Repository 32bit  Forum
Repository 64bit  Wiki

arp statica e sniffing

Postate qui per tutte le discussioni legate alla sicurezza di Linux/Slackware

Moderatore: Staff

Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Specificare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.

La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.

arp statica e sniffing

Messaggioda Meskalamdug » sab gen 27, 2007 1:55

Oggi,incuriosito da un articolo
provo a sniffare il traffico della mia rete
con ettercap.
Con grande dolore ho scoperto che in 4 mosse
si possono sniffare tutti i pacchetti..ma quello che e' peggio
1)Le sessioni ftp mostrano user e pass in chiaro
2)Quelle http idem..https invece mi e' sembrato sicuro
3)La posta idem..mostrano u e p in chiaro!
Ora dico..io ho sniffato il mio stesso ip di rete
se qualche estraneo lo avesse fatto col mio ip?
Ho letto che la soluzione estrema e' rendere la cache arp statica
con arp -s ipmacchina macaddress.
Ho provato e in effetti ora ettercap non riesce neppure
a trovare un host.

Ho un paio di domande..
1)Con questa soluzione avrò delle noie con servizi di rete?
2)La cache arp va resa statica a ogni avvio
o basta una sola volta?
Grazie a chi mi risponderà
Meskalamdug
Iper Master
Iper Master
 
Messaggi: 3593
Iscritto il: gio mag 13, 2004 23:00

Messaggioda Dani » sab gen 27, 2007 3:12

Scusa, come si fanno a sniffare le password che escono dal proprio sistema ?
Dani
Linux 3.x
Linux 3.x
 
Messaggi: 1447
Iscritto il: mer apr 26, 2006 0:52
Desktop: gnome
Distribuzione: arch

Messaggioda Meskalamdug » sab gen 27, 2007 5:25

Dani ha scritto:Scusa, come si fanno a sniffare le password che escono dal proprio sistema ?

Avvia ettercap
avvia unified sniffing e scegli l'interfaccia di rete
fai uno scan della tua rete
avvia target aggiungi il tuo ip
avvia "start sniffing"
avvia mitm arp poisoning(spunta entrambe le opzioni)
Adesso osserva il menù in basso
quando apri il client e leggi la posta
oppure quando ti colleghi a un sito come questo
Ciao
Meskalamdug
Iper Master
Iper Master
 
Messaggi: 3593
Iscritto il: gio mag 13, 2004 23:00

Messaggioda Bart » sab gen 27, 2007 11:16

E beh in locale funziona molto bene. Testato sul mio client di posta visualizza indirizzo email e relativa psw in chiaro. :? Adesso faccio un po' di prove con delle modifiche. Direi che in una LAN è un disastro ma non sono certo che si possa fare all'esterno. Le noie iniziano se in una rete locale usi come target l'indirizzo del router.... Ma per farlo andare occorre per forza avviarlo da root? A me da utente normale mi da noie...
Bart
Staff
Staff
 
Messaggi: 4248
Iscritto il: dom ago 08, 2004 23:00
Località: Rimini

Re: arp statica e sniffing

Messaggioda targzeta » sab gen 27, 2007 11:33

Meskalamdug ha scritto:...
Con grande dolore ho scoperto che in 4 mosse
si possono sniffare tutti i pacchetti..

:D :D :D
Tutto il traffico si può sniffare. In una rete locale l'unica è di avere uno switch che indirizza i pacchetti solo ed esclusivamente sulla macchina destinataria.
E sulle wireless....non c'è verso, se cripti i pacchetti forse.... ecco perchè https va bene. Bada che non c'è modo di non far arrivare i pacchetti ad altri, solo che se cripti i pacchetti le chiavi non viaggiano in chiaro.

Ora sai anche perchè è preferibli usare il protocollo ssh a quello ftp :)

Scusami, altrimenti noi poveri mortali come faremmo a scroccare la rete internet?

Spina
Avatar utente
targzeta
Iper Master
Iper Master
 
Messaggi: 6200
Iscritto il: gio nov 03, 2005 14:05
Località: Carpignano Sal. (LE) <-> Pisa
Nome Cognome: Emanuele Tomasi
Slackware: current
Kernel: latest stable
Desktop: IceWM

Messaggioda _NYTRO_ » sab gen 27, 2007 12:01

Ovviamente i protocolli non "S" viaggiano in chiaro.. quindi puoi vedere di tutto di +.
Nelle LAN i dati viaggiano broadcast quindi non ci vuole niente..
Per sniffare, la scheda di rete deve andare in modalità promiscua(fattibile solo da root) ecco perchè da user non becchi niente.
Sinceramente non so bene come funzioni questa modalità e su che si basa, ma posso ipotizzare che mettendo una cache ARP statica vai ad evitare che vengano inserite altre entry "false" per indirizzare i pack all'intruso..
PS: ormai anche nelle reti "switchate" il traffico viene sniffato.. ;)
Poi mi informo che sta roba mi interessa..
_NYTRO_
Linux 2.4
Linux 2.4
 
