arp statica e sniffing
Moderatore: Staff
Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Specificare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.
La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Specificare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.
La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.
in breve in quanto il discorso sarebbe molto piu ampio:
il promiscus mode consiste nel fatto che lo strato di software a layer 2 quando gli arriva un pacchetto destinato ad un altro host invece di scartarlo lo passa comunque al livello 3.
non considerare una rete switchata considera invece il caso di una classica ethernet collegata ad un hub quando l'hub riceve un pacchetto su una delle sue porte questo lo inoltra su tutte le altre il che vuol dire che tutti gli host della rete riceveranno il traffico di tutti gli altri ecco quindi la necessita di avere un indirizzo di layer 2 (mac address) che consente agli host di scartare tutti i pacchetti che non sono destinati a loro e di inoltrare agli strati superiori i pacchetti di cui sono i legittimi destinatari.
in ogni caso comunque il livello 2 deve esaminare tutti i pacchetti che passano sul cavo per sapere quali sono destinati a lui e quali no .
se metti la scheda in promiscus mode elimini questo filtro ed la tua scheda passera agli strati superiori dello stack tcp/ip tutti i pacchetti che passano lungo il cavo .
il promiscus mode consiste nel fatto che lo strato di software a layer 2 quando gli arriva un pacchetto destinato ad un altro host invece di scartarlo lo passa comunque al livello 3.
non considerare una rete switchata considera invece il caso di una classica ethernet collegata ad un hub quando l'hub riceve un pacchetto su una delle sue porte questo lo inoltra su tutte le altre il che vuol dire che tutti gli host della rete riceveranno il traffico di tutti gli altri ecco quindi la necessita di avere un indirizzo di layer 2 (mac address) che consente agli host di scartare tutti i pacchetti che non sono destinati a loro e di inoltrare agli strati superiori i pacchetti di cui sono i legittimi destinatari.
in ogni caso comunque il livello 2 deve esaminare tutti i pacchetti che passano sul cavo per sapere quali sono destinati a lui e quali no .
se metti la scheda in promiscus mode elimini questo filtro ed la tua scheda passera agli strati superiori dello stack tcp/ip tutti i pacchetti che passano lungo il cavo .
Ultima modifica di kobaiachi il sab 27 gen 2007, 16:57, modificato 1 volta in totale.
- masalapianta
- Iper Master
- Messaggi: 2775
- Iscritto il: lun 25 lug 2005, 0:00
- Nome Cognome: famoso porco
- Kernel: uname -r
- Desktop: awesome
- Distribuzione: Debian
- Località: Roma
- Contatta:
irrilevante, comunque puo' non dipendere dallo switch_NYTRO_ ha scritto:Se rileggi sopra, capirai che mi riferivo alla topologia di rete!masalapianta ha scritto:questo non e' vero, puo' dipendere dallo switch nel caso si stia avvelenando la sua tabella cam (mac flooding), se invece si stanno avvelenando le arp cache di alcuni host (arp poisoning) lo switch non c'entra nulla_NYTRO_ ha scritto:Non dipende dalla rete, dipende dallo switch!!!
Ovviamente puoi agire tramite le ARP table degli altri host, ma non di certo dipende da come sono posizionati.
non ti devi mica scusare,non e' una gara a chi ne sa di piu'; semplicemente quando uno scrive una cosa non esatta viene corretto sia per dirgli come stanno effettivamente le cose e sia per non farcredere a chi legge che quell'inesattezza e' esattaPer questa caxxata mi sono già scusato..masalapianta ha scritto:anche questo non e' vero, la tabella cam contiene le associazioni tra mac address e porta dello switch (l'ip non c'entra nulla);_NYTRO_ ha scritto:Infatti alcuni switch, quelli di fascia alta, hanno delle protezioni dedicate a questo scopo.
In pratica, nello switch c'è una tabella ARP(CAM Table) che associa IP e MAC ma essendo "trasparente" impara man man che arrivano i pack..
quello dipende da come e' fatto lo switch, non puoi farci affidamento, mentre l'arp poisoning e cam poisoning funzionano sempre (a patto che gli host non siano configurati con arp cache statiche e lo switch configurato con cam table statica) a prescindere dall'implementazione dello switch; in sostanza con arp poisoning e cam poisoning sfrutti una debolezza di protocollo mentre cercando di far "impallare" lo switch semplicemente sfrutti un'implementazione a membro di cane dello switchOk, ma dandoci sotto c'è anche il caso "switch impallato" che inizia a mandare broadcast..masalapianta ha scritto:infatti uno degli attacchi per far mitm o sniffing su lan switchata consiste proprio nell'avvelenare la tabella cam dello switch con pacchetti forgiati con mac address sorgente spoofato; questo (se si riesce a generare sufficiente traffico da vincere la contesa con l'host che ha il mac che stiamo spoofando) permette di far si che lo switch inoltri sulla porta cui e' connesso l'attaccante tutti i pacchetti destinati a quel mac address; in questo modo possiamo sniffare;
uh? mica e' un segreto, semplicemente quando un'interfaccia e' in promiscuos mode la scheda anziche' droppare tutti i pacchetti che arrivano ad essa e che hanno mac di destinazione diverso dal mac della scheda stessa, li accoda passandoli al kernel
Sì..
