arp statica e sniffing
Moderatore: Staff
Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Specificare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.
La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Specificare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.
La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.
-
- Iper Master
- Messaggi: 3961
- Iscritto il: ven 14 mag 2004, 0:00
arp statica e sniffing
Oggi,incuriosito da un articolo
provo a sniffare il traffico della mia rete
con ettercap.
Con grande dolore ho scoperto che in 4 mosse
si possono sniffare tutti i pacchetti..ma quello che e' peggio
1)Le sessioni ftp mostrano user e pass in chiaro
2)Quelle http idem..https invece mi e' sembrato sicuro
3)La posta idem..mostrano u e p in chiaro!
Ora dico..io ho sniffato il mio stesso ip di rete
se qualche estraneo lo avesse fatto col mio ip?
Ho letto che la soluzione estrema e' rendere la cache arp statica
con arp -s ipmacchina macaddress.
Ho provato e in effetti ora ettercap non riesce neppure
a trovare un host.
Ho un paio di domande..
1)Con questa soluzione avrò delle noie con servizi di rete?
2)La cache arp va resa statica a ogni avvio
o basta una sola volta?
Grazie a chi mi risponderà
provo a sniffare il traffico della mia rete
con ettercap.
Con grande dolore ho scoperto che in 4 mosse
si possono sniffare tutti i pacchetti..ma quello che e' peggio
1)Le sessioni ftp mostrano user e pass in chiaro
2)Quelle http idem..https invece mi e' sembrato sicuro
3)La posta idem..mostrano u e p in chiaro!
Ora dico..io ho sniffato il mio stesso ip di rete
se qualche estraneo lo avesse fatto col mio ip?
Ho letto che la soluzione estrema e' rendere la cache arp statica
con arp -s ipmacchina macaddress.
Ho provato e in effetti ora ettercap non riesce neppure
a trovare un host.
Ho un paio di domande..
1)Con questa soluzione avrò delle noie con servizi di rete?
2)La cache arp va resa statica a ogni avvio
o basta una sola volta?
Grazie a chi mi risponderà
-
- Iper Master
- Messaggi: 3961
- Iscritto il: ven 14 mag 2004, 0:00
Avvia ettercapDani ha scritto:Scusa, come si fanno a sniffare le password che escono dal proprio sistema ?
avvia unified sniffing e scegli l'interfaccia di rete
fai uno scan della tua rete
avvia target aggiungi il tuo ip
avvia "start sniffing"
avvia mitm arp poisoning(spunta entrambe le opzioni)
Adesso osserva il menù in basso
quando apri il client e leggi la posta
oppure quando ti colleghi a un sito come questo
Ciao
E beh in locale funziona molto bene. Testato sul mio client di posta visualizza indirizzo email e relativa psw in chiaro. Adesso faccio un po' di prove con delle modifiche. Direi che in una LAN è un disastro ma non sono certo che si possa fare all'esterno. Le noie iniziano se in una rete locale usi come target l'indirizzo del router.... Ma per farlo andare occorre per forza avviarlo da root? A me da utente normale mi da noie...
- targzeta
- Iper Master
- Messaggi: 6629
- Iscritto il: gio 3 nov 2005, 14:05
- Nome Cognome: Emanuele Tomasi
- Slackware: 64-current
- Kernel: latest stable
- Desktop: IceWM
- Località: Carpignano Sal. (LE) <-> Pisa
Re: arp statica e sniffing
Meskalamdug ha scritto:...
Con grande dolore ho scoperto che in 4 mosse
si possono sniffare tutti i pacchetti..
Tutto il traffico si può sniffare. In una rete locale l'unica è di avere uno switch che indirizza i pacchetti solo ed esclusivamente sulla macchina destinataria.
E sulle wireless....non c'è verso, se cripti i pacchetti forse.... ecco perchè https va bene. Bada che non c'è modo di non far arrivare i pacchetti ad altri, solo che se cripti i pacchetti le chiavi non viaggiano in chiaro.
Ora sai anche perchè è preferibli usare il protocollo ssh a quello ftp
Scusami, altrimenti noi poveri mortali come faremmo a scroccare la rete internet?
Spina
Ovviamente i protocolli non "S" viaggiano in chiaro.. quindi puoi vedere di tutto di +.
Nelle LAN i dati viaggiano broadcast quindi non ci vuole niente..
Per sniffare, la scheda di rete deve andare in modalità promiscua(fattibile solo da root) ecco perchè da user non becchi niente.
Sinceramente non so bene come funzioni questa modalità e su che si basa, ma posso ipotizzare che mettendo una cache ARP statica vai ad evitare che vengano inserite altre entry "false" per indirizzare i pack all'intruso..
