Re: Напарить Switch
,--[Max Dmitrichenko [EMAIL PROTECTED] 06/02/2008 11:44 (GMT +3) | Вообще же прошу прощения за то, что я внес в вопрос смуту. Есть атака | arp poisoning, я он ней прекрасно знаю, но свич тут не причем. Просто | я где-то читатал какую-то статью про то, что дескать если один MAC-адрес | приходит с нескольких дырок свича, то ему сносит бошку и он начинает | пакеты для этого MAC-адреса слать либо в обе дырки, либо вообще во все. И | здесь все равно чем накормить свич, можно ARP-пакетами, а можно вообще | пакетами, которые не имеют никакого отношения к какому-либо стэку, главное | чтобы ethernet-заголовок был правильный. Просто в статье использовался для | примера ARP. `- На сколько я помню, это было правдой, но для того чтобы свитч превратился в хаб, ему надо было переполнить ARP-таблицу. Новые умные (управляемые) свитчи на это уже не ведутся. -- Best regards, Mikhail Bart-mdv- @ SolarNet IRC: irc.solarnet.ru WWW: http://www.solarnet.ru/ -- Если человек звучит гордо, он не прекрасен. -- А.Подводный signature.asc Description: This is a digitally signed message part.
Re: Напарить Switch
On Wednesday 06 February 2008 08:53, Damir Hakimov wrote: я бы предположил, что нужно использовать arp proxy. Ведь это помогает для организации шлюзов по умолчанию. Хотя правильнее использовать свич, который может транслировать *все* пакеты на какой-либо порт. Мой 3Com 2226 умеет. Это легальное снифание трафика, т.е. это предполагает, что у тебя есть управляемый свич, ты его администратор и можешь настроить. Моя задача показать школьникам, что в их классе, где стоит свич, к которому у меня нет админского доступа (а может он вообще неуправляемый), я могу посмотреть, скажем, их пароль на mail.ru или vkontakte.ru. Вообще же прошу прощения за то, что я внес в вопрос смуту. Есть атака arp poisoning, я он ней прекрасно знаю, но свич тут не причем. Просто я где-то читатал какую-то статью про то, что дескать если один MAC-адрес приходит с нескольких дырок свича, то ему сносит бошку и он начинает пакеты для этого MAC-адреса слать либо в обе дырки, либо вообще во все. И здесь все равно чем накормить свич, можно ARP-пакетами, а можно вообще пакетами, которые не имеют никакого отношения к какому-либо стэку, главное чтобы ethernet-заголовок был правильный. Просто в статье использовался для примера ARP. Вполне возможно, что статья - лажа. А возможно это поведение конкретно свича, которым обладал автор статьи. Сам не проверял. А arp poisoning - это, конечно, круто, но уже сложнее чуточку потом объяснить школьникам, как она работает. Но, видимо, это и придется показать, ибо это точно работает. -- Макс Дмитриченко -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Напарить Switch
Wed, 6 Feb 2008 11:44:23 +0300 Max Dmitrichenko [EMAIL PROTECTED] wrote: MD Вполне возможно, что статья - лажа. А возможно это поведение MD конкретно свича, которым обладал автор статьи. Сам не проверял. А MD arp poisoning - это, конечно, круто, но уже сложнее чуточку потом MD объяснить школьникам, как она работает. Но, видимо, это и придется MD показать, ибо это точно работает. Это не лажа, это действительно так, но очень сильно зависит от модели свича. -- Best regards, Alexander GQ Gerasiov Contacts: e-mail:[EMAIL PROTECTED] Jabber: [EMAIL PROTECTED] Homepage: http://gq.net.ru ICQ: 7272757 PGP fingerprint: 0628 ACC7 291A D4AA 6D7D 79B8 0641 D82A E3E3 CE1D -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Напарить Switch
