Repository 32bit  Forum
Repository 64bit  Wiki

arp statica e sniffing

Postate qui per tutte le discussioni legate alla sicurezza di Linux/Slackware

Moderatore: Staff

Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Specificare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.

La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.

Messaggioda kobaiachi » sab gen 27, 2007 16:41

in breve in quanto il discorso sarebbe molto piu ampio:

il promiscus mode consiste nel fatto che lo strato di software a layer 2 quando gli arriva un pacchetto destinato ad un altro host invece di scartarlo lo passa comunque al livello 3.

non considerare una rete switchata considera invece il caso di una classica ethernet collegata ad un hub quando l'hub riceve un pacchetto su una delle sue porte questo lo inoltra su tutte le altre il che vuol dire che tutti gli host della rete riceveranno il traffico di tutti gli altri ecco quindi la necessita di avere un indirizzo di layer 2 (mac address) che consente agli host di scartare tutti i pacchetti che non sono destinati a loro e di inoltrare agli strati superiori i pacchetti di cui sono i legittimi destinatari.

in ogni caso comunque il livello 2 deve esaminare tutti i pacchetti che passano sul cavo per sapere quali sono destinati a lui e quali no .

se metti la scheda in promiscus mode elimini questo filtro ed la tua scheda passera agli strati superiori dello stack tcp/ip tutti i pacchetti che passano lungo il cavo .
Ultima modifica di kobaiachi il sab gen 27, 2007 16:57, modificato 1 volta in totale.
kobaiachi
Linux 3.x
Linux 3.x
 
Messaggi: 1368
Iscritto il: mer lug 13, 2005 23:00
Località: roma

Messaggioda _NYTRO_ » sab gen 27, 2007 16:47

E' la prima parte(e il discorso più ampio) che mi interessa.. :p
Volevo sapere come viene effettuato in termini pratici.
Grazie.
_NYTRO_
Linux 2.4
Linux 2.4
 
Messaggi: 419
Iscritto il: ven mag 07, 2004 23:00

Messaggioda masalapianta » sab gen 27, 2007 16:52

_NYTRO_ ha scritto:
masalapianta ha scritto:
_NYTRO_ ha scritto:Non dipende dalla rete, dipende dallo switch!!!

questo non e' vero, puo' dipendere dallo switch nel caso si stia avvelenando la sua tabella cam (mac flooding), se invece si stanno avvelenando le arp cache di alcuni host (arp poisoning) lo switch non c'entra nulla

Se rileggi sopra, capirai che mi riferivo alla topologia di rete!
Ovviamente puoi agire tramite le ARP table degli altri host, ma non di certo dipende da come sono posizionati.

irrilevante, comunque puo' non dipendere dallo switch
masalapianta ha scritto:
_NYTRO_ ha scritto:Infatti alcuni switch, quelli di fascia alta, hanno delle protezioni dedicate a questo scopo.
In pratica, nello switch c'è una tabella ARP(CAM Table) che associa IP e MAC ma essendo "trasparente" impara man man che arrivano i pack..

anche questo non e' vero, la tabella cam contiene le associazioni tra mac address e porta dello switch (l'ip non c'entra nulla);

Per questa caxxata mi sono già scusato.. ;)

non ti devi mica scusare,non e' una gara a chi ne sa di piu'; semplicemente quando uno scrive una cosa non esatta viene corretto sia per dirgli come stanno effettivamente le cose e sia per non farcredere a chi legge che quell'inesattezza e' esatta
masalapianta ha scritto:infatti uno degli attacchi per far mitm o sniffing su lan switchata consiste proprio nell'avvelenare la tabella cam dello switch con pacchetti forgiati con mac address sorgente spoofato; questo (se si riesce a generare sufficiente traffico da vincere la contesa con l'host che ha il mac che stiamo spoofando) permette di far si che lo switch inoltri sulla porta cui e' connesso l'attaccante tutti i pacchetti destinati a quel mac address; in questo modo possiamo sniffare;

Ok, ma dandoci sotto c'è anche il caso "switch impallato" che inizia a mandare broadcast..

