arp statica e sniffing

Postate qui per tutte le discussioni legate alla sicurezza di Linux/Slackware

Moderatore: Staff

Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Specificare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.

La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.
kobaiachi
Linux 4.x
Linux 4.x
Messaggi: 1368
Iscritto il: gio 14 lug 2005, 0:00
Località: roma
Contatta:

Messaggio da kobaiachi »

in breve in quanto il discorso sarebbe molto piu ampio:

il promiscus mode consiste nel fatto che lo strato di software a layer 2 quando gli arriva un pacchetto destinato ad un altro host invece di scartarlo lo passa comunque al livello 3.

non considerare una rete switchata considera invece il caso di una classica ethernet collegata ad un hub quando l'hub riceve un pacchetto su una delle sue porte questo lo inoltra su tutte le altre il che vuol dire che tutti gli host della rete riceveranno il traffico di tutti gli altri ecco quindi la necessita di avere un indirizzo di layer 2 (mac address) che consente agli host di scartare tutti i pacchetti che non sono destinati a loro e di inoltrare agli strati superiori i pacchetti di cui sono i legittimi destinatari.

in ogni caso comunque il livello 2 deve esaminare tutti i pacchetti che passano sul cavo per sapere quali sono destinati a lui e quali no .

se metti la scheda in promiscus mode elimini questo filtro ed la tua scheda passera agli strati superiori dello stack tcp/ip tutti i pacchetti che passano lungo il cavo .
Ultima modifica di kobaiachi il sab 27 gen 2007, 16:57, modificato 1 volta in totale.

_NYTRO_
Linux 2.x
Linux 2.x
Messaggi: 419
Iscritto il: sab 8 mag 2004, 0:00

Messaggio da _NYTRO_ »

E' la prima parte(e il discorso più ampio) che mi interessa.. :p
Volevo sapere come viene effettuato in termini pratici.
Grazie.

Avatar utente
masalapianta
Iper Master
Iper Master
Messaggi: 2775
Iscritto il: lun 25 lug 2005, 0:00
Nome Cognome: famoso porco
Kernel: uname -r
Desktop: awesome
Distribuzione: Debian
Località: Roma
Contatta:

Messaggio da masalapianta »

_NYTRO_ ha scritto:
masalapianta ha scritto:
_NYTRO_ ha scritto:Non dipende dalla rete, dipende dallo switch!!!
questo non e' vero, puo' dipendere dallo switch nel caso si stia avvelenando la sua tabella cam (mac flooding), se invece si stanno avvelenando le arp cache di alcuni host (arp poisoning) lo switch non c'entra nulla
Se rileggi sopra, capirai che mi riferivo alla topologia di rete!
Ovviamente puoi agire tramite le ARP table degli altri host, ma non di certo dipende da come sono posizionati.
irrilevante, comunque puo' non dipendere dallo switch
masalapianta ha scritto:
_NYTRO_ ha scritto:Infatti alcuni switch, quelli di fascia alta, hanno delle protezioni dedicate a questo scopo.
In pratica, nello switch c'è una tabella ARP(CAM Table) che associa IP e MAC ma essendo "trasparente" impara man man che arrivano i pack..
anche questo non e' vero, la tabella cam contiene le associazioni tra mac address e porta dello switch (l'ip non c'entra nulla);
Per questa caxxata mi sono già scusato.. ;)
non ti devi mica scusare,non e' una gara a chi ne sa di piu'; semplicemente quando uno scrive una cosa non esatta viene corretto sia per dirgli come stanno effettivamente le cose e sia per non farcredere a chi legge che quell'inesattezza e' esatta
masalapianta ha scritto:infatti uno degli attacchi per far mitm o sniffing su lan switchata consiste proprio nell'avvelenare la tabella cam dello switch con pacchetti forgiati con mac address sorgente spoofato; questo (se si riesce a generare sufficiente traffico da vincere la contesa con l'host che ha il mac che stiamo spoofando) permette di far si che lo switch inoltri sulla porta cui e' connesso l'attaccante tutti i pacchetti destinati a quel mac address; in questo modo possiamo sniffare;
Ok, ma dandoci sotto c'è anche il caso "switch impallato" che inizia a mandare broadcast..
quello dipende da come e' fatto lo switch, non puoi farci affidamento, mentre l'arp poisoning e cam poisoning funzionano sempre (a patto che gli host non siano configurati con arp cache statiche e lo switch configurato con cam table statica) a prescindere dall'implementazione dello switch; in sostanza con arp poisoning e cam poisoning sfrutti una debolezza di protocollo mentre cercando di far "impallare" lo switch semplicemente sfrutti un'implementazione a membro di cane dello switch