Messaggi: 419
Iscritto il: ven mag 07, 2004 23:00

Messaggioda targzeta » sab gen 27, 2007 12:09

_NYTRO_ ha scritto:...PS: ormai anche nelle reti "switchate" il traffico viene sniffato.. ;)

Le reti LAN ethernet "switchate" "non possono" essere sniffate. Fatto sta, che come dici tu a volte succede. Se la rete non è fatta bene lo switch, che di solito indirzza i pacchetti solo verso la macchina destinataria, si impalla.
E sapete come reagisce uno switch che si impalla? Inizia a mandare tutti i pacchetti a tutti :).

Spina
Avatar utente
targzeta
Iper Master
Iper Master
 
Messaggi: 6200
Iscritto il: gio nov 03, 2005 14:05
Località: Carpignano Sal. (LE) <-> Pisa
Nome Cognome: Emanuele Tomasi
Slackware: current
Kernel: latest stable
Desktop: IceWM

Messaggioda _NYTRO_ » sab gen 27, 2007 12:11

Come vi dicevo..
http://it.wikipedia.org/wiki/Sniffing
http://it.wikipedia.org/wiki/MAC_flooding
Tra l'altro, non tutti sanno che Ettercap(creato da due ragazzi italiani) può essere usato anche per "difesa" come un rilevatore di sniffing, quindi se ogni tanto lo fate girare anche in quella modalità non fa male.. :p

Per chi vuole approfondire: http://ettercap.sf.net/devel/bh-us-03-o ... alleri.pdf

Ciao.
_NYTRO_
Linux 2.4
Linux 2.4
 
Messaggi: 419
Iscritto il: ven mag 07, 2004 23:00

Messaggioda _NYTRO_ » sab gen 27, 2007 12:29

spina ha scritto:
_NYTRO_ ha scritto:...PS: ormai anche nelle reti "switchate" il traffico viene sniffato.. ;)

Le reti LAN ethernet "switchate" "non possono" essere sniffate. Fatto sta, che come dici tu a volte succede. Se la rete non è fatta bene lo switch, che di solito indirzza i pacchetti solo verso la macchina destinataria, si impalla.
E sapete come reagisce uno switch che si impalla? Inizia a mandare tutti i pacchetti a tutti :).
Spina

Mhm.. :roll:
Il presupposto è che le reti "switchate" non potrebbero(condizionale) essere sniffate, ma in pratica sì.
Non dipende dalla rete, dipende dallo switch!!!
Infatti alcuni switch, quelli di fascia alta, hanno delle protezioni dedicate a questo scopo.
In pratica, nello switch c'è una tabella ARP(CAM Table) che associa IP e MAC ma essendo "trasparente" impara man man che arrivano i pack..
Per sniffare, l'attaccante manda false richieste e satura la CAM con entry fasulle.
A questo punto lo switch se ne va in palla e si comporta come un comune hub, diffondendo broadcast.. e il gioco è fatto!!! :badgrin:
_NYTRO_
Linux 2.4
Linux 2.4
 
Messaggi: 419
Iscritto il: ven mag 07, 2004 23:00

Messaggioda targzeta » sab gen 27, 2007 12:44

_NYTRO_ ha scritto:
spina ha scritto:
_NYTRO_ ha scritto:...PS: ormai anche nelle reti "switchate" il traffico viene sniffato.. ;)

Le reti LAN ethernet "switchate" "non possono" essere sniffate. Fatto sta, che come dici tu a volte succede. Se la rete non è fatta bene lo switch, che di solito indirzza i pacchetti solo verso la macchina destinataria, si impalla.
E sapete come reagisce uno switch che si impalla? Inizia a mandare tutti i pacchetti a tutti :).
Spina

Mhm.. :roll:
Il presupposto è che le reti "switchate" non potrebbero(condizionale) essere sniffate, ma in pratica sì.
Non dipende dalla rete, dipende dallo switch!!!
Infatti alcuni switch, quelli di fascia alta, hanno delle protezioni dedicate a questo scopo.
In pratica, nello switch c'è una tabella ARP(CAM Table) che associa IP e MAC ma essendo "trasparente" impara man man che arrivano i pack..
Per sniffare, l'attaccante manda false richieste e satura la CAM con entry fasulle.
A questo punto lo switch se ne va in palla e si comporta come un comune hub, diffondendo broadcast.. e il gioco è fatto!!! :badgrin:


Forse mi sarò espresso male, ma penso che abbiamo detto la stessa cosa
:)