Tu sai dirmi nel dettaglio in cosa consiste il "promiscuous mode" ?!
- masalapianta
- Iper Master
- Messaggi: 2775
- Iscritto il: lun 25 lug 2005, 0:00
- Nome Cognome: famoso porco
- Kernel: uname -r
- Desktop: awesome
- Distribuzione: Debian
- Località: Roma
- Contatta:
dipende dalla scheda (non e' una cosa che avviene a livello del OS ma e' implementato direttamente nel hardware della scheda); in generale quando una scheda riceve un pacchetto, controlla il mac di destinazione, se non coincide col suo lo scarta altrimenti lo scrive in un buffer della scheda e genera un interrupt, il kernel a quel punto sa che e' arrivata nuova roba alla scheda e prima o poi se la va a prendere; se la scheda e'configurata in promiscuos mode fa la stessa cosa ma senza effettuare un controllo sul mac e quindi senza scartare nulla_NYTRO_ ha scritto:E' la prima parte(e il discorso più ampio) che mi interessa..
Volevo sapere come viene effettuato in termini pratici.
Grazie.
Ohhhhh, grazie mille!!!masalapianta ha scritto:dipende dalla scheda (non e' una cosa che avviene a livello del OS ma e' implementato direttamente nel hardware della scheda); in generale quando una scheda riceve un pacchetto, controlla il mac di destinazione, se non coincide col suo lo scarta altrimenti lo scrive in un buffer della scheda e genera un interrupt, il kernel a quel punto sa che e' arrivata nuova roba alla scheda e prima o poi se la va a prendere; se la scheda e'configurata in promiscuos mode fa la stessa cosa ma senza effettuare un controllo sul mac e quindi senza scartare nulla
Quindi + che altro la differenza(tra normal e promiscuous) è a livello di hardware?!
Era questo che volevo sapere..
Grazie ancora e scusare l'OT..
Allora ho fatto così:Meskalamdug ha scritto: Avvia ettercap
avvia unified sniffing e scegli l'interfaccia di rete
fai uno scan della tua rete
avvia target aggiungi il tuo ip
avvia "start sniffing"
avvia mitm arp poisoning(spunta entrambe le opzioni)
Adesso osserva il menù in basso
quando apri il client e leggi la posta
oppure quando ti colleghi a un sito come questo
Ciao
-dalla console mi loggo come root e lancio ettercap -G
- click su sniff --> unified sniffing --> scelgo eth0 e clicco ok
- click su hosts --> scan for hosts
- click su target --> current target mi appaiono target 1 e target2...su target 1 faccio add e metto il mio ip 192.168.0.2
- click su start --> start sniffing
- click su Mitm --> arp poisoning --> spunto entrambe le caselle
- apro thunderbird, firefox ecc...
- guardo sotto e non c'è nulla
Codice: Seleziona tutto
ARP poisoning victims:
GROUP 2 : ANY (all the hosts in the list)
-
- Iper Master
- Messaggi: 3961
- Iscritto il: ven 14 mag 2004, 0:00
Re: arp statica e sniffing
"Ora sai anche perchè è preferibli usare il protocollo ssh a quello ftp "spina ha scritto:Meskalamdug ha scritto:...
Con grande dolore ho scoperto che in 4 mosse
si possono sniffare tutti i pacchetti..
Tutto il traffico si può sniffare. In una rete locale l'unica è di avere uno switch che indirizza i pacchetti solo ed esclusivamente sulla macchina destinataria.
E sulle wireless....non c'è verso, se cripti i pacchetti forse.... ecco perchè https va bene. Bada che non c'è modo di non far arrivare i pacchetti ad altri, solo che se cripti i pacchetti le chiavi non viaggiano in chiaro.
Ora sai anche perchè è preferibli usare il protocollo ssh a quello ftp
Scusami, altrimenti noi poveri mortali come faremmo a scroccare la rete internet?
Spina
Ma va?
Io ftp meno lo uso e meglio sto
ma in italia nessuno usa sftp o ssh
per farti caricare i files
Scusate ora mi dà SEND L3 ERROR:
Che significa ??
Codice: Seleziona tutto
SEND L3 ERROR: 641 byte packet (0800:06) destined to 209.85.135.147 was not forwarded (libnet_write_raw_ipv4(): -1 bytes written (Operation not permitted)
- targzeta
- Iper Master
- Messaggi: 6631
- Iscritto il: gio 3 nov 2005, 14:05
- Nome Cognome: Emanuele Tomasi
- Slackware: 64-current
- Kernel: latest stable
- Desktop: IceWM
- Località: Carpignano Sal. (LE) <-> Pisa
Re: arp statica e sniffing
Pensa invece che la mia facoltà non ti permette di loggarti in remoto usando ftp o telnet. Solo ssh o scp e anche la posta usa il protocollo web https. Quello che ad esempio mi spiace è che slacky non usi https. Infatti, scroccando la rete wireless io sniffo, ma se qualcuno se ne accorge nessuno gli impedisce di sniffare i miei pacchetti a sua volta, e quando mi loggo su slacky...Meskalamdug ha scritto:...
ma in italia nessuno usa sftp o ssh
per farti caricare i files
Vabbuò ma i windows-iani non se ne accorgeranno mai della mia presenza .
Spina