si impalla.
E sapete come reagisce uno switch che si impalla? Inizia a mandare tutti i pacchetti a tutti :).
Spina
Mhm.. :roll:
Il presupposto è che le reti "switchate" non potrebbero(condizionale) essere sniffate, ma in pratica sì.
Non dipende dalla rete, dipende dallo switch!!!
Infatti alcuni switch, quelli di fascia alta, hanno delle protezioni dedicate a questo scopo.
In pratica, nello switch c'è una tabella ARP(CAM Table) che associa IP e MAC ma essendo "trasparente" impara man man che arrivano i pack..
Per sniffare, l'attaccante manda false richieste e satura la CAM con entry fasulle.
A questo punto lo switch se ne va in palla e si comporta come un comune hub, diffondendo broadcast.. e il gioco è fatto!!! :badgrin:

Avatar utente
targzeta
Iper Master
Iper Master
Messaggi: 6629
Iscritto il: gio 3 nov 2005, 14:05
Nome Cognome: Emanuele Tomasi
Slackware: 64-current
Kernel: latest stable
Desktop: IceWM
Località: Carpignano Sal. (LE) <-> Pisa

Messaggio da targzeta »

_NYTRO_ ha scritto:
spina ha scritto:
_NYTRO_ ha scritto:...PS: ormai anche nelle reti "switchate" il traffico viene sniffato.. ;)
Le reti LAN ethernet "switchate" "non possono" essere sniffate. Fatto sta, che come dici tu a volte succede. Se la rete non è fatta bene lo switch, che di solito indirzza i pacchetti solo verso la macchina destinataria, si impalla.
E sapete come reagisce uno switch che si impalla? Inizia a mandare tutti i pacchetti a tutti :).
Spina
Mhm.. :roll:
Il presupposto è che le reti "switchate" non potrebbero(condizionale) essere sniffate, ma in pratica sì.
Non dipende dalla rete, dipende dallo switch!!!
Infatti alcuni switch, quelli di fascia alta, hanno delle protezioni dedicate a questo scopo.
In pratica, nello switch c'è una tabella ARP(CAM Table) che associa IP e MAC ma essendo "trasparente" impara man man che arrivano i pack..
Per sniffare, l'attaccante manda false richieste e satura la CAM con entry fasulle.
A questo punto lo switch se ne va in palla e si comporta come un comune hub, diffondendo broadcast.. e il gioco è fatto!!! :badgrin:
Forse mi sarò espresso male, ma penso che abbiamo detto la stessa cosa
:)

Spina

_NYTRO_
Linux 2.x
Linux 2.x
Messaggi: 419
Iscritto il: sab 8 mag 2004, 0:00

Messaggio da _NYTRO_ »

spina ha scritto:Forse mi sarò espresso male, ma penso che abbiamo detto la stessa cosa
:)

Spina
Sì, il succo è quello ma da come avevi scritto tu, sembrava che fosse una questione di topologia di rete, invece dipende proprio dallo switch..
I modelli con le protezioni sono abbastanza costosi(Cisco, 3Com e simili) e di solito non vengono utilizzati dall'utente comune. Quindi molte reti, pur se switchate, sono sniffabili..
Purtroppo sono in una LAN controllata e non mia, perciò molti esperimenti non posso farli, ma alcuni sarebbero molto istruttivi.. ;)

kobaiachi
Linux 4.x
Linux 4.x
Messaggi: 1368
Iscritto il: gio 14 lug 2005, 0:00
Località: roma
Contatta:

Messaggio da kobaiachi »

raga un po di precisazioni

1) la cam table non associa ip ed mac-address ma mac-address sorgente e porta su cui lo switch ha ricevuto il pacchetto (ad esempio la fastethernet 0/0 , 0/1 ) .

2) gli switch cisco anche se è vero che hanno delle protezioni, se queste non sono impostate su tutte le porte(e molto raramente lo sono) risultano comunque vulnerabili a diversi tipi di attacchi tra cui la modifica della CAM table.(provate con ANT a mandare dei pacchetti ethernet opportunamente configurati verso uno switch cisco e poi andate a vedere come è cambiata la tabella ).

3) la saturazione della cam table normalmente riesce solo sugli switch di fascia bassa, inoltre bisogna tenere conto se sullo switch sono impostate delle vlan .....

ps.

ettercap è fatto a posta per funzionare su reti switchate.......

_NYTRO_
Linux 2.x
Linux 2.x
Messaggi: 419
Iscritto il: sab 8 mag 2004, 0:00

Messaggio da _NYTRO_ »

kobaiachi ha scritto:raga un po di precisazioni
1) la cam table non associa ip ed mac-address ma mac-address sorgente e porta su cui lo switch ha ricevuto il pacchetto (ad esempio la fastethernet 0/0 , 0/1 ) .
Grazie. ;)
kobaiachi ha scritto:2) gli switch cisco anche se è vero che hanno delle protezioni, se queste non sono impostate su tutte le porte(e molto raramente lo sono) risultano comunque vulnerabili a diversi tipi di attacchi tra cui la modifica della CAM table.(provate con ANT a mandare dei pacchetti ethernet opportunamente configurati verso uno switch cisco e poi andate a vedere come è cambiata la tabella ).
I CIsco devono preoccuparsi pure dei "frequenti" buffer overflow.. :badgrin:

'scolta, kobaiachi , sapresti dirmi come funziona a "basso livello" una scheda settata in promiscuous? Cioè, so cosa fa(piglia tutto) e a che serve(testing/sniffing), ma non ho capito(e non trovo info) sul COME ?!
A giro, si mette tutti i MAC degli altri?! Oppure di per se non fa niente, se non imbrattare le ARP table?! bho..
Non ho trovato nessuna info a riguardo e nessuno che mi sappia rispondere..
Grazie.

