Кабелек который приходит к тебе(витая пара) должна вести к коммутатору.
вот такие хуйни
чердак -последний этаж-редко крыша тех помещения.
отслеживаешь куда идет твой провод.
втыкаем ноут в эту хуйню
1 знание что такое парсинг обязательно
2 знание что такое снифинг тоже
Dsniff ScoopLM
3 знать молитву или шаманский обряд для того чтоб после снифа адмэн паса сеть не ебнулась
4 это все не на долго. придет дядько техник через день и все к хуям отрежет!
5 самое важное коммутатор не вытаскивать,не шевелить(мол ебааать какая пиздатая хуйня)
при малейшем поднятии краска в ебасос выстрелит(химическая ловушка) ща это тренд у провайдеров!
6 если желаешь получить заветный заветный 0.0.0.1 то сядешь на бутылку через почти час)))
хотя в наше время он уже на оптоволокне...но все же))
дополнение снифа с комутаторами
Как осуществить сниффинг в сети с коммутаторами.
Cуществует ряд технологий, которые делают возможным сниффинг в сетях с коммутаторами и которые включают такие элементы, как
ARP spoofing, MAC flooding и MAC duplicating (Whalen, Sean. "An Introduction to ARP Spoofing". Revision 1. April 2001). Все утилиты, приводимые в статье, используют технологию ARP spoofing.
ARP spoofing - относительно новая технология, классическая атака "man-in-the-middle"
(Cohen, Fred. "The All.Net Security Database". May 1999). Для понимания ее сути рассмотрим следующий пример. Возьмем предыдущую схему с тремя компьютерами, подключенными к коммутатору, в которой компьютер "С" собирается перехватывать сетевой трафик между компьютерами "A" и "B". Для этого "С" представляется "A" как "B". Затем, когда "A" посылает трафик для "B" он перехватывается "C". "С" пересылает полученную информацию "B" представляясь как "А". "С" также выполняет подобную роль при передаче трафика от "B" к "А".
Сначала, однако, нам необходимо понять, как происходит нормальный обмен между компьютерами "А" и "В". Для этого компьютеру "А" необходим МАС адрес компьютера "В". Для его получения, компьютер "А" проверяет в своем ARP кэше, имеется ли там уже МАС адрес компьютера "В". Если да, то используется МАС адрес, полученный из ARP кэша. Если нет, то компьютер "А" посылает широковещательный (broadcast) ARP запрос.
Компьютер "В" отвечает, посылая свой MAC (и IP) адреса. IP адрес компьютера "В" и соответствующий ему МАС адрес сохраняются в ARP кэше компьютера "А" для дальнейшего использования. Теперь можно начинать посылать пакеты с данными для компьютера "В". Аналогичные процессы происходят и на компьютере "В", собирающегося обмениваться пакетами с компьютером "А". Предположим, что компьютеры "А" и "В" установили МАС адреса друг друга и обмениваются пакетами через коммутатор. Как компьютер "С" может перехватить этот трафик? Именно здесь приходит на помощь ARР spoofing.
Первым шагом будет представление компьютера "С" под видом компьютера "В" компьютеру "А". Если это будет достигнуто, сетевой трафик, предназначенный для "В" изменит маршрут и попадет к компьютеру "С". Таким же образом, необходимо все проделать и по отношению к компьютеру "В".
Как всего этого достигнуть? Ответ прост - компьютер "С" должен как бы "отравить", переписать АRP кэш как на компьютере "А", так и на компьютере "В". ARP - это протокол, не требующий аутентификации, так что ARP просто повторяет посылку пакетов каждому хосту сети для обновления его кэша
(Montoro, Massimiliano. "Introduction to ARP Poison Routing (APR)") Revision 1.0..
