Sniffing

Postate qui per tutte le discussioni legate alla sicurezza di Linux/Slackware

Moderatore: Staff

Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Specificare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.

La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.
Rispondi
Avatar utente
ghigo
Linux 0.x
Linux 0.x
Messaggi: 28
Iscritto il: mar 5 apr 2005, 0:00
Località: Firenze

Sniffing

Messaggio da ghigo »

Ciao a tutti! vi chiedo consiglio su un problema di rete. Nella mia rete Lan c'è un client che esonda di traffico tutta la rete, bloccando l'accesso a internet (una specie di attacco DoS). Questo client ha Windows, ma non riesco a capire COSA stia trasmettendo. Staccandogli il cavo ethernet la rete riprende a funzionare, e il router ricomincia a inoltrare per bene i pacchetti. Quello che volevo sapere è se potete spiegarmi come sniffare il traffico sulla mia rete Lan (ethernet 10/100), con quale programma, dato che i pacchetti sono inviati a tutti dovrei capire cosa trasmette (e a chi) quel client.
Ho provato TCPDump, ma controlla solo i pacchetti della macchina sul quale è installato!
Grazie mille!

Tengo a precisare che non volgio fare niente di illegale, la rete è quella mia casalinga.

Avatar utente
zzt
Linux 2.x
Linux 2.x
Messaggi: 249
Iscritto il: lun 7 mar 2005, 0:00

Messaggio da zzt »

Puoi usare ethereal... ma il tuo problema credo che sia che stai sniffando da uno switch. Se è così sulla porta relativa alla macchina che sniffa a arriva solo il traffico di questa macchina e non quello di tutta la rete.

O sniffi su un hub o sniffi sul router...

Avatar utente
aLe46
Linux 2.x
Linux 2.x
Messaggi: 257
Iscritto il: gio 10 feb 2005, 0:00
Contatta:

Messaggio da aLe46 »

Dipende da come è fatta la tua rete (segmentata o no).
Con rete non segmentata basta mettere l'interfaccia in modalità promiscua , su rete segmentata potresti usare l'ARP CACHE POISONING o impostare una porta di mirror sullo switch .


Saluti :D

Avatar utente
ghigo
Linux 0.x
Linux 0.x
Messaggi: 28
Iscritto il: mar 5 apr 2005, 0:00
Località: Firenze

Messaggio da ghigo »

ho una topologia un pò strana, in effetti:

router collegato ad uno switch, insieme ad altri 2 computer. Allo switch è collegato un hub. a cui sono collegati altri due computer.

L'host incriminato è uno dei computer collegati all'hub.

Questo macello è stato fatto per motivi di compatibilità elettrica fra i componenti della rete (in particolare router e hub, roba da non credere). Sono sicurissimo della involontarietà del danno prodotto (si tratta del computer di mio padre) ma credo si sia beccato qualche programma maligno che ora fa macello nella nostra rete.
Per andare a pescare le trasmissioni di questo host dovrei scavalcare lo switch, quindi? Ci sono programmi che implementano il processo? non importa se devo mettere mano al codice o se il programma non è user-friendly, basta risolva il problema!
Grazie ancora

Avatar utente
sid77
Linux 3.x
Linux 3.x
Messaggi: 568
Iscritto il: mer 1 giu 2005, 0:00
Slackware: 12.0/12.1/curr (ppc)
Località: PowerPC
Contatta:

Messaggio da sid77 »

http://ettercap.sourceforge.net/

ed è pure programmato da due italiani! :D

Avatar utente
linus.bash
Linux 3.x
Linux 3.x
Messaggi: 976
Iscritto il: ven 10 feb 2006, 12:58
Località: Bologna
Contatta:

Messaggio da linus.bash »

sid77 ha scritto:http://ettercap.sourceforge.net/

ed è pure programmato da due italiani! :D
quoto io usandolo nella mia azianda so tutto di tutti... :D

ciaspola
Linux 0.x
Linux 0.x
Messaggi: 5
Iscritto il: ven 10 mar 2006, 11:46
Località: torino
Contatta:

Messaggio da ciaspola »

tcpdump con un portatile sull'hub dato che il pc incriminato e' attaccato all'hub come prima cosa ...

se non basta c'e' ettercap come diceva qualcun'altro qualche post + in su ma bisogna andarci un po' cauti perche' su alcuni switch managed ho avuto dei problemi (non a ettercap, allo switch ...)

comunque x esperienza personale (mi e' successo di recente) in casi simili si tratta sempre di un worm/virus o simile schifezza uindoziana ...

