Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти
 
Страницы: 1 2 3 4 5 6 След.
RSS
ARP spoofing
 
У меня вопрос по ARP спуфингу.

вот поставил Abel&Cain, запускаю на экспериментальном машине, настраиваю arp poisoning, потом с другого компа заходу сайт www.mail.ru (именно его выбрал, т.к. он не использует https). потом введу логин и пароль на этом сайте и происходит авторизация. Но на снифере НЕТ никакого логина и пароля! только логи и IP адреса, Ибо зашифрованние данные показывает..
Можете сказать вся правда о сниферах/спуфингах ? ведь во время http авторизации должен же перехватится регистрационные данные ?
 
какие логи и какие ip адреса? может быть арп-таблица не запатчилась?
 
arp-spoofing использует подмену для данного ip-адресса(для адресса сервера и адресса жертвы) твоего MAC-адресса.
Для того что бы прослушивать тебе нужно узнать ip-адресс жертвы и его шлюза (может быть и прокси сервера).
Для этого тебе потребуються следущиее закладки CAIN`a: "Snifer/Hosts" и "Snifer/ARP", думаю когда нажимать клопки "start snifer" и "start arp" сам разберёшься. Но предупреждаю что ето всё очень легко отслеживаеться.
 
да нет, я все делю как положено :) сначало "введу" таблицу ARP, сканируя сеть вроде. потом выбираю из списков жертву > шлюз и нажимаю "снифить". все идет нормально. можно смотреть куда лезит "жертва". а вот в разделе Passwords/HTTP не появляется логин и пароль.

Цитата
>> Но предупреждаю что ето всё очень легко отслеживаеться.
То есть меня смогут спалить легко?
Я пока приведу эксперименты у себя, когда все будет удачно, то тогда уже надо подумать как скрыться.
 
На mail.ru нет стандартной HTTP авторизации. Той которую ждет каин и тому подобные dsniff-ы. Логин и пасс ты увидишь tcpdump-ом с опцией '-A'. Или любым другим сниффером в ASCII режиме просмотра пакетов.
 
RU_LIDS
Спасибо за инфо.
А Cain не умеет ловить парили? если умеет - то какие тогда ? какая польза тогда от него может быть ?

но раз разговор пошел о tcpdump, хотелуточнить некоторые моменты:
когда я сижу в сети, где используется HUB (не путать с Switch), могу поставить на пассивный режим любой снифер и "рыбачить".

А как быть, когда сидишь за SWITCH/router ?

Тут и прошел на тему про tcpdump и вот никак немогу понять:
> TcpDump умеет ловить все запросы клиетов в сети, даже если присутствует свич или роутер?? (ну конечно, если ОС поддерживает смешенный режим)
 
Cain ловит пароли по содержимому в стандартных полях "login" "pass" и тому подобных. Для боловства можно использовать в связке CAIN(из за arp-spoofing`a) и любой анализатор трафика (к примеру CV).
Что делать когда зидишь на свиче - убить его таблицу мак адрессов (заполнить до конца), тогда свитч лёгким движением превращаеться в хаб. Максимальные таблицы для мак-адрессов что я встречал (12к). Время хранения записи мака в памяти свича ~ 5 мин, 12000/300=40маков/сек необходимо ему отправлять что бы он не выходил из состояния "хаб".
З.Ы. TcpDump`ом не пользовался...
 
если честно - это я в одном видеокурсе смотрел.. там вроде захват паролей был с помощью Cain.
а если например через Cain сделать ARP spoofing, можно с помощю, скажем wireshark_ом ловить парили?

P.S. Вопрос по TCPDUMP - остается пока.
 
Цитата
Set пишет:
У меня вопрос по ARP спуфингу.



вот поставил Abel&Cain, запускаю на экспериментальном машине, настраиваю  arp poisoning , потом с другого компа заходу сайт www.mail.ru (именно его выбрал, т.к. он не использует http s ). потом введу логин и пароль на этом сайте и происходит авторизация. Но на снифере НЕТ никакого логина и пароля! только логи и IP адреса, Ибо зашифрованние данные показывает..

Можете сказать вся правда о сниферах/спуфингах ? ведь во время http авторизации должен же перехватится регистрационные данные ?



ARP Spoofing в примерах
Видео урок. Перехват паролей, сообщений, подмена MAC адреса, ARP poison
 
"Cain ловит пароли по содержимому в стандартных полях "login" "pass" и тому подобных. Для боловства можно использовать в связке CAIN(из за arp-spoofing`a) и любой анализатор трафика (к примеру CV)." - это приблизительно то что ты и видил, но есть одна большая разница, кто то поле(форму) с вводом логина и пароля может назвать "login" (name,id,user и т.д) и "password" (pass, secret и т.д) а кто то может использовать, к примеру, "a" и "b". Для второго случая каин не поможет.
"а если например через Cain сделать ARP spoofing, можно с помощю, скажем wireshark_ом ловить парили?" - это тебе позволит собирать все пакеты идущиее от пользователя до сервера (в том числе и пароли). Тольно я не использовал wireshark как анализатор пакетов. Если в нём удобное управление по разбитию пакета на составляющие (флаги, заголовок, содержание, контрольная сумма и т.д.), то: ДА, это хороший вариант.
 