Так, компьютер "С", посылая ложный ARP пакет для компьютера "А", как бы инструктирует компьютер "А" посылать пакеты, предназначенные для компьютера "В", на компьютер "С". Ложный ARP пакет для компьютера "А" приводит к принудительному обновлению его ARP кэша. В обновленном ARP кэше IP адрес компьютера "В" будет соотнесен с МАС адресом компьютера "С". Это означает, что весь трафик, предназначенный компьютеру "В" попадет сначала на компьютер "С". Следующая таблица показывает, что случилось с ARP кэшем компьютера "А":
ARP кэш "А" до посылки ложного ARP пакета с "С"
IP Addresses MAC Addresses
IP адрес компьютера "B" MAC адрес компьютера "B"
IP адрес компьютера "C" MAC адрес компьютера "C"
... ...
ARP кэш "А" после посылки ложного ARP пакета с "С"
IP Addresses MAC Addresses
IP адрес компьютера "B" MAC адрес компьютера "C"
IP адрес компьютера "C" MAC адрес компьютера "C"
... ...
То же самое компьютер "С" проделывает по отношению к компьютеру "В". Посылается ложный ARP пакет для "B", который принудительно обновляет ARP кэш, так что IP адрес компьютера "А" соотносится с МАС адресом компьютера "С". Как только это будет проделано, весь трафик с компьютера "А", предназначенный для компьютера "В", будет перенаправлен на компьютер "С", и, наоборот, весь трафик с компьютера "В", предназначенный для компьютера "А", будет перенаправлен опять же на компьютер "С".
Вообще говоря, если компьютер "В" - шлюз провайдера, на нем не сложно запретить обновление ARP-таблицы. После этого ARР spoofing'ом можно будет перехватывать только исходящий от абонента трафик. Да и "особо осторожные" пользователи могут это сделать без особых хлопот. Однако сложно представить такую защиту массовой, применимой к обычным абонентам... Прим. Nag..
Теперь следующий важный шаг. Компьютер "С" должен гарантировать передачу всего чужого трафика по истинному назначению. Так, например, когда "А" посылает пакет для "В", то он попадает на "С", после чего должен быть переслан на "В". Это легко достигается посредством технологии IP forwarding, которая поддерживается многими операционными системами. Альтернативой являются приложения, способные взять на себя ответственность за IP forwarding трафика по истинному назначению.
Как только перечисленные шаги будут выполнены, компьютер "С" осуществит перехват сетевого трафика между компьютерами "А" и "В".
Стоит заметить, что, послав ложный ARP пакет и подменив ARP кэш, необходимо выполнять эту процедуру вновь и вновь на регулярной основе, поскольку и операционная система также автоматически обновляет ARP кэш на регулярной основе (обычно каждые 30 с).
Многие коммутаторы в настоящее время предлагают сконфигурировать опцию "port security", чтобы помочь сетевым администраторам закрепить конкретные компьютеры за конкретными портами коммутатора. Упрощенно, "port security" позволяет нам закрепить порт коммутатора за определенным MAC адресом. Это предохраняет от подключения посторонних компьютеров к коммутатору.
Однако "port security" не предотвращает ARP spoofing
(Ettercap effects on switches"). При помощи ARP spoofing мы как раз подменяем ARP-кэш на заданных компьютерах (в примере выше - компьютеры "А" и "В"), а это "port security" коммутаторов предотвратить не может.
Интересным побочным эффектом является возможность через перехват посредством ARP spoofing/IP forwarding. Поскольку мы выполняем атаку "man in the middle" мы можем переделывать (добавлять, модифицировать или удалять) пакеты, которые мы перехватили или даже создавать новые.
Это дает возможность нам похищать определенный тип сессий, например, telnet. Не только снифинг telnet трафика, мы можем также подделывать команды клиента и ответы сервера. Как насчет такой выдумки - "mail
[email protected] /etc/passwd" - команды от клиента.
Угон сессии - это не только теоретическая возможность. Такие утилиты, как
ettercap и
hunt (Krauz, Pavel. "Hunt Project") делают угон сессии легко реализуемым.
Утилиты для снифинга в сети с коммутаторами.
Количество утилит, позволяющих осуществлять снифинг в локальных сетях с коммутаторами, постоянно растет. В этом разделе рассмотрим две утилиты - ettercap и Cain.
