arp statica e sniffing

[Meskalamdug]

Oggi,incuriosito da un articolo
provo a sniffare il traffico della mia rete
con ettercap.
Con grande dolore ho scoperto che in 4 mosse
si possono sniffare tutti i pacchetti..ma quello che e' peggio
1)Le sessioni ftp mostrano user e pass in chiaro
2)Quelle http idem..https invece mi e' sembrato sicuro
3)La posta idem..mostrano u e p in chiaro!
Ora dico..io ho sniffato il mio stesso ip di rete
se qualche estraneo lo avesse fatto col mio ip?
Ho letto che la soluzione estrema e' rendere la cache arp statica
con arp -s ipmacchina macaddress.
Ho provato e in effetti ora ettercap non riesce neppure
a trovare un host.

Ho un paio di domande..
1)Con questa soluzione avrò delle noie con servizi di rete?
2)La cache arp va resa statica a ogni avvio
o basta una sola volta?
Grazie a chi mi risponderà

[Dani]

Scusa, come si fanno a sniffare le password che escono dal proprio sistema ?

[Meskalamdug]

Scusa, come si fanno a sniffare le password che escono dal proprio sistema ?

Avvia ettercap
avvia unified sniffing e scegli l'interfaccia di rete
fai uno scan della tua rete
avvia target aggiungi il tuo ip
avvia "start sniffing"
avvia mitm arp poisoning(spunta entrambe le opzioni)
Adesso osserva il menù in basso
quando apri il client e leggi la posta
oppure quando ti colleghi a un sito come questo
Ciao

[Bart]

E beh in locale funziona molto bene. Testato sul mio client di posta visualizza indirizzo email e relativa psw in chiaro. Adesso faccio un po' di prove con delle modifiche. Direi che in una LAN è un disastro ma non sono certo che si possa fare all'esterno. Le noie iniziano se in una rete locale usi come target l'indirizzo del router.... Ma per farlo andare occorre per forza avviarlo da root? A me da utente normale mi da noie...

[targzeta]

...
Con grande dolore ho scoperto che in 4 mosse
si possono sniffare tutti i pacchetti..

Tutto il traffico si può sniffare. In una rete locale l'unica è di avere uno switch che indirizza i pacchetti solo ed esclusivamente sulla macchina destinataria.
E sulle wireless....non c'è verso, se cripti i pacchetti forse.... ecco perchè https va bene. Bada che non c'è modo di non far arrivare i pacchetti ad altri, solo che se cripti i pacchetti le chiavi non viaggiano in chiaro.

Ora sai anche perchè è preferibli usare il protocollo ssh a quello ftp

Scusami, altrimenti noi poveri mortali come faremmo a scroccare la rete internet?

Spina

[_NYTRO_]

Ovviamente i protocolli non "S" viaggiano in chiaro.. quindi puoi vedere di tutto di +.
Nelle LAN i dati viaggiano broadcast quindi non ci vuole niente..
Per sniffare, la scheda di rete deve andare in modalità promiscua(fattibile solo da root) ecco perchè da user non becchi niente.
Sinceramente non so bene come funzioni questa modalità e su che si basa, ma posso ipotizzare che mettendo una cache ARP statica vai ad evitare che vengano inserite altre entry "false" per indirizzare i pack all'intruso..
PS: ormai anche nelle reti "switchate" il traffico viene sniffato..
Poi mi informo che sta roba mi interessa..

[targzeta]

...PS: ormai anche nelle reti "switchate" il traffico viene sniffato..

Le reti LAN ethernet "switchate" "non possono" essere sniffate. Fatto sta, che come dici tu a volte succede. Se la rete non è fatta bene lo switch, che di solito indirzza i pacchetti solo verso la macchina destinataria, si impalla.
E sapete come reagisce uno switch che si impalla? Inizia a mandare tutti i pacchetti a tutti .

Spina

[_NYTRO_]

Come vi dicevo..
http://it.wikipedia.org/wiki/Sniffing
http://it.wikipedia.org/wiki/MAC_flooding
Tra l'altro, non tutti sanno che Ettercap(creato da due ragazzi italiani) può essere usato anche per "difesa" come un rilevatore di sniffing, quindi se ogni tanto lo fate girare anche in quella modalità non fa male..

Per chi vuole approfondire: http://ettercap.sf.net/devel/bh-us-03-o ... alleri.pdf

Ciao.

[_NYTRO_]

...PS: ormai anche nelle reti "switchate" il traffico viene sniffato..

