Snifingas
Konkurencija spaudzia ir Mr. X sake, kad reik daugiau tekstu tai nusprendziau ir siandien dar atskleit savo paslapciu.
`````
Jei jau ruosiaties cia skaityt tikiuos pazystat kas yra sniferis ir esat toki iranki pagrajine ir zinot jo galia ir dar turit gera suvokima portai, paketai... zodziu kaip vek intikas. Cia aptarsiu kiek rimtesnius snifijimo metodus tokius kaip "ARP spoofing" ir gal kitus kelius MitM ataku.
Pirmiausia reik irankiu:
1)Ettercap
http://ettercap.sourceforge.net/
2)Ethereal
http://www.ethereal.com/
3)Sniphere(nebutina, bet man jis patinka)
http://www.securesphere.net/html/projects_sniphere.php
Zinau kad jus mazi tinginukai, tai daviau su linkais kur siustis.
Na ko gero jus paimat atsisedat ethernete isijugiant Sniphere ir visa telneto sesija jum kaip ant delno, tai labai linksma, bet kartais nieko nesigauna. O nesigauna del "swichu" "svichai" nera hakeriu draugai jie leidzia klausytis tik
tai masinai kuriai ir priklauso klausytis. Taip nesazininga, bet nenusiminkit,
musu hakeriu neisdurs kaskoks swichas-bichas ane? Bebejo galetume ji abdirbt su byta, bet yra ir svaresniu budu. Apie juos ir papasakosiu.
ARP spofing'as tai technika kurios pasekoje galima isdurt taikinio masina, kad ji siustu paketus per jusu masina ir to pasekoje bus ne tik lago bet ir galimybe snifint. Tarkim du kompai sau palaiko rysi per swicha ju duomenys:
1) IP: 192.168.1.1
Hw: 00:00:00:00:00:01
2) IP: 192.168.1.100
Hw: 00:00:00:00:00:02
O mes sedim lokaliai prie masinos su adresu:
192.168.1.121
00:00:00:00:00:03
Ir krapstom nosi, prie nieko nerodancio sniphere. Bet kad nebutu behakijant tik pirstas nulaustas, tai geriau ziurim i ARP lenteles auku masinu:
T1(terminals viens)
192.168.1.100 00:00:00:00:00:02
192.168.1.123 00:00:00:00:00:14
T2
192.168.1.1 00:00:00:00:00:01
192.168.1.123 00:00:00:00:00:14
Gerai tai kad musu blogietis swicas parisa tik MAC adresus. Tagi mum tik reiks tep sumaut lenteles kad kiekvienam pakete butu nesamas musu masinos MAC adresas ir to peasekoje swichas bus isdurtas ir viska sius mum.
NZN ar cia ka supratot manau isaiskes kai pamatyst kokios lenteles tures but po atakos:
T1
192.168.1.100 00:00:00:00:00:03
192.168.1.123 00:00:00:00:00:14
T2
192.168.1.1 00:00:00:00:00:03
192.168.1.123 00:00:00:00:00:14
Kur 00:00:00:00:00:03 yra MAC adresas musu. Vat tep. Dar mes turim nepamirst ijungt "IP_forawarding" nes jei to nepadarysim rysys tap auku bus
susiktas. Ko gero jum jau kyla klausimas kaip tas lenteles pakeist?
o viskas gan paprasta: yra toks ARP protokolas, kuris turi dvieju rusiu paketus. "ARP request" ir "ARP reply". Nesigilinjant per daug ARP reqest tai:
"Kas turi Ip toki ir anoki?"
ARP reply tai:
"Cia mano IP ir mano mac yra toks ir anoks."
Klausianti masina isiraso IP ir MAC i ARP table. Jei turit kosytes jau supratot ka cia darysim. Siusim "ARP reply". Knisim prota jei liaudiskai sakant. Labai gerai kad dauguma OS myli ir priima visus "ARP reply", net jei jos nieko ir neklause. Man yra teke girdet kad "SunOS" operacine yra ne tokia buka ir nepriima arp reply jei nebuvo isiuntusi arprequoesto. Bet kadangi jusu aukos ko gero bus windowsai ir gal linuxai, o "sunos" nesutiksit del mazo paplitimo, tai del to nereik jaudintis.
Na gana paistalu jauciu jau nusibodo imamies reikalo.
1)Pirmiausia mum reik swicho IP. NMAP OS detekcija dazniausias metodas tam suzinot, bet galima ir kitaip.
2)susizinom per kokius rauterius viskas eina.
Tarkim situacija tokia:
R1(rauteriai)
192.168.1.1
00:00:00:00:00:01
R2
192.168.1.2
00:00:00:00:00:04
Swichas
192.168.1.100
00:00:00:00:00:02
As
192.168.1.121
00:00:00:00:00:03
Viskas vienam subnete. Ir rysis eina aukstyn-zemyn pagal surasyma. (R-S-As). Mum reik pakeist truputka kad butu(R-As-S).
