arp poison

[moubik]

Bun. ce inseamna acest lucru prima oara.

Inseamna ca eu o sa pacalesc routerul sa-mi trimita mie toate pachetele din retea. Asta inseamna convorbiri messenger, trafic http (cu delicioasele cookies), parole, orice...

Cum se intampla chestia asta?

Pai in primul rand trebuie sa stii putin cum se face trafic in reteaua locala.

Routerul identifica pc-urile dupa adresa MAC (identificator unic al placii de retea)

Pai hai sa vedem cam cum se face o identificare de genul acesta.

Am pornit wireshark, am pus filtru numai pt traficul arp si am dat repair la network.

Ce vedem ?

Calculatorul meu intreaba cine este 192.168.0.1 si spune ca mesajul sa fie transmis catre 192.168.0.4

Eu sunt 192.168.0.4 (MSI)

Routerul 192.168.0.1

Vedem si raspunsul

ce scrie acolo?

Adresa ip si MAC a celui care a trimis,

Adresa ip si MAC catre destinatar.

In acest moment s-a salvat in cache-ul arp aceasta legatura ip+mac.

Exploatand acest feature putem sa facem arp poisoning.

The fun part:

Avem nevoie de Cain, si de Wireshark pt putina distractie

Cain: www.oxid.it

Wireshark: www.wireshark.org

Cain o sa faca pt noi arp poisoning

Wireshark o sa prinda tot traficul din retea

Pornim Cain, la Configure alegem adaptorul cu ip local.

In cazul meu este adaptorul cu 192.168.0.4

Dupa aceea activam snifferul lui Cain si cautam calculatoarele locale:

o sa-mi gaseasca 192.168.0.1 (routerul), 192.168.0.3 (un calculator), pe mine ma sare. si atat deocamdata.

Daca ai fi avut pornit wireshark inainte de a da scan, ti-ar fi aratat ceva de genul:

A trimis catre toate ipurile (existente sau nu) requesturi arp. De ce ?

Pai dupa cum se vede, cele care au raspuns au raspuns cu adresa MAC.

Deci in acest moment avem "identificatorul unic" al fiecarui calculator din retea

Asta inseamna ca putem sa pacalim routerul sa ne trimita noua pachete in loc sa fie trimise unde se trimiteau pana acum asta e exact ce vrem.

Pasul 2:

Hai sa pacalim routerul sa ne trimita noua.

Cum se face asta?

asa:

Ma interpun intre 192.168.0.3 si 192.168.0.1

Ce inseamna asta exact ?

Pachetele din Wireshark arata asa:

Ce se intampla acolo?

Cain trimite pachete si spune asa:

Salut 192.168.0.1, eu sunt 192.168.0.3

Salut 192.168.0.3, eu sunt 192.168.0.1

Ambele hosturi spun:

Hmm, multumesc, acum nu mai este nevoie sa te caut eu pe retea

Si acum daca 192.168.0.1 vrea sa trimita mesaje catre 192.168.0.3, o sa-mi trimita mie de fapt. Si invers.

Deci in acest moment ambele imi trimit mie pachetele.

Cain ia pachetul de la 192.168.0.1 si il trece prin filtrele proprii si pe urma il trimite lui 192.168.0.3

La fel face cu pachetul de la 192.168.0.3, il trimite catre 192.168.0.1

Daca acum am wireshark pornit vad tot traficul intre aceste 2 calculatoare.

Ce este mai frumos de atat?

Vad tot traficul lui 192.168.0.3 cu exteriorul.

Deci in wireshark vad trafic http, ftp, yahoo...

Full routing inseamna ca poate sa faca relay in ambele directii.

Ce fac acum?

In wireshark pun o regula ca sa monitorizez ip-ul

ip.addr == 192.168.0.3

In acest moment vad tot traficul pe care il face.

Traficul asta arata asa urat pt ca sunt numai torente

poti sa te mai joci putin in wireshark sa pui ca filtru

http

- arata tot traficul http

sau chiar mai suculent

http.cookie

- arata tot traficul http care contine cookies

ca sa-mi scot ip-ul din pachete si sa vad traficul http care contine cookies:

http.cookie && !(ip.addr == 192.168.0.4)

[Guest Nemessis]

Foarte frumos. Explicat pe intelesul tuturor si desigur usor de priceput. Imi place cum iti aduci contributia pe forumul RST. Cred ca e timpul sa te propun ca VIP

[Zeus]

...foarte bine...

...asta ii un Man in the Middle Attack...categoric cu Arp Poison...

...eu folosesc si Whireshark + Cain si altele...dar mi se pare un pic mai simplu si util ettercap...

...am atasat ettercap (Windows) + un mic tutorial video care explica si el "treaba"

...normal creditele se acorda celor care au facut tutorialul(vezi tutorial) si celor care au creat frumosul ettercap(vezi ettercap)(o adevarata bijuterie)...