Spina
Avatar utente
targzeta
Iper Master
Iper Master
 
Messaggi: 6200
Iscritto il: gio nov 03, 2005 14:05
Località: Carpignano Sal. (LE) <-> Pisa
Nome Cognome: Emanuele Tomasi
Slackware: current
Kernel: latest stable
Desktop: IceWM

Messaggioda _NYTRO_ » sab gen 27, 2007 13:02

spina ha scritto:Forse mi sarò espresso male, ma penso che abbiamo detto la stessa cosa
:)

Spina

Sì, il succo è quello ma da come avevi scritto tu, sembrava che fosse una questione di topologia di rete, invece dipende proprio dallo switch..
I modelli con le protezioni sono abbastanza costosi(Cisco, 3Com e simili) e di solito non vengono utilizzati dall'utente comune. Quindi molte reti, pur se switchate, sono sniffabili..
Purtroppo sono in una LAN controllata e non mia, perciò molti esperimenti non posso farli, ma alcuni sarebbero molto istruttivi.. ;)
_NYTRO_
Linux 2.4
Linux 2.4
 
Messaggi: 419
Iscritto il: ven mag 07, 2004 23:00

Messaggioda kobaiachi » sab gen 27, 2007 14:06

raga un po di precisazioni

1) la cam table non associa ip ed mac-address ma mac-address sorgente e porta su cui lo switch ha ricevuto il pacchetto (ad esempio la fastethernet 0/0 , 0/1 ) .

2) gli switch cisco anche se è vero che hanno delle protezioni, se queste non sono impostate su tutte le porte(e molto raramente lo sono) risultano comunque vulnerabili a diversi tipi di attacchi tra cui la modifica della CAM table.(provate con ANT a mandare dei pacchetti ethernet opportunamente configurati verso uno switch cisco e poi andate a vedere come è cambiata la tabella ).

3) la saturazione della cam table normalmente riesce solo sugli switch di fascia bassa, inoltre bisogna tenere conto se sullo switch sono impostate delle vlan .....

ps.

ettercap è fatto a posta per funzionare su reti switchate.......
kobaiachi
Linux 3.x
Linux 3.x
 
Messaggi: 1368
Iscritto il: mer lug 13, 2005 23:00
Località: roma

Messaggioda _NYTRO_ » sab gen 27, 2007 14:25

kobaiachi ha scritto:raga un po di precisazioni
1) la cam table non associa ip ed mac-address ma mac-address sorgente e porta su cui lo switch ha ricevuto il pacchetto (ad esempio la fastethernet 0/0 , 0/1 ) .

Grazie. ;)

kobaiachi ha scritto:2) gli switch cisco anche se è vero che hanno delle protezioni, se queste non sono impostate su tutte le porte(e molto raramente lo sono) risultano comunque vulnerabili a diversi tipi di attacchi tra cui la modifica della CAM table.(provate con ANT a mandare dei pacchetti ethernet opportunamente configurati verso uno switch cisco e poi andate a vedere come è cambiata la tabella ).

I CIsco devono preoccuparsi pure dei "frequenti" buffer overflow.. :badgrin:

'scolta, kobaiachi , sapresti dirmi come funziona a "basso livello" una scheda settata in promiscuous? Cioè, so cosa fa(piglia tutto) e a che serve(testing/sniffing), ma non ho capito(e non trovo info) sul COME ?!
A giro, si mette tutti i MAC degli altri?! Oppure di per se non fa niente, se non imbrattare le ARP table?! bho..
Non ho trovato nessuna info a riguardo e nessuno che mi sappia rispondere..
Grazie.
_NYTRO_
Linux 2.4
Linux 2.4
 
Messaggi: 419
Iscritto il: ven mag 07, 2004 23:00

Messaggioda masalapianta » sab gen 27, 2007 15:04

_NYTRO_ ha scritto:Non dipende dalla rete, dipende dallo switch!!!

questo non e' vero, puo' dipendere dallo switch nel caso si stia avvelenando la sua tabella cam (mac flooding), se invece si stanno avvelenando le arp cache di alcuni host (arp poisoning) lo switch non c'entra nulla
Infatti alcuni switch, quelli di fascia alta, hanno delle protezioni dedicate a questo scopo.
In pratica, nello switch c'è una tabella ARP(CAM Table) che associa IP e MAC ma essendo "trasparente" impara man man che arrivano i pack..