Taig reik:
1)192.168.1.2 pasakyt, kad 192.168.1.100 turi MAC 00:00:00:00:00:03
2)192.168.1.100 pasakyt, kad 192.168.1.1 turi MAC 00:00:00:00:00:03
Jei sedit linue tai tep veikiat:
Pirma foravardinimas ON:
echo 1 >/proc/sys/net/ipv4/ip_forward
Kad ijungtume spoofijima paleidziam ettercap'a:
ettercap -o -T repoison_arp -M arp:remonte /192.168.1.100/ /192.168.1-2/
-o tik spofija be snifijimo.
-T textinis rezimas
-P ijugia plugina kuris pakartotijai nuodija.
-M pradeda MitM ataka.
Dabar liko tik snifint:
#tethereal -afilesize:100000 -w /tmp/cisco.pcap -f "host 192.168.100 and not arp and not icmp"
-afilesize:100000 - limituoja faila iki 100Mb
-w /tmp/cisco.pcap - filo direktorija kur isaugoti
-f "host 192.168.100 and not arp and not icmp" - filtras kad atsikratyt nesvarbiu paketu.
GL HF.
/uzkaitau jau rasyt pabaiga/
`````
Jei jau ruosiaties cia skaityt tikiuos pazystat kas yra sniferis ir esat toki iranki pagrajine ir zinot jo galia ir dar turit gera suvokima portai, paketai... zodziu kaip vek intikas. Cia aptarsiu kiek rimtesnius snifijimo metodus tokius kaip "ARP spoofing" ir gal kitus kelius MitM ataku.
Pirmiausia reik irankiu:
1)Ettercap
http://ettercap.sourceforge.net/
2)Ethereal
http://www.ethereal.com/
3)Sniphere(nebutina, bet man jis patinka)
http://www.securesphere.net/html/projects_sniphere.php
Zinau kad jus mazi tinginukai, tai daviau su linkais kur siustis.
Na ko gero jus paimat atsisedat ethernete isijugiant Sniphere ir visa telneto sesija jum kaip ant delno, tai labai linksma, bet kartais nieko nesigauna. O nesigauna del "swichu" "svichai" nera hakeriu draugai jie leidzia klausytis tik
tai masinai kuriai ir priklauso klausytis. Taip nesazininga, bet nenusiminkit,
musu hakeriu neisdurs kaskoks swichas-bichas ane? Bebejo galetume ji abdirbt su byta, bet yra ir svaresniu budu. Apie juos ir papasakosiu.
ARP spofing'as tai technika kurios pasekoje galima isdurt taikinio masina, kad ji siustu paketus per jusu masina ir to pasekoje bus ne tik lago bet ir galimybe snifint. Tarkim du kompai sau palaiko rysi per swicha ju duomenys:
1) IP: 192.168.1.1
Hw: 00:00:00:00:00:01
2) IP: 192.168.1.100
Hw: 00:00:00:00:00:02
O mes sedim lokaliai prie masinos su adresu:
192.168.1.121
00:00:00:00:00:03
Ir krapstom nosi, prie nieko nerodancio sniphere. Bet kad nebutu behakijant tik pirstas nulaustas, tai geriau ziurim i ARP lenteles auku masinu:
T1(terminals viens)
192.168.1.100 00:00:00:00:00:02
192.168.1.123 00:00:00:00:00:14
T2
192.168.1.1 00:00:00:00:00:01
192.168.1.123 00:00:00:00:00:14
Gerai tai kad musu blogietis swicas parisa tik MAC adresus. Tagi mum tik reiks tep sumaut lenteles kad kiekvienam pakete butu nesamas musu masinos MAC adresas ir to peasekoje swichas bus isdurtas ir viska sius mum.
NZN ar cia ka supratot manau isaiskes kai pamatyst kokios lenteles tures but po atakos:
T1
192.168.1.100 00:00:00:00:00:03
192.168.1.123 00:00:00:00:00:14
T2
192.168.1.1 00:00:00:00:00:03
192.168.1.123 00:00:00:00:00:14
Kur 00:00:00:00:00:03 yra MAC adresas musu. Vat tep. Dar mes turim nepamirst ijungt "IP_forawarding" nes jei to nepadarysim rysys tap auku bus
susiktas. Ko gero jum jau kyla klausimas kaip tas lenteles pakeist?
o viskas gan paprasta: yra toks ARP protokolas, kuris turi dvieju rusiu paketus. "ARP request" ir "ARP reply". Nesigilinjant per daug ARP reqest tai:
"Kas turi Ip toki ir anoki?"
ARP reply tai:
"Cia mano IP ir mano mac yra toks ir anoks."
Klausianti masina isiraso IP ir MAC i ARP table. Jei turit kosytes jau supratot ka cia darysim. Siusim "ARP reply". Knisim prota jei liaudiskai sakant. Labai gerai kad dauguma OS myli ir priima visus "ARP reply", net jei jos nieko ir neklause. Man yra teke girdet kad "SunOS" operacine yra ne tokia buka ir nepriima arp reply jei nebuvo isiuntusi arprequoesto. Bet kadangi jusu aukos ko gero bus windowsai ir gal linuxai, o "sunos" nesutiksit del mazo paplitimo, tai del to nereik jaudintis.