Изолированная локальная сеть из трех компьютеров и коммутатора была развернута для исследования возможности сниффинга. Как и было рассмотрено выше, - два компьютера "А" и "B" являются "жертвами", сетевой трафик между ними перехватывается компьютером "C", на котором установлены и запущены утилиты для сниффинга. В таблице приведены дополнительные данные по компьютерам этой исследуемой сети.
Компьютер IP Addresses MAC Addresses
А 192.168.0.1 00-02-e3-0a-ee-e4
В 192.168.0.2 00-50-22-88-f1-48
С 192.168.0.3 00-00-39-ca-13-81
Все компьютеры работали под управлением ОС Win'2k Professional SP2. Коммутатор - 5 портовый 10/100Mb Unex Innovation Corp.
ettercap
Рассмотрим ettercap - утилиту, которая описываетcя как мощный и гибкий инструмент для проведения атак типа " man-in-the-middle". Утилита работает на большинстве платформ, включая Win, Linux, xBSD и Mac OS X. Утилиту можно загрузить
отсюда. Устанавливаем ее на компьютер "C". Перед запуском утилиты проверим ARP кэш компьютеров "A" и "B", набрав команду:
C:\>arp /a
Как и ожидалось, ARP кэш компьютера "A" хранит правильные значения IP и МАС адресов компьютеров "B" и "C".
Аналогично, и ARP кэш компьютера "B" хранит правильные значения IP и МАС адресов компьютеров "A" и "C".
Теперь запускаем утилиту ettercap на компьютере "C" и настраиваем ее на перехват трафика между "A" и "B". На этом этапе ettercap выполнит ARP spoofing, проведя атаку "man-in-the-middle". Проверка ARP кэша компьютеров "A" и "B" подтверждает это - МАС адреса "A" и "B" заменены на МАС адрес "C"
Теперь трафик между "A" и "B" перехватывается "C". Подобно dsniff, ettercap имеет встроенную базу по большому числу сетевых протоколов. Утилита может выделять интересующие части перехватываемого трафика, такие, например, как usernames и passwords. На скриншоте отображается начальный этап перехвата telnet сессии между "A" и "B".
Во время перехвата ettercap может обнаружить большое число usernames и passwords, которые можно сохранить в простом ASCII файле для последующего анализа.
Cain
Другой утилитой, которая способна осуществлять перехват в локальной сети с коммутаторами является
Cain (Montoro, Massimiliano. "Homepage for Cain"). Доступна версия только для Windows (что не может не огорчать поклонников Пингвина), эта утилита способна на большее, чем простой перехват трафика в локальной сети с коммутаторами.
Подобно dsniff и ettercap, Cain имеет встроенную базу по различным сетевым протоколам и может выделять интересующие части перехватываемого трафика.
Cain также имеет встроенную технологию вскрытия зашифрованных паролей, перехваченных из сетевого трафика, позволяющую проводить расшифровку как прямым перебором (brute-force), так и подбором по словарю.
Подобно BeatLM, Cain может предпринять атаку против протоколов аутентификации Microsoft (включая LM и NTLM версии v1, v2). Однако, Cain пошел дальше BeatLM, предлагая возможность вскрытия MD5 хэша Cisco и зашифрованных APOP паролей.
Обратим внимание и на другие, встроенные в Cain возможности. Например traceroute и анализатор протоколов маршрутизации и способность получать список пользователей NT и разделяемых ресурсов с удаленного компьютера.
Функциональность Cain просто впечатляет. Изумительно, что одна утилита в состоянии решать большинство ключевых задач, для решения которых были созданы в свое время разнообразные утилиты, такие как
Cain можно скачать из Интернета
отсюда. Скачиваем и устанавливаем на компьютер "C". Проверяем ARP кэш компьютеров "A" и "B", как и должно быть он содержит пока правильные данные
Сконфигурируем Cain на использование ARP spoofing (называемого APR - ARP Poisoned Routing в самом приложении) - перехват сетевого трафика между "A" и "B".