anche questo non e' vero, la tabella cam contiene le associazioni tra mac address e porta dello switch (l'ip non c'entra nulla); infatti uno degli attacchi per far mitm o sniffing su lan switchata consiste proprio nell'avvelenare la tabella cam dello switch con pacchetti forgiati con mac address sorgente spoofato; questo (se si riesce a generare sufficiente traffico da vincere la contesa con l'host che ha il mac che stiamo spoofando) permette di far si che lo switch inoltri sulla porta cui e' connesso l'attaccante tutti i pacchetti destinati a quel mac address; in questo modo possiamo sniffare; se poi vogliamo fare mitm, per reinoltrare i pacchetti al legittimo host di destinazione dobbiamo far si che lo switch aggiorni la cam associando il mac alla porta cui e' connesso l'host cui appartiene quel mac (se quel host in quel momento non fa traffico la tabella cam non si aggiorna come vorremmo noi), il che si fa semplicemente con una query arp relativa a quell'host, l'host risponde, lo switch vede passare sulla sua porta traffico con quel mac address sorgente e aggiorna la sua tabella; a quel punto possiamo inoltrargli il traffico sniffato.
Questo per quanto riguarda lo switch, se poi facciamo arp poisoning lo switch non c'entra nulla e stiamo avvelenando le arp cache (tramite apposite query arp spoofate) di uno o piu' host al fine di inserire li dentro il nostro mac address associato ad un ip non nostro, questo ci permette di far si che quegli host spediscano a noi (lo switch inoltra quei pacchetti sulla porta cui siamo connessi noi, perche' il mac address di destinazione e' il nostro) pacchetti che dovrebbero arrivare ad altri.
Avatar utente
masalapianta
Iper Master
Iper Master
 
Messaggi: 2775
Iscritto il: dom lug 24, 2005 23:00
Località: Roma
Nome Cognome: famoso porco
Kernel: uname -r
Desktop: awesome
Distribuzione: Debian

Messaggioda _NYTRO_ » sab gen 27, 2007 15:49

masalapianta ha scritto:
_NYTRO_ ha scritto:Non dipende dalla rete, dipende dallo switch!!!

questo non e' vero, puo' dipendere dallo switch nel caso si stia avvelenando la sua tabella cam (mac flooding), se invece si stanno avvelenando le arp cache di alcuni host (arp poisoning) lo switch non c'entra nulla

Se rileggi sopra, capirai che mi riferivo alla topologia di rete!
Ovviamente puoi agire tramite le ARP table degli altri host, ma non di certo dipende da come sono posizionati.

masalapianta ha scritto:
_NYTRO_ ha scritto:Infatti alcuni switch, quelli di fascia alta, hanno delle protezioni dedicate a questo scopo.
In pratica, nello switch c'è una tabella ARP(CAM Table) che associa IP e MAC ma essendo "trasparente" impara man man che arrivano i pack..

anche questo non e' vero, la tabella cam contiene le associazioni tra mac address e porta dello switch (l'ip non c'entra nulla);

Per questa caxxata mi sono già scusato.. ;)

masalapianta ha scritto:infatti uno degli attacchi per far mitm o sniffing su lan switchata consiste proprio nell'avvelenare la tabella cam dello switch con pacchetti forgiati con mac address sorgente spoofato; questo (se si riesce a generare sufficiente traffico da vincere la contesa con l'host che ha il mac che stiamo spoofando) permette di far si che lo switch inoltri sulla porta cui e' connesso l'attaccante tutti i pacchetti destinati a quel mac address; in questo modo possiamo sniffare;

Ok, ma dandoci sotto c'è anche il caso "switch impallato" che inizia a mandare broadcast..

masalapianta ha scritto:se poi vogliamo fare mitm, per reinoltrare i pacchetti al legittimo host di destinazione dobbiamo far si che lo switch aggiorni la cam associando il mac alla porta cui e' connesso l'host cui appartiene quel mac (se quel host in quel momento non fa traffico la tabella cam non si aggiorna come vorremmo noi), il che si fa semplicemente con una query arp relativa a quell'host, l'host risponde, lo switch vede passare sulla sua porta traffico con quel mac address sorgente e aggiorna la sua tabella; a quel punto possiamo inoltrargli il traffico sniffato.
Questo per quanto riguarda lo switch, se poi facciamo arp poisoning lo switch non c'entra nulla e stiamo avvelenando le arp cache (tramite apposite query arp spoofate) di uno o piu' host al fine di inserire li dentro il nostro mac address associato ad un ip non nostro, questo ci permette di far si che quegli host spediscano a noi (lo switch inoltra quei pacchetti sulla porta cui siamo connessi noi, perche' il mac address di destinazione e' il nostro) pacchetti che dovrebbero arrivare ad altri.

Sì..
Tu sai dirmi nel dettaglio in cosa consiste il "promiscuous mode" ?! :roll:
_NYTRO_
Linux 2.4
Linux 2.4
 
Messaggi: 419
Iscritto il: ven mag 07, 2004 23:00

Prossimo

Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Bing [Bot] e 1 ospite