Na gana paistalu jauciu jau nusibodo imamies reikalo.
1)Pirmiausia mum reik swicho IP. NMAP OS detekcija dazniausias metodas tam suzinot, bet galima ir kitaip.
2)susizinom per kokius rauterius viskas eina.
Tarkim situacija tokia:
R1(rauteriai)
192.168.1.1
00:00:00:00:00:01
R2
192.168.1.2
00:00:00:00:00:04
Swichas
192.168.1.100
00:00:00:00:00:02
As
192.168.1.121
00:00:00:00:00:03
Viskas vienam subnete. Ir rysis eina aukstyn-zemyn pagal surasyma. (R-S-As). Mum reik pakeist truputka kad butu(R-As-S).
Taig reik:
1)192.168.1.2 pasakyt, kad 192.168.1.100 turi MAC 00:00:00:00:00:03
2)192.168.1.100 pasakyt, kad 192.168.1.1 turi MAC 00:00:00:00:00:03
Jei sedit linue tai tep veikiat:
Pirma foravardinimas ON:
echo 1 >/proc/sys/net/ipv4/ip_forward
Kad ijungtume spoofijima paleidziam ettercap'a:
ettercap -o -T repoison_arp -M arp:remonte /192.168.1.100/ /192.168.1-2/
-o tik spofija be snifijimo.
-T textinis rezimas
-P ijugia plugina kuris pakartotijai nuodija.
-M pradeda MitM ataka.
Dabar liko tik snifint:
#tethereal -afilesize:100000 -w /tmp/cisco.pcap -f "host 192.168.100 and not arp and not icmp"
-afilesize:100000 - limituoja faila iki 100Mb
-w /tmp/cisco.pcap - filo direktorija kur isaugoti
-f "host 192.168.100 and not arp and not icmp" - filtras kad atsikratyt nesvarbiu paketu.
GL HF.
/uzkaitau jau rasyt pabaiga/
Nepatikti blogiems - girtinas dalykas. SENEKA
__________________________________________
progenic.com
library.2ya.com
__________________________________________
progenic.com
library.2ya.com
Tai va pradesiu viska nuo pradziu. Tadien uzsimaniau snifint kelis lano pc su CAIN, pirma karta kai bandziau daryti buvo sugaudyti keli pass ir kiti duomenys. Pabandziau ir si karta, isijungiau sukonfiguravau, nors ten ir ne per daug ka reikejo daryti ir pradejau ARP technologija snifint. Po kiek laiko pradejo rasyt "packet lost", pamaniau gal ugniasiene blokuoja, bet ir ne ji kalta. Atsiminiau, kad antrakarta kai bandziau ta pati irgi tas pats buvo. Netas buvo nutrauktas si ir praeita karta, tik tada nebuvau tuo isitikines. Atvykus kompiuteristui pranese kad buvo keistas ip, nors tikrai to nebuvo O kai buvo atjungtas netas iejus i browseri ismete standartini neto tiekejo puslapi, kuriame parase uz ka atjungtas netas: uz nesumoketus mokescius arba uz tinklo konfiguracijos pakeitimus (ip keitimas). Ar gali buti kad sudetos apsaugos kurios neleistu snifint? Ar galima tai apeiti?
Tiekėjas fiksavo tavo siunčiamas ARP užkllausas, o sniffinimas, jeigu esi komutuojamame inkle, vygdomas remiantis būtent šiomis ARP užklausomis. ARP - adress resolution protocol - tai protokolas, kurio dėka kompiuteris, siųsdamas paketus sužino gavėjo fizinį adresą, pasinaudodamas šiomis užklausomis. Na o kadangi bandei sniffinti tarp tiekėjo ir kliento(butent išėjimą į internetą), tiekėjas galėjo registruoti tavo užklausas ir taip aptikti sniffinimą. Jeigu tu pakeistum savo techninę įrangą(arba bent jau jos MAC adresą, tai šią problemą pavyktų išspręsti, kadangi tiekėjas turi lentelę su susietais klientų MAC ir IP adresais.
Never argue with an idiot. They bring you down to their level and beat you with experience.
Na tiekėja nėra labai žioplas, jeigu gaudo ARP spoofinimą. Tokiu atveju tu gali sniffinti tik tarp kompiuterių, kurie nepriklauso tiekėjui(t.y. gateway'aus neliesk), o sniffink tik tarp klientų. Tokios atakos tiekėjas neturėtų pastebėti. Tokių dalykų apėjimo būdų dar neesu matęs(nes aš nedaug matęs).
Never argue with an idiot. They bring you down to their level and beat you with experience.
Dabar prisijungę
Vartotojai naršantys šį forumą: 2 ir 0 svečių