Bafta...

http://rapidshare.com/files/61578570/Man_in_the_Middle.rar

[kaka]

nu pot sa deschid nici avi ala si nici nu pot instala prg...de ce? merge la cineva?

[shamat]

La mine imi merge avi-ul fara nici o problema, incearca sa-ti instalezi un pachet de codecuri si incearca dupaia.

Programu trebuie compilat. Daca nu reusesti uite-te pe situl ettercap.sourceforge.net ca arata cum se instaleaza

[Zeus]

...scuze...am scris acolo ca pun ettercap varainta ptr. Windows si am pus-o pe cealalta...

...am urcat aici ( http://rapidshare.com/files/61594471/Ettercap.rar )varianta Windows...se instaleaza frumos...dupa care doar nagivati pana unde ii instalat cu un command prompt...

[moubik]

laura chappel are niste tutoriale dragutze despre retelistica, dar in principiu sunt foarte de baza.

vreo 2-3 mi-au placut din cursurile ei.

[alien]

am o intrebare: cat de rpd te prinde ISP-ul daca faci treaba asta nu pe retea locala.

[Guest Nemessis]

Rapid.

[alien]

oricum ms moubik. exact tutorialul care il cautam. Si merge super bine wiresharku + cain. Am luat toate mail-urile de la astia de la mine de la servici. Maine ma duc la scoala. :twisted:

[hackedss]

ce fel de cain sa luam de aici ? ce versiune sau care e buna ? www.oxid.it

[Black Pitbull-]

Super tare moubik :wink:

Deci aici chiar trebuie sa intelegi ... e pe intelesul tutror :wink:

bv inca o data

[Ras]

frumos tutorial!!!

tine-o tot asa! good work!

[alien]

stie cineva de unde pot sa iau si eu Cain & Abel pt linux. daca exista.

si daca am o retea locala intre 2 calculatoare legate printr-un switch. Si fiecare are adresele 192.168.5.15 si 192.168.5.16. Cum pot sa fac arp poison? Eu sunt pe 192.168.5.15.

[moubik]

nu exista cain pt linux

incearca sa folosesti ettercap

[alien]

pai cu ethercap ma chinui acum. da fi atent ce retea am: deci am un modem legat la un switch si apoi 2 calculatoare cu 2 ip-uri separate de net.

Adica eu pe calculatorul meu am ip de net 81.*.*.228 si victima are 81.*.*.229.

Si avem si retea locala prin acelasi switch si avem ip-urile: 192.168.5.15 (eu) si 192.168.5.16(victima). Si eu vreau sa snifez traficu intre el si switch sau in tre el si modem. Nu vreau sa ies afara din reteaua locala sa ma prinda rds-ul.

[tupac_o]

hackedss dai search pe google si sigur il gasesti acolo chiar pe ala din armata....

[tupac_o]

nu-mi mai merge whireshark imi zice ca nu mai pot folosi wincap-ul initial ma lasat sa fac scan si a 2 zi nu ma mai lasat.....nu inteleg de ce...

[michee]

da,frumos tutorial intr-adevar.

cum poate sa te gaseasca ISP-ul?

[OrIaX]

este si o metoda de aparare impotriva arp poisoning... ? pt ca de unde mergea sa scanez toata reteaua locala acum nu mai merge.. :

Cain - Snifer - Arp - Add - setez Ip din liste - cand apas OK nimik ramane asa

are cineva o idee ceva?

MS anticipat

[catalyn1178]

Sunt pe un wireless conectat cu Cain. Cateva calculatoare conectate doar, deja le-am infectat. In afara de traficul care il fac eu, nu prind mai nimic. Am de asteptat pana indivizii fac ceva pe net ca sa pot prinde ceva?

[catalyn1178]

Lucrurile bune vin la cei care asteapta !

Plec in oras sa poisonez pe la Starbucks si Coffe Bean. :twisted:

[alien]

este si o metoda de aparare impotriva arp poisoning... ? pt ca de unde mergea sa scanez toata reteaua locala acum nu mai merge.. :

Cain - Snifer - Arp - Add - setez Ip din liste - cand apas OK nimik ramane asa

are cineva o idee ceva?

MS anticipat

ce-a mai simpla metodat de aparare impotriva ARP-ului atack e cu tunneling. De fapt cu cain folosesti medota "man in the middle". Prin tunneling nu te mai poti interpune intre cele 2 IP-uri.

[catalyn1178]

Mai am o intrebare. Intercepteaza si traficu cu SSL ? ?

Ca spre exemplu, nici macar traficu care il fac cand ma loghez pe contul meu de boa nu il prinde.

[moubik]

daca te-ai pus ca man in the middle pentru acea conexiune prinzi si ssl.

acum ca sa decriptezi ssl-ul nu stiu.