А вот щас "нахожсь" в одном огромном сети (наверно больше 500 он-лайн IP). Каким образом можно "угадать" вкусные маршруты, чтоб их захватить?
вот IP адресация:
Код
Connection-specific DNS Suffix  . :
Description . . . . . . . . . . . : Broadcom NetXtreme Gigabit Ethernet
Physical Address. . . . . . . . . : 00-1B-78-3D-CB-36
DHCP Enabled. . . . . . . . . . . : No
IP Address. . . . . . . . . . . . : 190.9.0.хх
Subnet Mask . . . . . . . . . . . : 255.255.0.0
Default Gateway . . . . . . . . . : 190.9.0.х
DNS Servers . . . . . . . . . . . : 203.146.237.ххх


Вот меня еще и не понятно - что за адреса такой в локалке: 190.9.0.0/16 ?? но когда захочу на сайт www.2ip.ru,то там совсем другой IP. это прокси или VPN ? на этом сервере, где я нахожусь - нет никаких признаком на прокси или VPN..

И каким снифером лучше слушать сеть? я использую Cain. вот делал несклько спуфингов на угад и жду )))) может есть более хороший сниф ?
 
Спуфить надо между 190.9.0.х (Default Gateway) и любым хостом из 190.9.yy.хх.

В таком варианте, можно перенаправлять трафик (выбранной цели: 190.9.yy.хх) через твою рабочую станцию.

www.2ip.ru показывает адрес внешнего интерфейса гейтвея/прокси.
Изменено: Alexey Sintsov - 22.10.2009 13:36:32
 
"вкусные маршруты" - это обычно "deffault gateway".
помимо прокси и впн, есть есчё и понятие NAT (ru.wikipedia.org/wiki/NAT).
все снифы одинаково хороши, вопрос только в удобстве их использования (есть ли у них фильтры и по чём они делют выборку, для кайна магёшь увидить ето в "Configure\HTTP Fields").
 
Ну вот так сделал спуфинг:


Но никакие данные не ловится вот уже 2 часа где то. все поле пароли - пустые..
может что то не то я делал?
 
Вон там у тебя 44 тыщи пакетов поймано в одну только сторону)

Там где 0 пакетов - значит выбранные хосты друг с другом не общаются. Выбирай Дефаулт Гейтвей и живой ипишник.
 
вот все из этого подсети все спуфил на основной шлюз, но в нижнем окне появились какие-то машруты.. что это за маршруты и что сними делать ? на на верхнем окне уже все нолики.


что то не то делал? пароли опять все пусты...
Изменено: Set - 22.10.2009 16:50:05
 
Что-то я в топологию сети не врубаюсь) АРП скан что показывает?  Кучу "живых по арп" аргентинских ипшников? Если все правильно, то указав гейтвей и живой хост, можно просматривать трафик между ними. Что внизу и отображается... при этом где зелёная пимпоска - фулл роутинг, значит вы перебрасываете трафик через себя полноценно (от гетвея до хоста и от хоста к гейтвею). то что ип адрес другой, во второй колонке, так это правильно... туда типа идут запросы через гейтвей (вторая колонка МАК). С ип из первой колонки. То что нет паролей (в соответствующей закладке кайна)..ну извините) Значит фильтр кайна их не нашёл. Что конкретно это за запросы - хз. Врубите какой нибудь вайршарк или тспдамп.
П.С. Судя по тому, что данные ипишники не похоже на серверы, то это скорее всего какой нибудь пир ту пир.

П.П.С насчёт сетки 190.9.0.0\16 - посмотри сегментацию, сделай трасер до ya.ru к примеру...
разберись что к чему...

А вообще каким-то не хорошим делом ты занимаешся) Не законным...
Изменено: Alexey Sintsov - 22.10.2009 17:26:52
 
когда жмёшь "+" слева добовляешь шлюз, справа ипы которые тебя интересуют.
А теперь 2 вопроса:
Пароли хоть в Snifer/Password смотришь?
Как часто ты сам залогиниваешься на каких либо сервисах? Раз в день?
Если укажешь всё правельно, то перед сном включишь CAIN, после обеда выключишь.
Если у твоего админа руки на месте, то завтра к тебе постучаться  :evil:
 
Цитата
когда жмёшь "+" слева добовляешь шлюз, справа ипы которые тебя интересуют.
блин !! а я на оборот делал !
с лева выбрал хост, а с права шлюз (((((

а насчет админа - пофиг, это не моя сеть, я там "НЕ свой"  ;)
 
А что есть разница между ГЕЙТВЕЙ <-> ХОСТ и ХОСТ <-> ГЕЙТВЕЙ?
Страницы: 1 2 3 4 5 6 След.
Читают тему