Avatar utente
ghigo
Linux 0.x
Linux 0.x
Messaggi: 28
Iscritto il: mar 5 apr 2005, 0:00
Località: Firenze

Messaggio da ghigo »

Prima di tutto grazie a tutti delle informazioni! sono preziosissime, provo subito ettercap, se desse problemi allo switch (di che tipo ne hai avuti, di preciso?) proverò direttamente l'attacco all'hub. Ho già consigliato di pulire windows, comunque :lol: ho pensato anche io fosse qualche schifezza che si è installata lì sopra...

Grazie ancora, vi farò sapere al più presto!

Avatar utente
linus.bash
Linux 3.x
Linux 3.x
Messaggi: 976
Iscritto il: ven 10 feb 2006, 12:58
Località: Bologna
Contatta:

Messaggio da linus.bash »

ghigo ha scritto:Prima di tutto grazie a tutti delle informazioni! sono preziosissime, provo subito ettercap, se desse problemi allo switch (di che tipo ne hai avuti, di preciso?) proverò direttamente l'attacco all'hub. Ho già consigliato di pulire windows, comunque :lol: ho pensato anche io fosse qualche schifezza che si è installata lì sopra...

Grazie ancora, vi farò sapere al più presto!
...attento che c'è dai 10 hai 30anni per la violazione di privacy :arrow: :mrgreen:

Avatar utente
l1q1d
Master
Master
Messaggi: 1862
Iscritto il: lun 21 feb 2005, 0:00
Località: In uno spazio n-dimesionale
Contatta:

Messaggio da l1q1d »

A mio parareil problema è dovuto al fatto che mentre lo swtich redirige i pacchetti solo alla destinazione corretta, l'hub li manda a tutti causando un intasamento della rete. hai provato a collegare il pc incriminato senza l'hub?

Avatar utente
ghigo
Linux 0.x
Linux 0.x
Messaggi: 28
Iscritto il: mar 5 apr 2005, 0:00
Località: Firenze

Messaggio da ghigo »

A mio parareil problema è dovuto al fatto che mentre lo swtich redirige i pacchetti solo alla destinazione corretta, l'hub li manda a tutti causando un intasamento della rete. hai provato a collegare il pc incriminato senza l'hub?
no, non ho provato, ma sembra che mio padre sia riuscito a pulire il suo calcolatore dalle schifezze, e ora gira tranquillo. Ettercap funziona alla grande! Se si ripresenta il problema, prima cazzierò mio padre, poi proverò come dici tu! Può essere una buona idea! L'hub si ferma al livello fisico, magari togliendolo capirei qualcosa in più!
Grazie mille a tutti dell'aiuto!

Avatar utente
ghigo
Linux 0.x
Linux 0.x
Messaggi: 28
Iscritto il: mar 5 apr 2005, 0:00
Località: Firenze

Messaggio da ghigo »

A mio parareil problema è dovuto al fatto che mentre lo swtich redirige i pacchetti solo alla destinazione corretta, l'hub li manda a tutti causando un intasamento della rete. hai provato a collegare il pc incriminato senza l'hub?
no, non ho provato, ma sembra che mio padre sia riuscito a pulire il suo calcolatore dalle schifezze, e ora gira tranquillo. Ettercap funziona alla grande! Se si ripresenta il problema, prima cazzierò mio padre, poi proverò come dici tu! Può essere una buona idea! L'hub si ferma al livello fisico, magari togliendolo capirei qualcosa in più!
Grazie mille a tutti dell'aiuto!

Rispondi