Snifingas

[GODhack]

Konkurencija spaudzia ir Mr. X sake, kad reik daugiau tekstu tai nusprendziau ir siandien dar atskleit savo paslapciu.

`````

Jei jau ruosiaties cia skaityt tikiuos pazystat kas yra sniferis ir esat toki iranki pagrajine ir zinot jo galia ir dar turit gera suvokima portai, paketai... zodziu kaip vek intikas. Cia aptarsiu kiek rimtesnius snifijimo metodus tokius kaip "ARP spoofing" ir gal kitus kelius MitM ataku.

Pirmiausia reik irankiu:
1)Ettercap
http://ettercap.sourceforge.net/
2)Ethereal
http://www.ethereal.com/
3)Sniphere(nebutina, bet man jis patinka)
http://www.securesphere.net/html/projects_sniphere.php
Zinau kad jus mazi tinginukai, tai daviau su linkais kur siustis.

Na ko gero jus paimat atsisedat ethernete isijugiant Sniphere ir visa telneto sesija jum kaip ant delno, tai labai linksma, bet kartais nieko nesigauna. O nesigauna del "swichu" "svichai" nera hakeriu draugai jie leidzia klausytis tik
tai masinai kuriai ir priklauso klausytis. Taip nesazininga, bet nenusiminkit,
musu hakeriu neisdurs kaskoks swichas-bichas ane? Bebejo galetume ji abdirbt su byta, bet yra ir svaresniu budu. Apie juos ir papasakosiu.

ARP spofing'as tai technika kurios pasekoje galima isdurt taikinio masina, kad ji siustu paketus per jusu masina ir to pasekoje bus ne tik lago bet ir galimybe snifint. Tarkim du kompai sau palaiko rysi per swicha ju duomenys:
1) IP: 192.168.1.1
Hw: 00:00:00:00:00:01
2) IP: 192.168.1.100
Hw: 00:00:00:00:00:02

O mes sedim lokaliai prie masinos su adresu:
192.168.1.121
00:00:00:00:00:03

Ir krapstom nosi, prie nieko nerodancio sniphere. Bet kad nebutu behakijant tik pirstas nulaustas, tai geriau ziurim i ARP lenteles auku masinu:
T1(terminals viens)
192.168.1.100 00:00:00:00:00:02
192.168.1.123 00:00:00:00:00:14

T2
192.168.1.1 00:00:00:00:00:01
192.168.1.123 00:00:00:00:00:14

Gerai tai kad musu blogietis swicas parisa tik MAC adresus. Tagi mum tik reiks tep sumaut lenteles kad kiekvienam pakete butu nesamas musu masinos MAC adresas ir to peasekoje swichas bus isdurtas ir viska sius mum.

NZN ar cia ka supratot manau isaiskes kai pamatyst kokios lenteles tures but po atakos:

T1
192.168.1.100 00:00:00:00:00:03
192.168.1.123 00:00:00:00:00:14

T2
192.168.1.1 00:00:00:00:00:03
192.168.1.123 00:00:00:00:00:14

Kur 00:00:00:00:00:03 yra MAC adresas musu. Vat tep. Dar mes turim nepamirst ijungt "IP_forawarding" nes jei to nepadarysim rysys tap auku bus
susiktas. Ko gero jum jau kyla klausimas kaip tas lenteles pakeist?
o viskas gan paprasta: yra toks ARP protokolas, kuris turi dvieju rusiu paketus. "ARP request" ir "ARP reply". Nesigilinjant per daug ARP reqest tai:
"Kas turi Ip toki ir anoki?"
ARP reply tai:
"Cia mano IP ir mano mac yra toks ir anoks."
Klausianti masina isiraso IP ir MAC i ARP table. Jei turit kosytes jau supratot ka cia darysim. Siusim "ARP reply". Knisim prota jei liaudiskai sakant. Labai gerai kad dauguma OS myli ir priima visus "ARP reply", net jei jos nieko ir neklause. Man yra teke girdet kad "SunOS" operacine yra ne tokia buka ir nepriima arp reply jei nebuvo isiuntusi arprequoesto. Bet kadangi jusu aukos ko gero bus windowsai ir gal linuxai, o "sunos" nesutiksit del mazo paplitimo, tai del to nereik jaudintis.


Na gana paistalu jauciu jau nusibodo imamies reikalo.
1)Pirmiausia mum reik swicho IP. NMAP OS detekcija dazniausias metodas tam suzinot, bet galima ir kitaip.

2)susizinom per kokius rauterius viskas eina.
Tarkim situacija tokia:

R1(rauteriai)
192.168.1.1
00:00:00:00:00:01

R2
192.168.1.2
00:00:00:00:00:04

Swichas
192.168.1.100
00:00:00:00:00:02

As
192.168.1.121
00:00:00:00:00:03

Viskas vienam subnete. Ir rysis eina aukstyn-zemyn pagal surasyma. (R-S-As). Mum reik pakeist truputka kad butu(R-As-S).
Taig reik:
1)192.168.1.2 pasakyt, kad 192.168.1.100 turi MAC 00:00:00:00:00:03
2)192.168.1.100 pasakyt, kad 192.168.1.1 turi MAC 00:00:00:00:00:03
Jei sedit linue tai tep veikiat:
Pirma foravardinimas ON:
echo 1 >/proc/sys/net/ipv4/ip_forward
Kad ijungtume spoofijima paleidziam ettercap'a:
ettercap -o -T repoison_arp -M arp:remonte /192.168.1.100/ /192.168.1-2/
-o tik spofija be snifijimo.