Sì..
Tu sai dirmi nel dettaglio in cosa consiste il "promiscuous mode" ?! :roll:
uh? mica e' un segreto, semplicemente quando un'interfaccia e' in promiscuos mode la scheda anziche' droppare tutti i pacchetti che arrivano ad essa e che hanno mac di destinazione diverso dal mac della scheda stessa, li accoda passandoli al kernel

Avatar utente
masalapianta
Iper Master
Iper Master
Messaggi: 2775
Iscritto il: lun 25 lug 2005, 0:00
Nome Cognome: famoso porco
Kernel: uname -r
Desktop: awesome
Distribuzione: Debian
Località: Roma
Contatta:

Messaggio da masalapianta »

_NYTRO_ ha scritto:E' la prima parte(e il discorso più ampio) che mi interessa.. :p
Volevo sapere come viene effettuato in termini pratici.
Grazie.
dipende dalla scheda (non e' una cosa che avviene a livello del OS ma e' implementato direttamente nel hardware della scheda); in generale quando una scheda riceve un pacchetto, controlla il mac di destinazione, se non coincide col suo lo scarta altrimenti lo scrive in un buffer della scheda e genera un interrupt, il kernel a quel punto sa che e' arrivata nuova roba alla scheda e prima o poi se la va a prendere; se la scheda e'configurata in promiscuos mode fa la stessa cosa ma senza effettuare un controllo sul mac e quindi senza scartare nulla

_NYTRO_
Linux 2.x
Linux 2.x
Messaggi: 419
Iscritto il: sab 8 mag 2004, 0:00

Messaggio da _NYTRO_ »

masalapianta ha scritto:dipende dalla scheda (non e' una cosa che avviene a livello del OS ma e' implementato direttamente nel hardware della scheda); in generale quando una scheda riceve un pacchetto, controlla il mac di destinazione, se non coincide col suo lo scarta altrimenti lo scrive in un buffer della scheda e genera un interrupt, il kernel a quel punto sa che e' arrivata nuova roba alla scheda e prima o poi se la va a prendere; se la scheda e'configurata in promiscuos mode fa la stessa cosa ma senza effettuare un controllo sul mac e quindi senza scartare nulla
Ohhhhh, grazie mille!!! :D
Quindi + che altro la differenza(tra normal e promiscuous) è a livello di hardware?!
Era questo che volevo sapere..
Grazie ancora e scusare l'OT.. :p

Dani
Linux 4.x
Linux 4.x
Messaggi: 1447
Iscritto il: mer 26 apr 2006, 1:52
Desktop: gnome
Distribuzione: arch

Messaggio da Dani »

Meskalamdug ha scritto: Avvia ettercap
avvia unified sniffing e scegli l'interfaccia di rete
fai uno scan della tua rete
avvia target aggiungi il tuo ip
avvia "start sniffing"
avvia mitm arp poisoning(spunta entrambe le opzioni)
Adesso osserva il menù in basso
quando apri il client e leggi la posta
oppure quando ti colleghi a un sito come questo
Ciao
Allora ho fatto così:

-dalla console mi loggo come root e lancio ettercap -G
- click su sniff --> unified sniffing --> scelgo eth0 e clicco ok
- click su hosts --> scan for hosts
- click su target --> current target mi appaiono target 1 e target2...su target 1 faccio add e metto il mio ip 192.168.0.2
- click su start --> start sniffing
- click su Mitm --> arp poisoning --> spunto entrambe le caselle
- apro thunderbird, firefox ecc...
- guardo sotto e non c'è nulla

Codice: Seleziona tutto

ARP poisoning victims:

 GROUP 2 : ANY (all the hosts in the list)
Dove sbaglio ??