PS: ormai anche nelle reti "switchate" il traffico viene sniffato..
Poi mi informo che sta roba mi interessa..
Nelle LAN i dati viaggiano broadcast quindi non ci vuole niente..
Per sniffare, la scheda di rete deve andare in modalità promiscua(fattibile solo da root) ecco perchè da user non becchi niente.
Sinceramente non so bene come funzioni questa modalità e su che si basa, ma posso ipotizzare che mettendo una cache ARP statica vai ad evitare che vengano inserite altre entry "false" per indirizzare i pack all'intruso..
PS: ormai anche nelle reti "switchate" il traffico viene sniffato..
Poi mi informo che sta roba mi interessa..
- targzeta
- Iper Master
- Messaggi: 6629
- Iscritto il: gio 3 nov 2005, 14:05
- Nome Cognome: Emanuele Tomasi
- Slackware: 64-current
- Kernel: latest stable
- Desktop: IceWM
- Località: Carpignano Sal. (LE) <-> Pisa
Le reti LAN ethernet "switchate" "non possono" essere sniffate. Fatto sta, che come dici tu a volte succede. Se la rete non è fatta bene lo switch, che di solito indirzza i pacchetti solo verso la macchina destinataria, si impalla._NYTRO_ ha scritto:...PS: ormai anche nelle reti "switchate" il traffico viene sniffato..
E sapete come reagisce uno switch che si impalla? Inizia a mandare tutti i pacchetti a tutti .
Spina
Come vi dicevo..
http://it.wikipedia.org/wiki/Sniffing
http://it.wikipedia.org/wiki/MAC_flooding
Tra l'altro, non tutti sanno che Ettercap(creato da due ragazzi italiani) può essere usato anche per "difesa" come un rilevatore di sniffing, quindi se ogni tanto lo fate girare anche in quella modalità non fa male..
Per chi vuole approfondire: http://ettercap.sf.net/devel/bh-us-03-o ... alleri.pdf
Ciao.
http://it.wikipedia.org/wiki/Sniffing
http://it.wikipedia.org/wiki/MAC_flooding
Tra l'altro, non tutti sanno che Ettercap(creato da due ragazzi italiani) può essere usato anche per "difesa" come un rilevatore di sniffing, quindi se ogni tanto lo fate girare anche in quella modalità non fa male..
Per chi vuole approfondire: http://ettercap.sf.net/devel/bh-us-03-o ... alleri.pdf
Ciao.
Mhm..spina ha scritto:Le reti LAN ethernet "switchate" "non possono" essere sniffate. Fatto sta, che come dici tu a volte succede. Se la rete non è fatta bene lo switch, che di solito indirzza i pacchetti solo verso la macchina destinataria, si impalla._NYTRO_ ha scritto:...PS: ormai anche nelle reti "switchate" il traffico viene sniffato..
E sapete come reagisce uno switch che si impalla? Inizia a mandare tutti i pacchetti a tutti .
Spina
Il presupposto è che le reti "switchate" non potrebbero(condizionale) essere sniffate, ma in pratica sì.
Non dipende dalla rete, dipende dallo switch!!!
Infatti alcuni switch, quelli di fascia alta, hanno delle protezioni dedicate a questo scopo.
In pratica, nello switch c'è una tabella ARP(CAM Table) che associa IP e MAC ma essendo "trasparente" impara man man che arrivano i pack..
Per sniffare, l'attaccante manda false richieste e satura la CAM con entry fasulle.
A questo punto lo switch se ne va in palla e si comporta come un comune hub, diffondendo broadcast.. e il gioco è fatto!!!
- targzeta
- Iper Master
- Messaggi: 6629
- Iscritto il: gio 3 nov 2005, 14:05
- Nome Cognome: Emanuele Tomasi
- Slackware: 64-current
- Kernel: latest stable
- Desktop: IceWM
- Località: Carpignano Sal. (LE) <-> Pisa
Forse mi sarò espresso male, ma penso che abbiamo detto la stessa cosa_NYTRO_ ha scritto:Mhm..spina ha scritto:Le reti LAN ethernet "switchate" "non possono" essere sniffate. Fatto sta, che come dici tu a volte succede. Se la rete non è fatta bene lo switch, che di solito indirzza i pacchetti solo verso la macchina destinataria, si impalla._NYTRO_ ha scritto:...PS: ormai anche nelle reti "switchate" il traffico viene sniffato..
E sapete come reagisce uno switch che si impalla? Inizia a mandare tutti i pacchetti a tutti .
Spina
Il presupposto è che le reti "switchate" non potrebbero(condizionale) essere sniffate, ma in pratica sì.
Non dipende dalla rete, dipende dallo switch!!!
