Jump to content
moubik

arp poison

Recommended Posts

Posted

Bun. ce inseamna acest lucru prima oara.

Inseamna ca eu o sa pacalesc routerul sa-mi trimita mie toate pachetele din retea. Asta inseamna convorbiri messenger, trafic http (cu delicioasele cookies), parole, orice...

Cum se intampla chestia asta?

Pai in primul rand trebuie sa stii putin cum se face trafic in reteaua locala.

Routerul identifica pc-urile dupa adresa MAC (identificator unic al placii de retea)

Pai hai sa vedem cam cum se face o identificare de genul acesta.

Am pornit wireshark, am pus filtru numai pt traficul arp si am dat repair la network.

f1vm4.jpg

Ce vedem ?

Calculatorul meu intreaba cine este 192.168.0.1 si spune ca mesajul sa fie transmis catre 192.168.0.4

Eu sunt 192.168.0.4 (MSI)

Routerul 192.168.0.1

Vedem si raspunsul

ce scrie acolo?

Adresa ip si MAC a celui care a trimis,

Adresa ip si MAC catre destinatar.

In acest moment s-a salvat in cache-ul arp aceasta legatura ip+mac.

Exploatand acest feature putem sa facem arp poisoning. :)

The fun part:

Avem nevoie de Cain, si de Wireshark pt putina distractie

Cain: www.oxid.it

Wireshark: www.wireshark.org

Cain o sa faca pt noi arp poisoning

Wireshark o sa prinda tot traficul din retea :)

Pornim Cain, la Configure alegem adaptorul cu ip local.

In cazul meu este adaptorul cu 192.168.0.4

cainadaptorgv1.jpg

Dupa aceea activam snifferul lui Cain si cautam calculatoarele locale:

scanforhostsqm3.jpg

o sa-mi gaseasca 192.168.0.1 (routerul), 192.168.0.3 (un calculator), pe mine ma sare. si atat deocamdata.

Daca ai fi avut pornit wireshark inainte de a da scan, ti-ar fi aratat ceva de genul:

arpscannh8.jpg

A trimis catre toate ipurile (existente sau nu) requesturi arp. De ce ?

Pai dupa cum se vede, cele care au raspuns au raspuns cu adresa MAC.

Deci in acest moment avem "identificatorul unic" al fiecarui calculator din retea :D

Asta inseamna ca putem sa pacalim routerul sa ne trimita noua pachete in loc sa fie trimise unde se trimiteau pana acum :) asta e exact ce vrem.

Pasul 2:

Hai sa pacalim routerul sa ne trimita noua.

Cum se face asta?

asa:

addarpyc8.jpg

Ma interpun intre 192.168.0.3 si 192.168.0.1

Ce inseamna asta exact ?

Pachetele din Wireshark arata asa:

mimfm5.jpg

Ce se intampla acolo?

Cain trimite pachete si spune asa:

Salut 192.168.0.1, eu sunt 192.168.0.3

Salut 192.168.0.3, eu sunt 192.168.0.1

Ambele hosturi spun:

Hmm, multumesc, acum nu mai este nevoie sa te caut eu pe retea :)

Si acum daca 192.168.0.1 vrea sa trimita mesaje catre 192.168.0.3, o sa-mi trimita mie de fapt. Si invers.

Deci in acest moment ambele imi trimit mie pachetele.

Cain ia pachetul de la 192.168.0.1 si il trece prin filtrele proprii si pe urma il trimite lui 192.168.0.3

La fel face cu pachetul de la 192.168.0.3, il trimite catre 192.168.0.1

Daca acum am wireshark pornit vad tot traficul intre aceste 2 calculatoare.

Ce este mai frumos de atat?

Vad tot traficul lui 192.168.0.3 cu exteriorul. :)

Deci in wireshark vad trafic http, ftp, yahoo...

alltrafficwa5.jpg

Full routing inseamna ca poate sa faca relay in ambele directii.