Avatar utente
masalapianta
Iper Master
Iper Master
Messaggi: 2775
Iscritto il: lun 25 lug 2005, 0:00
Nome Cognome: famoso porco
Kernel: uname -r
Desktop: awesome
Distribuzione: Debian
Località: Roma
Contatta:

Messaggio da masalapianta »

_NYTRO_ ha scritto: Non dipende dalla rete, dipende dallo switch!!!
questo non e' vero, puo' dipendere dallo switch nel caso si stia avvelenando la sua tabella cam (mac flooding), se invece si stanno avvelenando le arp cache di alcuni host (arp poisoning) lo switch non c'entra nulla
Infatti alcuni switch, quelli di fascia alta, hanno delle protezioni dedicate a questo scopo.
In pratica, nello switch c'è una tabella ARP(CAM Table) che associa IP e MAC ma essendo "trasparente" impara man man che arrivano i pack..
anche questo non e' vero, la tabella cam contiene le associazioni tra mac address e porta dello switch (l'ip non c'entra nulla); infatti uno degli attacchi per far mitm o sniffing su lan switchata consiste proprio nell'avvelenare la tabella cam dello switch con pacchetti forgiati con mac address sorgente spoofato; questo (se si riesce a generare sufficiente traffico da vincere la contesa con l'host che ha il mac che stiamo spoofando) permette di far si che lo switch inoltri sulla porta cui e' connesso l'attaccante tutti i pacchetti destinati a quel mac address; in questo modo possiamo sniffare; se poi vogliamo fare mitm, per reinoltrare i pacchetti al legittimo host di destinazione dobbiamo far si che lo switch aggiorni la cam associando il mac alla porta cui e' connesso l'host cui appartiene quel mac (se quel host in quel momento non fa traffico la tabella cam non si aggiorna come vorremmo noi), il che si fa semplicemente con una query arp relativa a quell'host, l'host risponde, lo switch vede passare sulla sua porta traffico con quel mac address sorgente e aggiorna la sua tabella; a quel punto possiamo inoltrargli il traffico sniffato.
Questo per quanto riguarda lo switch, se poi facciamo arp poisoning lo switch non c'entra nulla e stiamo avvelenando le arp cache (tramite apposite query arp spoofate) di uno o piu' host al fine di inserire li dentro il nostro mac address associato ad un ip non nostro, questo ci permette di far si che quegli host spediscano a noi (lo switch inoltra quei pacchetti sulla porta cui siamo connessi noi, perche' il mac address di destinazione e' il nostro) pacchetti che dovrebbero arrivare ad altri.

_NYTRO_
Linux 2.x
Linux 2.x
Messaggi: 419
Iscritto il: sab 8 mag 2004, 0:00

Messaggio da _NYTRO_ »

masalapianta ha scritto:
_NYTRO_ ha scritto:Non dipende dalla rete, dipende dallo switch!!!
questo non e' vero, puo' dipendere dallo switch nel caso si stia avvelenando la sua tabella cam (mac flooding), se invece si stanno avvelenando le arp cache di alcuni host (arp poisoning) lo switch non c'entra nulla
Se rileggi sopra, capirai che mi riferivo alla topologia di rete!
Ovviamente puoi agire tramite le ARP table degli altri host, ma non di certo dipende da come sono posizionati.
masalapianta ha scritto:
_NYTRO_ ha scritto:Infatti alcuni switch, quelli di fascia alta, hanno delle protezioni dedicate a questo scopo.
In pratica, nello switch c'è una tabella ARP(CAM Table) che associa IP e MAC ma essendo "trasparente" impara man man che arrivano i pack..
anche questo non e' vero, la tabella cam contiene le associazioni tra mac address e porta dello switch (l'ip non c'entra nulla);
Per questa caxxata mi sono già scusato.. ;)
masalapianta ha scritto:infatti uno degli attacchi per far mitm o sniffing su lan switchata consiste proprio nell'avvelenare la tabella cam dello switch con pacchetti forgiati con mac address sorgente spoofato; questo (se si riesce a generare sufficiente traffico da vincere la contesa con l'host che ha il mac che stiamo spoofando) permette di far si che lo switch inoltri sulla porta cui e' connesso l'attaccante tutti i pacchetti destinati a quel mac address; in questo modo possiamo sniffare;
Ok, ma dandoci sotto c'è anche il caso "switch impallato" che inizia a mandare broadcast..
masalapianta ha scritto:se poi vogliamo fare mitm, per reinoltrare i pacchetti al legittimo host di destinazione dobbiamo far si che lo switch aggiorni la cam associando il mac alla porta cui e' connesso l'host cui appartiene quel mac (se quel host in quel momento non fa traffico la tabella cam non si aggiorna come vorremmo noi), il che si fa semplicemente con una query arp relativa a quell'host, l'host risponde, lo switch vede passare sulla sua porta traffico con quel mac address sorgente e aggiorna la sua tabella; a quel punto possiamo inoltrargli il traffico sniffato.
Questo per quanto riguarda lo switch, se poi facciamo arp poisoning lo switch non c'entra nulla e stiamo avvelenando le arp cache (tramite apposite query arp spoofate) di uno o piu' host al fine di inserire li dentro il nostro mac address associato ad un ip non nostro, questo ci permette di far si che quegli host spediscano a noi (lo switch inoltra quei pacchetti sulla porta cui siamo connessi noi, perche' il mac address di destinazione e' il nostro) pacchetti che dovrebbero arrivare ad altri.
Sì..
Tu sai dirmi nel dettaglio in cosa consiste il "promiscuous mode" ?! :roll:

Rispondi