Bart
Staff
Staff
Messaggi: 4249
Iscritto il: lun 9 ago 2004, 0:00
Località: Rimini

Messaggio da Bart »

Dopo scan for host vai nella lista degli host, ne selezioni uno e fai add to target1. Non selezionarlo manualmente,

Dani
Linux 4.x
Linux 4.x
Messaggi: 1447
Iscritto il: mer 26 apr 2006, 1:52
Desktop: gnome
Distribuzione: arch

Messaggio da Dani »

Ok, pero' il mio ip non c'è nella lista degli host...C'è solo quello del router e aggiungendo quello in GROUP 1 compare assieme al suo mac address ma non vedo comunque alcuna password... :?:

Dani
Linux 4.x
Linux 4.x
Messaggi: 1447
Iscritto il: mer 26 apr 2006, 1:52
Desktop: gnome
Distribuzione: arch

Messaggio da Dani »

Mi sono riloggato su un forum e....Accidenti è vero ! :lol:

Sarebbe possibile usare ethereal al posto di ettercap per sniffare questi dati ?

Meskalamdug
Iper Master
Iper Master
Messaggi: 3961
Iscritto il: ven 14 mag 2004, 0:00

Re: arp statica e sniffing

Messaggio da Meskalamdug »

spina ha scritto:
Meskalamdug ha scritto:...
Con grande dolore ho scoperto che in 4 mosse
si possono sniffare tutti i pacchetti..
:D :D :D
Tutto il traffico si può sniffare. In una rete locale l'unica è di avere uno switch che indirizza i pacchetti solo ed esclusivamente sulla macchina destinataria.
E sulle wireless....non c'è verso, se cripti i pacchetti forse.... ecco perchè https va bene. Bada che non c'è modo di non far arrivare i pacchetti ad altri, solo che se cripti i pacchetti le chiavi non viaggiano in chiaro.

Ora sai anche perchè è preferibli usare il protocollo ssh a quello ftp :)

Scusami, altrimenti noi poveri mortali come faremmo a scroccare la rete internet?

Spina
"Ora sai anche perchè è preferibli usare il protocollo ssh a quello ftp :)"
Ma va?
Io ftp meno lo uso e meglio sto
ma in italia nessuno usa sftp o ssh
per farti caricare i files
:(

Dani
Linux 4.x
Linux 4.x
Messaggi: 1447
Iscritto il: mer 26 apr 2006, 1:52
Desktop: gnome
Distribuzione: arch

Messaggio da Dani »

Scusate ora mi dà SEND L3 ERROR:

Codice: Seleziona tutto

SEND L3 ERROR: 641 byte packet (0800:06) destined to 209.85.135.147 was not forwarded (libnet_write_raw_ipv4(): -1 bytes written (Operation not permitted)
Che significa ??

Avatar utente
targzeta
Iper Master
Iper Master
Messaggi: 6628
Iscritto il: gio 3 nov 2005, 14:05
Nome Cognome: Emanuele Tomasi
Slackware: 64-current
Kernel: latest stable
Desktop: IceWM
Località: Carpignano Sal. (LE) <-> Pisa

Re: arp statica e sniffing

Messaggio da targzeta »

Meskalamdug ha scritto:...
ma in italia nessuno usa sftp o ssh
per farti caricare i files
:(
Pensa invece che la mia facoltà non ti permette di loggarti in remoto usando ftp o telnet. Solo ssh o scp e anche la posta usa il protocollo web https. Quello che ad esempio mi spiace è che slacky non usi https. Infatti, scroccando la rete wireless io sniffo, ma se qualcuno se ne accorge nessuno gli impedisce di sniffare i miei pacchetti a sua volta, e quando mi loggo su slacky...
Vabbuò ma i windows-iani non se ne accorgeranno mai della mia presenza :).

Spina

Rispondi