Ce fac acum?

In wireshark pun o regula ca sa monitorizez ip-ul :)

ip.addr == 192.168.0.3

In acest moment vad tot traficul pe care il face.

alltrafficki8.jpg

Traficul asta arata asa urat pt ca sunt numai torente :)

poti sa te mai joci putin in wireshark sa pui ca filtru

http

- arata tot traficul http

sau chiar mai suculent

http.cookie

- arata tot traficul http care contine cookies

ca sa-mi scot ip-ul din pachete si sa vad traficul http care contine cookies:

http.cookie && !(ip.addr == 192.168.0.4)

Guest Nemessis
Posted

Foarte frumos. Explicat pe intelesul tuturor si desigur usor de priceput. Imi place cum iti aduci contributia pe forumul RST. Cred ca e timpul sa te propun ca VIP :)

Posted

...foarte bine...

...asta ii un Man in the Middle Attack...categoric cu Arp Poison...

...eu folosesc si Whireshark + Cain si altele...dar mi se pare un pic mai simplu si util ettercap...

...am atasat ettercap (Windows) + un mic tutorial video care explica si el "treaba"

...normal creditele se acorda celor care au facut tutorialul(vezi tutorial) si celor care au creat frumosul ettercap(vezi ettercap)(o adevarata bijuterie)...

Bafta...

http://rapidshare.com/files/61578570/Man_in_the_Middle.rar

Posted

La mine imi merge avi-ul fara nici o problema, incearca sa-ti instalezi un pachet de codecuri si incearca dupaia.

Programu trebuie compilat. Daca nu reusesti uite-te pe situl ettercap.sourceforge.net ca arata cum se instaleaza

Posted

oricum ms moubik. exact tutorialul care il cautam. Si merge super bine wiresharku + cain. Am luat toate mail-urile de la astia de la mine de la servici. :) Maine ma duc la scoala. :twisted:

Posted

stie cineva de unde pot sa iau si eu Cain & Abel pt linux. daca exista.

si daca am o retea locala intre 2 calculatoare legate printr-un switch. Si fiecare are adresele 192.168.5.15 si 192.168.5.16. Cum pot sa fac arp poison? Eu sunt pe 192.168.5.15.

Posted

pai cu ethercap ma chinui acum. da fi atent ce retea am: deci am un modem legat la un switch si apoi 2 calculatoare cu 2 ip-uri separate de net.

Adica eu pe calculatorul meu am ip de net 81.*.*.228 si victima are 81.*.*.229.

Si avem si retea locala prin acelasi switch si avem ip-urile: 192.168.5.15 (eu) si 192.168.5.16(victima). Si eu vreau sa snifez traficu intre el si switch sau in tre el si modem. Nu vreau sa ies afara din reteaua locala sa ma prinda rds-ul.

Posted

este si o metoda de aparare impotriva arp poisoning... ? pt ca de unde mergea sa scanez toata reteaua locala acum nu mai merge.. :

Cain - Snifer - Arp - Add - setez Ip din liste - cand apas OK nimik ramane asa

are cineva o idee ceva?

MS anticipat

Posted

Sunt pe un wireless conectat cu Cain. Cateva calculatoare conectate doar, deja le-am infectat. In afara de traficul care il fac eu, nu prind mai nimic. Am de asteptat pana indivizii fac ceva pe net ca sa pot prinde ceva?

Posted
este si o metoda de aparare impotriva arp poisoning... ? pt ca de unde mergea sa scanez toata reteaua locala acum nu mai merge.. :

Cain - Snifer - Arp - Add - setez Ip din liste - cand apas OK nimik ramane asa

are cineva o idee ceva?

MS anticipat

ce-a mai simpla metodat de aparare impotriva ARP-ului atack e cu tunneling. De fapt cu cain folosesti medota "man in the middle". Prin tunneling nu te mai poti interpune intre cele 2 IP-uri.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.



×
×
  • Create New...