Как только это будет сделано, Cain, используя встроенную базу сетевых протоколов, предоставляет возможность отображения ключевой информации. Как и в тесте при использовании ettercap, между компьютерами "A" и "B" запущена telnet сессия. Для многих протоколов Cain просто извлекает username и password. А для telnet сессии в файл записывается вся сессия (включая, естественно, username и password), как показано на рисунке.
Проведенные тесты продемонстрировали, что такие утилиты, как ettercap и Cain представляют реальную угрозу для многих сетей. Что же можно противопоставить этой угрозе?
Рекомендации по ослаблению угрозы снифинга
Обнаружение снифферов.
Один из путей смягчения угрозы от применения снифферов, является попытка определения их работы в сети. Поскольку если предупрежден - значит вооружен.
Определение работы снифферов, которые разработаны для сетей без коммутаторов является сложной задачей. Это связано с тем, что работа таких снифферов происходит преимущественно в пассивном режиме. Они работают, переведя сетевую карту в promisc mode, что позволяет атакующему компьютеру получать любой сетевой трафик, достигающей сетевой карты, для исследования. Подобно радиорессиверу, снифферы не порождают обязательного дополнительного и подозрительного трафика для передачи в сеть. Итак, как же их можно обнаружить?
Определенные технологии могут быть использованы для попытки определения компьютеров, чьи сетевые карты работают в неразборчивом режиме, вероятно, осуществляя сниффинг локальной сети. Многие используемые технологии полагаются на определение специфичных уязвимостей в TCP/IP стэке. Утилиты типа
L0pht's antisniff "Antisniff 1.021" предоставляют сведения о своеобразии TCP/IP стэка в Win'NT и Unix для определения компьютеров, сетевые карты которых работают в promisc mode.
Как уже было показано, сниффинг в сетях на коммутаторах подразумевает атаку "man-in-the-middle". Прослушивание в этом случае носит "активный" характер, когда сетевой трафик передается атакующему компьютеру и только потом пересылаться по истинному назначению. Определение работы "активных" снифферов является в некотором роде более простым, чем определение работы "пассивных" снифферов.
Существует возможность определения таких атак, как ARP spoofing путем применения специального программного обеспечения, такого как
LBNL's arpwatch "arpwatch" которое может обнаруживать подозрительный ARP сетевой трафик и информировать об этом сетевого администратора.
Однако, полагаться на надежное определение всех примеров сетевого сниффинга не приходится.
Единственным решением, препятствующим сниффингу, является шифрование. В
Song, Dug. "dsniff FAQ" для dsniff советуют "не допускайте использования фирменных небезопасных прикладных протоколов или унаследованных протоколов, передающих данные явным образом в ваших сетях". Это очень важный совет. Замена небезопасных протоколов (таких как telnet) на их надежные шифрованные аналоги (такие как ssh) представляется серьезным барьером от перехвата. Замена всех небезопасных протоколов в большинстве случаев маловероятна.
Вместо прекращения использования протоколов, передающих данные явным образом, остается только одна возможность - шифрование всего сетевого трафика на 3 уровне, используя
IPSec (Taylor, Laura. "Understanding IPSec". June 2002). Осуществляя шифрование на 3 уровне, возможно продолжать использовать небезопасные протоколы, поскольку все данные будут инкапсулированы IPSec и зашифрованы при передаче по сети. Таким образом, унаследованные приложения, которые используют старые протоколы, не пострадают. IPSec полностью прозрачен для приложений и пользователей. Это открытый стандарт, поддерживаемый многими вендорами, включая Microsoft и Cisco. Кроме того, многие реализации Unix поддерживают IPSec. Легкая настройка IPSec в Win'2k/XP дополнительно увеличивает его доступность.
Осуществление технологии шифрования на 3 уровне, таких как IPSec решает проблему снифинга полностью. Масштабируемость, распространенность, доступность IPSec выделяет его как прагматическое решение проблемы перехвата сетевого трафика.