-T textinis rezimas
-P ijugia plugina kuris pakartotijai nuodija.
-M pradeda MitM ataka.


Dabar liko tik snifint:
#tethereal -afilesize:100000 -w /tmp/cisco.pcap -f "host 192.168.100 and not arp and not icmp"
-afilesize:100000 - limituoja faila iki 100Mb
-w /tmp/cisco.pcap - filo direktorija kur isaugoti
-f "host 192.168.100 and not arp and not icmp" - filtras kad atsikratyt nesvarbiu paketu.

GL HF.
/uzkaitau jau rasyt pabaiga/

[Xgreem]

Saunus tekstas.

[mrg]

Tai va pradesiu viska nuo pradziu. Tadien uzsimaniau snifint kelis lano pc su CAIN, pirma karta kai bandziau daryti buvo sugaudyti keli pass ir kiti duomenys. Pabandziau ir si karta, isijungiau sukonfiguravau, nors ten ir ne per daug ka reikejo daryti ir pradejau ARP technologija snifint. Po kiek laiko pradejo rasyt "packet lost", pamaniau gal ugniasiene blokuoja, bet ir ne ji kalta. Atsiminiau, kad antrakarta kai bandziau ta pati irgi tas pats buvo. Netas buvo nutrauktas si ir praeita karta, tik tada nebuvau tuo isitikines. Atvykus kompiuteristui pranese kad buvo keistas ip, nors tikrai to nebuvo O kai buvo atjungtas netas iejus i browseri ismete standartini neto tiekejo puslapi, kuriame parase uz ka atjungtas netas: uz nesumoketus mokescius arba uz tinklo konfiguracijos pakeitimus (ip keitimas). Ar gali buti kad sudetos apsaugos kurios neleistu snifint? Ar galima tai apeiti?

[brain5ide]

Tiekėjas fiksavo tavo siunčiamas ARP užkllausas, o sniffinimas, jeigu esi komutuojamame inkle, vygdomas remiantis būtent šiomis ARP užklausomis. ARP - adress resolution protocol - tai protokolas, kurio dėka kompiuteris, siųsdamas paketus sužino gavėjo fizinį adresą, pasinaudodamas šiomis užklausomis. Na o kadangi bandei sniffinti tarp tiekėjo ir kliento(butent išėjimą į internetą), tiekėjas galėjo registruoti tavo užklausas ir taip aptikti sniffinimą. Jeigu tu pakeistum savo techninę įrangą(arba bent jau jos MAC adresą, tai šią problemą pavyktų išspręsti, kadangi tiekėjas turi lentelę su susietais klientų MAC ir IP adresais.

[mrg]

O tarkim noreciau keist savo pc mac adresa, tik nzn ar pakenktu sistemai jei esu lane? Ir koki mac adresa pasirinkt? Pagal ka orentuotis renkantis? Ar ISP gali man uz mac adreso pakeitima uzblokuoti neta?

[brain5ide]

MAC adreso pakeitimas įrenginiui - tik teorinė galimybė. Kiekviena tinklo sąsaja turi nekeičiamą MAC adresą. Tau norint pasikeisti savo MAC adresą reikia nusipirkti naują tinklo plokštę.

[lu]

Tinklo plokštei mac adresą gali pakeisti programiškai. Daug interneto tiekėjų pririša ip prie mac'o, todėl jį pakeitęs interneto nebeturėsi.

[brain5ide]

Nu kaip čia pasakius, jeigu išorėje yra modemas, tai keisk tu tą plokštės MAC'ą nekeitęs.

[lu]

Nu tai aš turėjau omeny tokį atvejį, kai galinė įranga (į kurią paduodamas internetas pirmiausia) yra tinklo plokštė, o ne kažkoks modemas.

[mrg]

O tai ka man pasiulysite daryti? Nejau atsisakyti snifinimo? Nete radau info kaip pakeist mac galeciau ir programu pagalba ir per registra, o ka jus darytumete mano vietoje?

[brain5ide]

Na tiekėja nėra labai žioplas, jeigu gaudo ARP spoofinimą. Tokiu atveju tu gali sniffinti tik tarp kompiuterių, kurie nepriklauso tiekėjui(t.y. gateway'aus neliesk), o sniffink tik tarp klientų. Tokios atakos tiekėjas neturėtų pastebėti. Tokių dalykų apėjimo būdų dar neesu matęs(nes aš nedaug matęs).

[lu]

Matosi ir toks sniffinimas, aš tokiem uzeriam nagus kapoju.

[brain5ide]

O tai kaip realiai? Tokiu atveju swtchas turėtų sekti viską. O jeigu imtumėm paprastutį neprogramuojamą, nevaldomą switchą už 50 LT?

[lu]

Negaliu pasakyti tikslei, pas mane visas tinklas ant HP valdomu smart'ų. Bet kiek pamenu linux'ui skirtas arpwatch puikiai pagaudavo arp spoofingą.

[brain5ide]

Bet žiūrėk, pagal protokolą taip neturėtų gautis. Gi ARP siunti tik tarp 2 klientų PC, kurie neturi nieko bendro su IPT PC. Užklausos persiunčiamos tiesiogiai ir ne broadcastinamos.