quello dipende da come e' fatto lo switch, non puoi farci affidamento, mentre l'arp poisoning e cam poisoning funzionano sempre (a patto che gli host non siano configurati con arp cache statiche e lo switch configurato con cam table statica) a prescindere dall'implementazione dello switch; in sostanza con arp poisoning e cam poisoning sfrutti una debolezza di protocollo mentre cercando di far "impallare" lo switch semplicemente sfrutti un'implementazione a membro di cane dello switch

Sì..
Tu sai dirmi nel dettaglio in cosa consiste il "promiscuous mode" ?! :roll:

uh? mica e' un segreto, semplicemente quando un'interfaccia e' in promiscuos mode la scheda anziche' droppare tutti i pacchetti che arrivano ad essa e che hanno mac di destinazione diverso dal mac della scheda stessa, li accoda passandoli al kernel
Avatar utente
masalapianta
Iper Master
Iper Master
 
Messaggi: 2775
Iscritto il: dom lug 24, 2005 23:00
Località: Roma
Nome Cognome: famoso porco
Kernel: uname -r
Desktop: awesome
Distribuzione: Debian

Messaggioda masalapianta » sab gen 27, 2007 16:57

_NYTRO_ ha scritto:E' la prima parte(e il discorso più ampio) che mi interessa.. :p
Volevo sapere come viene effettuato in termini pratici.
Grazie.

dipende dalla scheda (non e' una cosa che avviene a livello del OS ma e' implementato direttamente nel hardware della scheda); in generale quando una scheda riceve un pacchetto, controlla il mac di destinazione, se non coincide col suo lo scarta altrimenti lo scrive in un buffer della scheda e genera un interrupt, il kernel a quel punto sa che e' arrivata nuova roba alla scheda e prima o poi se la va a prendere; se la scheda e'configurata in promiscuos mode fa la stessa cosa ma senza effettuare un controllo sul mac e quindi senza scartare nulla
Avatar utente
masalapianta
Iper Master
Iper Master
 
Messaggi: 2775
Iscritto il: dom lug 24, 2005 23:00
Località: Roma
Nome Cognome: famoso porco
Kernel: uname -r
Desktop: awesome
Distribuzione: Debian

Messaggioda _NYTRO_ » sab gen 27, 2007 17:22

masalapianta ha scritto:dipende dalla scheda (non e' una cosa che avviene a livello del OS ma e' implementato direttamente nel hardware della scheda); in generale quando una scheda riceve un pacchetto, controlla il mac di destinazione, se non coincide col suo lo scarta altrimenti lo scrive in un buffer della scheda e genera un interrupt, il kernel a quel punto sa che e' arrivata nuova roba alla scheda e prima o poi se la va a prendere; se la scheda e'configurata in promiscuos mode fa la stessa cosa ma senza effettuare un controllo sul mac e quindi senza scartare nulla

Ohhhhh, grazie mille!!! :D
Quindi + che altro la differenza(tra normal e promiscuous) è a livello di hardware?!
Era questo che volevo sapere..
Grazie ancora e scusare l'OT.. :p
_NYTRO_
Linux 2.4
Linux 2.4
 
Messaggi: 419
Iscritto il: ven mag 07, 2004 23:00

Messaggioda Dani » sab gen 27, 2007 19:42

Meskalamdug ha scritto:Avvia ettercap
avvia unified sniffing e scegli l'interfaccia di rete
fai uno scan della tua rete
avvia target aggiungi il tuo ip
avvia "start sniffing"
avvia mitm arp poisoning(spunta entrambe le opzioni)
Adesso osserva il menù in basso
quando apri il client e leggi la posta
oppure quando ti colleghi a un sito come questo
Ciao


Allora ho fatto così:

-dalla console mi loggo come root e lancio ettercap -G
- click su sniff --> unified sniffing --> scelgo eth0 e clicco ok
- click su hosts --> scan for hosts
- click su target --> current target mi appaiono target 1 e target2...su target 1 faccio add e metto il mio ip 192.168.0.2
- click su start --> start sniffing
- click su Mitm --> arp poisoning --> spunto entrambe le caselle
- apro thunderbird, firefox ecc...
- guardo sotto e non c'è nulla

Codice: Seleziona tutto
ARP poisoning victims:

 GROUP 2 : ANY (all the hosts in the list)