Infatti alcuni switch, quelli di fascia alta, hanno delle protezioni dedicate a questo scopo.
In pratica, nello switch c'è una tabella ARP(CAM Table) che associa IP e MAC ma essendo "trasparente" impara man man che arrivano i pack..
Per sniffare, l'attaccante manda false richieste e satura la CAM con entry fasulle.
A questo punto lo switch se ne va in palla e si comporta come un comune hub, diffondendo broadcast.. e il gioco è fatto!!!
Spina
Sì, il succo è quello ma da come avevi scritto tu, sembrava che fosse una questione di topologia di rete, invece dipende proprio dallo switch..spina ha scritto:Forse mi sarò espresso male, ma penso che abbiamo detto la stessa cosa
Spina
I modelli con le protezioni sono abbastanza costosi(Cisco, 3Com e simili) e di solito non vengono utilizzati dall'utente comune. Quindi molte reti, pur se switchate, sono sniffabili..
Purtroppo sono in una LAN controllata e non mia, perciò molti esperimenti non posso farli, ma alcuni sarebbero molto istruttivi..
raga un po di precisazioni
1) la cam table non associa ip ed mac-address ma mac-address sorgente e porta su cui lo switch ha ricevuto il pacchetto (ad esempio la fastethernet 0/0 , 0/1 ) .
2) gli switch cisco anche se è vero che hanno delle protezioni, se queste non sono impostate su tutte le porte(e molto raramente lo sono) risultano comunque vulnerabili a diversi tipi di attacchi tra cui la modifica della CAM table.(provate con ANT a mandare dei pacchetti ethernet opportunamente configurati verso uno switch cisco e poi andate a vedere come è cambiata la tabella ).
3) la saturazione della cam table normalmente riesce solo sugli switch di fascia bassa, inoltre bisogna tenere conto se sullo switch sono impostate delle vlan .....
ps.
ettercap è fatto a posta per funzionare su reti switchate.......
1) la cam table non associa ip ed mac-address ma mac-address sorgente e porta su cui lo switch ha ricevuto il pacchetto (ad esempio la fastethernet 0/0 , 0/1 ) .
2) gli switch cisco anche se è vero che hanno delle protezioni, se queste non sono impostate su tutte le porte(e molto raramente lo sono) risultano comunque vulnerabili a diversi tipi di attacchi tra cui la modifica della CAM table.(provate con ANT a mandare dei pacchetti ethernet opportunamente configurati verso uno switch cisco e poi andate a vedere come è cambiata la tabella ).
3) la saturazione della cam table normalmente riesce solo sugli switch di fascia bassa, inoltre bisogna tenere conto se sullo switch sono impostate delle vlan .....
ps.
ettercap è fatto a posta per funzionare su reti switchate.......
Grazie.kobaiachi ha scritto:raga un po di precisazioni
1) la cam table non associa ip ed mac-address ma mac-address sorgente e porta su cui lo switch ha ricevuto il pacchetto (ad esempio la fastethernet 0/0 , 0/1 ) .
I CIsco devono preoccuparsi pure dei "frequenti" buffer overflow..kobaiachi ha scritto:2) gli switch cisco anche se è vero che hanno delle protezioni, se queste non sono impostate su tutte le porte(e molto raramente lo sono) risultano comunque vulnerabili a diversi tipi di attacchi tra cui la modifica della CAM table.(provate con ANT a mandare dei pacchetti ethernet opportunamente configurati verso uno switch cisco e poi andate a vedere come è cambiata la tabella ).
'scolta, kobaiachi , sapresti dirmi come funziona a "basso livello" una scheda settata in promiscuous? Cioè, so cosa fa(piglia tutto) e a che serve(testing/sniffing), ma non ho capito(e non trovo info) sul COME ?!
A giro, si mette tutti i MAC degli altri?! Oppure di per se non fa niente, se non imbrattare le ARP table?! bho..
Non ho trovato nessuna info a riguardo e nessuno che mi sappia rispondere..
Grazie.
