вот поставил Abel&Cain, запускаю на экспериментальном машине, настраиваю arp poisoning, потом с другого компа заходу сайт www.mail.ru (именно его выбрал, т.к. он не использует https). потом введу логин и пароль на этом сайте и происходит авторизация. Но на снифере НЕТ никакого логина и пароля! только логи и IP адреса, Ибо зашифрованние данные показывает.. Можете сказать вся правда о сниферах/спуфингах ? ведь во время http авторизации должен же перехватится регистрационные данные ?
arp-spoofing использует подмену для данного ip-адресса(для адресса сервера и адресса жертвы) твоего MAC-адресса. Для того что бы прослушивать тебе нужно узнать ip-адресс жертвы и его шлюза (может быть и прокси сервера). Для этого тебе потребуються следущиее закладки CAIN`a: "Snifer/Hosts" и "Snifer/ARP", думаю когда нажимать клопки "start snifer" и "start arp" сам разберёшься. Но предупреждаю что ето всё очень легко отслеживаеться.
да нет, я все делю как положено сначало "введу" таблицу ARP, сканируя сеть вроде. потом выбираю из списков жертву > шлюз и нажимаю "снифить". все идет нормально. можно смотреть куда лезит "жертва". а вот в разделе Passwords/HTTP не появляется логин и пароль.
Цитата
>> Но предупреждаю что ето всё очень легко отслеживаеться.
То есть меня смогут спалить легко? Я пока приведу эксперименты у себя, когда все будет удачно, то тогда уже надо подумать как скрыться.
На mail.ru нет стандартной HTTP авторизации. Той которую ждет каин и тому подобные dsniff-ы. Логин и пасс ты увидишь tcpdump-ом с опцией '-A'. Или любым другим сниффером в ASCII режиме просмотра пакетов.
RU_LIDS Спасибо за инфо. А Cain не умеет ловить парили? если умеет - то какие тогда ? какая польза тогда от него может быть ?
но раз разговор пошел о tcpdump, хотелуточнить некоторые моменты: когда я сижу в сети, где используется HUB (не путать с Switch), могу поставить на пассивный режим любой снифер и "рыбачить".
А как быть, когда сидишь за SWITCH/router ?
Тут и прошел на тему про tcpdump и вот никак немогу понять: > TcpDump умеет ловить все запросы клиетов в сети, даже если присутствует свич или роутер?? (ну конечно, если ОС поддерживает смешенный режим)
Cain ловит пароли по содержимому в стандартных полях "login" "pass" и тому подобных. Для боловства можно использовать в связке CAIN(из за arp-spoofing`a) и любой анализатор трафика (к примеру CV). Что делать когда зидишь на свиче - убить его таблицу мак адрессов (заполнить до конца), тогда свитч лёгким движением превращаеться в хаб. Максимальные таблицы для мак-адрессов что я встречал (12к). Время хранения записи мака в памяти свича ~ 5 мин, 12000/300=40маков/сек необходимо ему отправлять что бы он не выходил из состояния "хаб". З.Ы. TcpDump`ом не пользовался...
если честно - это я в одном видеокурсе смотрел.. там вроде захват паролей был с помощью Cain. а если например через Cain сделать ARP spoofing, можно с помощю, скажем wireshark_ом ловить парили?
вот поставил Abel&Cain, запускаю на экспериментальном машине, настраиваю arp poisoning , потом с другого компа заходу сайт www.mail.ru (именно его выбрал, т.к. он не использует http s ). потом введу логин и пароль на этом сайте и происходит авторизация. Но на снифере НЕТ никакого логина и пароля! только логи и IP адреса, Ибо зашифрованние данные показывает..
Можете сказать вся правда о сниферах/спуфингах ? ведь во время http авторизации должен же перехватится регистрационные данные ?
"Cain ловит пароли по содержимому в стандартных полях "login" "pass" и тому подобных. Для боловства можно использовать в связке CAIN(из за arp-spoofing`a) и любой анализатор трафика (к примеру CV)." - это приблизительно то что ты и видил, но есть одна большая разница, кто то поле(форму) с вводом логина и пароля может назвать "login" (name,id,user и т.д) и "password" (pass, secret и т.д) а кто то может использовать, к примеру, "a" и "b". Для второго случая каин не поможет. "а если например через Cain сделать ARP spoofing, можно с помощю, скажем wireshark_ом ловить парили?" - это тебе позволит собирать все пакеты идущиее от пользователя до сервера (в том числе и пароли). Тольно я не использовал wireshark как анализатор пакетов. Если в нём удобное управление по разбитию пакета на составляющие (флаги, заголовок, содержание, контрольная сумма и т.д.), то: ДА, это хороший вариант.
А вот щас "нахожсь" в одном огромном сети (наверно больше 500 он-лайн IP). Каким образом можно "угадать" вкусные маршруты, чтоб их захватить? вот IP адресация:
Вот меня еще и не понятно - что за адреса такой в локалке: 190.9.0.0/16 ?? но когда захочу на сайт www.2ip.ru,то там совсем другой IP. это прокси или VPN ? на этом сервере, где я нахожусь - нет никаких признаком на прокси или VPN..
И каким снифером лучше слушать сеть? я использую Cain. вот делал несклько спуфингов на угад и жду )))) может есть более хороший сниф ?
"вкусные маршруты" - это обычно "deffault gateway". помимо прокси и впн, есть есчё и понятие NAT (ru.wikipedia.org/wiki/NAT). все снифы одинаково хороши, вопрос только в удобстве их использования (есть ли у них фильтры и по чём они делют выборку, для кайна магёшь увидить ето в "Configure\HTTP Fields").
вот все из этого подсети все спуфил на основной шлюз, но в нижнем окне появились какие-то машруты.. что это за маршруты и что сними делать ? на на верхнем окне уже все нолики.
Что-то я в топологию сети не врубаюсь) АРП скан что показывает? Кучу "живых по арп" аргентинских ипшников? Если все правильно, то указав гейтвей и живой хост, можно просматривать трафик между ними. Что внизу и отображается... при этом где зелёная пимпоска - фулл роутинг, значит вы перебрасываете трафик через себя полноценно (от гетвея до хоста и от хоста к гейтвею). то что ип адрес другой, во второй колонке, так это правильно... туда типа идут запросы через гейтвей (вторая колонка МАК). С ип из первой колонки. То что нет паролей (в соответствующей закладке кайна)..ну извините) Значит фильтр кайна их не нашёл. Что конкретно это за запросы - хз. Врубите какой нибудь вайршарк или тспдамп. П.С. Судя по тому, что данные ипишники не похоже на серверы, то это скорее всего какой нибудь пир ту пир.
П.П.С насчёт сетки 190.9.0.0\16 - посмотри сегментацию, сделай трасер до ya.ru к примеру... разберись что к чему...
А вообще каким-то не хорошим делом ты занимаешся) Не законным...
когда жмёшь "+" слева добовляешь шлюз, справа ипы которые тебя интересуют. А теперь 2 вопроса: Пароли хоть в Snifer/Password смотришь? Как часто ты сам залогиниваешься на каких либо сервисах? Раз в день? Если укажешь всё правельно, то перед сном включишь CAIN, после обеда выключишь. Если у твоего админа руки на месте, то завтра к тебе постучаться