Le reti LAN ethernet "switchate" "non possono" essere sniffate. Fatto sta, che come dici tu a volte succede. Se la rete non è fatta bene lo switch, che di solito indirzza i pacchetti solo verso la macchina destinataria, si impalla.
E sapete come reagisce uno switch che si impalla? Inizia a mandare tutti i pacchetti a tutti .
Spina

Mhm..
Il presupposto è che le reti "switchate" non potrebbero(condizionale) essere sniffate, ma in pratica sì.
Non dipende dalla rete, dipende dallo switch!!!
Infatti alcuni switch, quelli di fascia alta, hanno delle protezioni dedicate a questo scopo.
In pratica, nello switch c'è una tabella ARP(CAM Table) che associa IP e MAC ma essendo "trasparente" impara man man che arrivano i pack..
Per sniffare, l'attaccante manda false richieste e satura la CAM con entry fasulle.
A questo punto lo switch se ne va in palla e si comporta come un comune hub, diffondendo broadcast.. e il gioco è fatto!!!

[targzeta]

...PS: ormai anche nelle reti "switchate" il traffico viene sniffato..

Le reti LAN ethernet "switchate" "non possono" essere sniffate. Fatto sta, che come dici tu a volte succede. Se la rete non è fatta bene lo switch, che di solito indirzza i pacchetti solo verso la macchina destinataria, si impalla.
E sapete come reagisce uno switch che si impalla? Inizia a mandare tutti i pacchetti a tutti .
Spina

Mhm..
Il presupposto è che le reti "switchate" non potrebbero(condizionale) essere sniffate, ma in pratica sì.
Non dipende dalla rete, dipende dallo switch!!!
Infatti alcuni switch, quelli di fascia alta, hanno delle protezioni dedicate a questo scopo.
In pratica, nello switch c'è una tabella ARP(CAM Table) che associa IP e MAC ma essendo "trasparente" impara man man che arrivano i pack..
Per sniffare, l'attaccante manda false richieste e satura la CAM con entry fasulle.
A questo punto lo switch se ne va in palla e si comporta come un comune hub, diffondendo broadcast.. e il gioco è fatto!!!

Forse mi sarò espresso male, ma penso che abbiamo detto la stessa cosa


Spina

[_NYTRO_]

Forse mi sarò espresso male, ma penso che abbiamo detto la stessa cosa


Spina

Sì, il succo è quello ma da come avevi scritto tu, sembrava che fosse una questione di topologia di rete, invece dipende proprio dallo switch..
I modelli con le protezioni sono abbastanza costosi(Cisco, 3Com e simili) e di solito non vengono utilizzati dall'utente comune. Quindi molte reti, pur se switchate, sono sniffabili..
Purtroppo sono in una LAN controllata e non mia, perciò molti esperimenti non posso farli, ma alcuni sarebbero molto istruttivi..

[kobaiachi]

raga un po di precisazioni

1) la cam table non associa ip ed mac-address ma mac-address sorgente e porta su cui lo switch ha ricevuto il pacchetto (ad esempio la fastethernet 0/0 , 0/1 ) .

2) gli switch cisco anche se è vero che hanno delle protezioni, se queste non sono impostate su tutte le porte(e molto raramente lo sono) risultano comunque vulnerabili a diversi tipi di attacchi tra cui la modifica della CAM table.(provate con ANT a mandare dei pacchetti ethernet opportunamente configurati verso uno switch cisco e poi andate a vedere come è cambiata la tabella ).

3) la saturazione della cam table normalmente riesce solo sugli switch di fascia bassa, inoltre bisogna tenere conto se sullo switch sono impostate delle vlan .....

ps.

ettercap è fatto a posta per funzionare su reti switchate.......

[_NYTRO_]

raga un po di precisazioni
1) la cam table non associa ip ed mac-address ma mac-address sorgente e porta su cui lo switch ha ricevuto il pacchetto (ad esempio la fastethernet 0/0 , 0/1 ) .

Grazie.

2) gli switch cisco anche se è vero che hanno delle protezioni, se queste non sono impostate su tutte le porte(e molto raramente lo sono) risultano comunque vulnerabili a diversi tipi di attacchi tra cui la modifica della CAM table.(provate con ANT a mandare dei pacchetti ethernet opportunamente configurati verso uno switch cisco e poi andate a vedere come è cambiata la tabella ).

I CIsco devono preoccuparsi pure dei "frequenti" buffer overflow..

'scolta, kobaiachi , sapresti dirmi come funziona a "basso livello" una scheda settata in promiscuous? Cioè, so cosa fa(piglia tutto) e a che serve(testing/sniffing), ma non ho capito(e non trovo info) sul COME ?!
A giro, si mette tutti i MAC degli altri?! Oppure di per se non fa niente, se non imbrattare le ARP table?! bho..
Non ho trovato nessuna info a riguardo e nessuno che mi sappia rispondere..
Grazie.