- masalapianta
- Iper Master
- Messaggi: 2775
- Iscritto il: lun 25 lug 2005, 0:00
- Nome Cognome: famoso porco
- Kernel: uname -r
- Desktop: awesome
- Distribuzione: Debian
- Località: Roma
- Contatta:
questo non e' vero, puo' dipendere dallo switch nel caso si stia avvelenando la sua tabella cam (mac flooding), se invece si stanno avvelenando le arp cache di alcuni host (arp poisoning) lo switch non c'entra nulla_NYTRO_ ha scritto: Non dipende dalla rete, dipende dallo switch!!!
anche questo non e' vero, la tabella cam contiene le associazioni tra mac address e porta dello switch (l'ip non c'entra nulla); infatti uno degli attacchi per far mitm o sniffing su lan switchata consiste proprio nell'avvelenare la tabella cam dello switch con pacchetti forgiati con mac address sorgente spoofato; questo (se si riesce a generare sufficiente traffico da vincere la contesa con l'host che ha il mac che stiamo spoofando) permette di far si che lo switch inoltri sulla porta cui e' connesso l'attaccante tutti i pacchetti destinati a quel mac address; in questo modo possiamo sniffare; se poi vogliamo fare mitm, per reinoltrare i pacchetti al legittimo host di destinazione dobbiamo far si che lo switch aggiorni la cam associando il mac alla porta cui e' connesso l'host cui appartiene quel mac (se quel host in quel momento non fa traffico la tabella cam non si aggiorna come vorremmo noi), il che si fa semplicemente con una query arp relativa a quell'host, l'host risponde, lo switch vede passare sulla sua porta traffico con quel mac address sorgente e aggiorna la sua tabella; a quel punto possiamo inoltrargli il traffico sniffato.Infatti alcuni switch, quelli di fascia alta, hanno delle protezioni dedicate a questo scopo.
In pratica, nello switch c'è una tabella ARP(CAM Table) che associa IP e MAC ma essendo "trasparente" impara man man che arrivano i pack..
Questo per quanto riguarda lo switch, se poi facciamo arp poisoning lo switch non c'entra nulla e stiamo avvelenando le arp cache (tramite apposite query arp spoofate) di uno o piu' host al fine di inserire li dentro il nostro mac address associato ad un ip non nostro, questo ci permette di far si che quegli host spediscano a noi (lo switch inoltra quei pacchetti sulla porta cui siamo connessi noi, perche' il mac address di destinazione e' il nostro) pacchetti che dovrebbero arrivare ad altri.
Se rileggi sopra, capirai che mi riferivo alla topologia di rete!masalapianta ha scritto:questo non e' vero, puo' dipendere dallo switch nel caso si stia avvelenando la sua tabella cam (mac flooding), se invece si stanno avvelenando le arp cache di alcuni host (arp poisoning) lo switch non c'entra nulla_NYTRO_ ha scritto:Non dipende dalla rete, dipende dallo switch!!!
Ovviamente puoi agire tramite le ARP table degli altri host, ma non di certo dipende da come sono posizionati.
Per questa caxxata mi sono già scusato..masalapianta ha scritto:anche questo non e' vero, la tabella cam contiene le associazioni tra mac address e porta dello switch (l'ip non c'entra nulla);_NYTRO_ ha scritto:Infatti alcuni switch, quelli di fascia alta, hanno delle protezioni dedicate a questo scopo.
In pratica, nello switch c'è una tabella ARP(CAM Table) che associa IP e MAC ma essendo "trasparente" impara man man che arrivano i pack..
Ok, ma dandoci sotto c'è anche il caso "switch impallato" che inizia a mandare broadcast..masalapianta ha scritto:infatti uno degli attacchi per far mitm o sniffing su lan switchata consiste proprio nell'avvelenare la tabella cam dello switch con pacchetti forgiati con mac address sorgente spoofato; questo (se si riesce a generare sufficiente traffico da vincere la contesa con l'host che ha il mac che stiamo spoofando) permette di far si che lo switch inoltri sulla porta cui e' connesso l'attaccante tutti i pacchetti destinati a quel mac address; in questo modo possiamo sniffare;
Sì..masalapianta ha scritto:se poi vogliamo fare mitm, per reinoltrare i pacchetti al legittimo host di destinazione dobbiamo far si che lo switch aggiorni la cam associando il mac alla porta cui e' connesso l'host cui appartiene quel mac (se quel host in quel momento non fa traffico la tabella cam non si aggiorna come vorremmo noi), il che si fa semplicemente con una query arp relativa a quell'host, l'host risponde, lo switch vede passare sulla sua porta traffico con quel mac address sorgente e aggiorna la sua tabella; a quel punto possiamo inoltrargli il traffico sniffato.
Questo per quanto riguarda lo switch, se poi facciamo arp poisoning lo switch non c'entra nulla e stiamo avvelenando le arp cache (tramite apposite query arp spoofate) di uno o piu' host al fine di inserire li dentro il nostro mac address associato ad un ip non nostro, questo ci permette di far si che quegli host spediscano a noi (lo switch inoltra quei pacchetti sulla porta cui siamo connessi noi, perche' il mac address di destinazione e' il nostro) pacchetti che dovrebbero arrivare ad altri.
Tu sai dirmi nel dettaglio in cosa consiste il "promiscuous mode" ?!