Dove sbaglio ??
Dani
Linux 3.x
Linux 3.x
 
Messaggi: 1447
Iscritto il: mer apr 26, 2006 0:52
Desktop: gnome
Distribuzione: arch

Messaggioda Bart » sab gen 27, 2007 21:02

Dopo scan for host vai nella lista degli host, ne selezioni uno e fai add to target1. Non selezionarlo manualmente,
Bart
Staff
Staff
 
Messaggi: 4248
Iscritto il: dom ago 08, 2004 23:00
Località: Rimini

Messaggioda Dani » sab gen 27, 2007 21:43

Ok, pero' il mio ip non c'è nella lista degli host...C'è solo quello del router e aggiungendo quello in GROUP 1 compare assieme al suo mac address ma non vedo comunque alcuna password... :?:
Dani
Linux 3.x
Linux 3.x
 
Messaggi: 1447
Iscritto il: mer apr 26, 2006 0:52
Desktop: gnome
Distribuzione: arch

Messaggioda Dani » sab gen 27, 2007 21:48

Mi sono riloggato su un forum e....Accidenti è vero ! :lol:

Sarebbe possibile usare ethereal al posto di ettercap per sniffare questi dati ?
Dani
Linux 3.x
Linux 3.x
 
Messaggi: 1447
Iscritto il: mer apr 26, 2006 0:52
Desktop: gnome
Distribuzione: arch

Re: arp statica e sniffing

Messaggioda Meskalamdug » sab gen 27, 2007 22:21

spina ha scritto:
Meskalamdug ha scritto:...
Con grande dolore ho scoperto che in 4 mosse
si possono sniffare tutti i pacchetti..

:D :D :D
Tutto il traffico si può sniffare. In una rete locale l'unica è di avere uno switch che indirizza i pacchetti solo ed esclusivamente sulla macchina destinataria.
E sulle wireless....non c'è verso, se cripti i pacchetti forse.... ecco perchè https va bene. Bada che non c'è modo di non far arrivare i pacchetti ad altri, solo che se cripti i pacchetti le chiavi non viaggiano in chiaro.

Ora sai anche perchè è preferibli usare il protocollo ssh a quello ftp :)

Scusami, altrimenti noi poveri mortali come faremmo a scroccare la rete internet?

Spina


"Ora sai anche perchè è preferibli usare il protocollo ssh a quello ftp :)"
Ma va?
Io ftp meno lo uso e meglio sto
ma in italia nessuno usa sftp o ssh
per farti caricare i files
:(
Meskalamdug
Iper Master
Iper Master
 
Messaggi: 3574
Iscritto il: gio mag 13, 2004 23:00

Messaggioda Dani » sab gen 27, 2007 23:25

Scusate ora mi dà SEND L3 ERROR:

Codice: Seleziona tutto
SEND L3 ERROR: 641 byte packet (0800:06) destined to 209.85.135.147 was not forwarded (libnet_write_raw_ipv4(): -1 bytes written (Operation not permitted)


Che significa ??
Dani
Linux 3.x
Linux 3.x
 
Messaggi: 1447
Iscritto il: mer apr 26, 2006 0:52
Desktop: gnome
Distribuzione: arch

Re: arp statica e sniffing

Messaggioda targzeta » dom gen 28, 2007 0:43

Meskalamdug ha scritto:...
ma in italia nessuno usa sftp o ssh
per farti caricare i files
:(

Pensa invece che la mia facoltà non ti permette di loggarti in remoto usando ftp o telnet. Solo ssh o scp e anche la posta usa il protocollo web https. Quello che ad esempio mi spiace è che slacky non usi https. Infatti, scroccando la rete wireless io sniffo, ma se qualcuno se ne accorge nessuno gli impedisce di sniffare i miei pacchetti a sua volta, e quando mi loggo su slacky...
Vabbuò ma i windows-iani non se ne accorgeranno mai della mia presenza :).

Spina
Avatar utente
targzeta
Iper Master
Iper Master
 
Messaggi: 6142
Iscritto il: gio nov 03, 2005 14:05
Località: Carpignano Sal. (LE) <-> Pisa
Nome Cognome: Emanuele Tomasi
Slackware: current
Kernel: latest stable
Desktop: IceWM

Precedente

Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 1 ospite