[masalapianta]

Non dipende dalla rete, dipende dallo switch!!!

questo non e' vero, puo' dipendere dallo switch nel caso si stia avvelenando la sua tabella cam (mac flooding), se invece si stanno avvelenando le arp cache di alcuni host (arp poisoning) lo switch non c'entra nulla

Infatti alcuni switch, quelli di fascia alta, hanno delle protezioni dedicate a questo scopo.
In pratica, nello switch c'è una tabella ARP(CAM Table) che associa IP e MAC ma essendo "trasparente" impara man man che arrivano i pack..

anche questo non e' vero, la tabella cam contiene le associazioni tra mac address e porta dello switch (l'ip non c'entra nulla); infatti uno degli attacchi per far mitm o sniffing su lan switchata consiste proprio nell'avvelenare la tabella cam dello switch con pacchetti forgiati con mac address sorgente spoofato; questo (se si riesce a generare sufficiente traffico da vincere la contesa con l'host che ha il mac che stiamo spoofando) permette di far si che lo switch inoltri sulla porta cui e' connesso l'attaccante tutti i pacchetti destinati a quel mac address; in questo modo possiamo sniffare; se poi vogliamo fare mitm, per reinoltrare i pacchetti al legittimo host di destinazione dobbiamo far si che lo switch aggiorni la cam associando il mac alla porta cui e' connesso l'host cui appartiene quel mac (se quel host in quel momento non fa traffico la tabella cam non si aggiorna come vorremmo noi), il che si fa semplicemente con una query arp relativa a quell'host, l'host risponde, lo switch vede passare sulla sua porta traffico con quel mac address sorgente e aggiorna la sua tabella; a quel punto possiamo inoltrargli il traffico sniffato.
Questo per quanto riguarda lo switch, se poi facciamo arp poisoning lo switch non c'entra nulla e stiamo avvelenando le arp cache (tramite apposite query arp spoofate) di uno o piu' host al fine di inserire li dentro il nostro mac address associato ad un ip non nostro, questo ci permette di far si che quegli host spediscano a noi (lo switch inoltra quei pacchetti sulla porta cui siamo connessi noi, perche' il mac address di destinazione e' il nostro) pacchetti che dovrebbero arrivare ad altri.

[_NYTRO_]

Non dipende dalla rete, dipende dallo switch!!!

questo non e' vero, puo' dipendere dallo switch nel caso si stia avvelenando la sua tabella cam (mac flooding), se invece si stanno avvelenando le arp cache di alcuni host (arp poisoning) lo switch non c'entra nulla

Se rileggi sopra, capirai che mi riferivo alla topologia di rete!
Ovviamente puoi agire tramite le ARP table degli altri host, ma non di certo dipende da come sono posizionati.

Infatti alcuni switch, quelli di fascia alta, hanno delle protezioni dedicate a questo scopo.
In pratica, nello switch c'è una tabella ARP(CAM Table) che associa IP e MAC ma essendo "trasparente" impara man man che arrivano i pack..

anche questo non e' vero, la tabella cam contiene le associazioni tra mac address e porta dello switch (l'ip non c'entra nulla);

Per questa caxxata mi sono già scusato..

infatti uno degli attacchi per far mitm o sniffing su lan switchata consiste proprio nell'avvelenare la tabella cam dello switch con pacchetti forgiati con mac address sorgente spoofato; questo (se si riesce a generare sufficiente traffico da vincere la contesa con l'host che ha il mac che stiamo spoofando) permette di far si che lo switch inoltri sulla porta cui e' connesso l'attaccante tutti i pacchetti destinati a quel mac address; in questo modo possiamo sniffare;

Ok, ma dandoci sotto c'è anche il caso "switch impallato" che inizia a mandare broadcast..

se poi vogliamo fare mitm, per reinoltrare i pacchetti al legittimo host di destinazione dobbiamo far si che lo switch aggiorni la cam associando il mac alla porta cui e' connesso l'host cui appartiene quel mac (se quel host in quel momento non fa traffico la tabella cam non si aggiorna come vorremmo noi), il che si fa semplicemente con una query arp relativa a quell'host, l'host risponde, lo switch vede passare sulla sua porta traffico con quel mac address sorgente e aggiorna la sua tabella; a quel punto possiamo inoltrargli il traffico sniffato.
Questo per quanto riguarda lo switch, se poi facciamo arp poisoning lo switch non c'entra nulla e stiamo avvelenando le arp cache (tramite apposite query arp spoofate) di uno o piu' host al fine di inserire li dentro il nostro mac address associato ad un ip non nostro, questo ci permette di far si che quegli host spediscano a noi (lo switch inoltra quei pacchetti sulla porta cui siamo connessi noi, perche' il mac address di destinazione e' il nostro) pacchetti che dovrebbero arrivare ad altri.

Sì..
Tu sai dirmi nel dettaglio in cosa consiste il "promiscuous mode" ?!