Wed, 6 Feb 2008 11:57:22 +0300 Mikhail A Antonov [EMAIL PROTECTED] wrote: MAA На сколько я помню, это было правдой, но для того чтобы свитч MAA превратился в хаб, ему надо было переполнить ARP-таблицу. У свича нету arp-таблицы. У него есть динамическая таблица для маршрутизации кадров по портам в зависимости от мак-адресов. Протокол ARP тут не при чем. Управляемый/неуправляемый - тут не при чем. Просто в свичах поумнее логика работы посложнее, таблицы побольше и можно добавить защиту от такого рода атак. Поэтому с ними провести такой трюк обычно сложнее (а иногда и невозможно). -- Best regards, Alexander GQ Gerasiov Contacts: e-mail:[EMAIL PROTECTED] Jabber: [EMAIL PROTECTED] Homepage: http://gq.net.ru ICQ: 7272757 PGP fingerprint: 0628 ACC7 291A D4AA 6D7D 79B8 0641 D82A E3E3 CE1D -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Напарить Switch
On Tuesday 05 February 2008 12:42, Mikhail A Antonov wrote: arping зовут arping не позволяет использвать чужой MAC-адрес в качестве источника. К тому же я тут подумал, что ARP - это жестковато в данном случае. Спуфить кэш всех компов в классе - задача не стоит. Необходимо лишь перехитрить свич так, чтобы пакеты определенного MAC-адреса он слал не только в ту дырку, где живет это MAC-адрес, но и в мою (ну или во все). Точнее адреса должно быть два - компутер жертва и default gateway. Соответственно, switch можно просто накормить какими-нить фреймами Ethernet. Даже не обязательно, чтобы arp. Мне казалось, что я где-то читал, что такой метод работает, правда не помню, что там за свичи были. -- Макс Дмитриченко -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Напарить Switch
,--[Max Dmitrichenko [EMAIL PROTECTED] 05/02/2008 12:24 (GMT +3) | Привет всем! | | А есть какая-нить готовая тулза, которая может понарассылать ARP-пакетов | от левого (чужого) MAC-адреса, чтобы отравить кэш свича? В принципе могу и | сам накодить, но если есть готовая... | | P.S.: Кстати, кто-нить проверял на практике как ведут себя свичи, когда | пакеты с одинаковыми MAC-адресами источников прут с разных дырок? | | P.P.S: Нужно в образовательных целях для проведения факультатива в школе | :) | | -- | Макс Дмитриченко `- arping зовут -- Best regards, Mikhail Bart-mdv- @ SolarNet IRC: irc.solarnet.ru WWW: http://www.solarnet.ru/ -- Старое время потому и доброе, что - молодое! -- Евгений Кащеев signature.asc Description: This is a digitally signed message part.
Re: Напарить Switch
В Вто, 05/02/2008 в 12:24 +0300, Max Dmitrichenko пишет: Привет всем! А есть какая-нить готовая тулза, которая может понарассылать ARP-пакетов от левого (чужого) MAC-адреса, чтобы отравить кэш свича? В принципе могу и сам накодить, но если есть готовая... P.S.: Кстати, кто-нить проверял на практике как ведут себя свичи, когда пакеты с одинаковыми MAC-адресами источников прут с разных дырок? Это наверно смотря какие свичи. Скорее всего входящие он пропустит, и будет запоминать на каком порту последний раз видел этот мак, чтобы потом туда исход пускать. -- Покотиленко Костик [EMAIL PROTECTED] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Напарить Switch
05.02.08, Max Dmitrichenko [EMAIL PROTECTED] написал(а): On Tuesday 05 February 2008 12:42, Mikhail A Antonov wrote: arping зовут arping не позволяет использвать чужой MAC-адрес в качестве источника. К тому же я тут подумал, что ARP - это жестковато в данном случае. Спуфить кэш всех компов в классе - задача не стоит. Необходимо лишь перехитрить свич так, чтобы пакеты определенного MAC-адреса он слал не только в ту дырку, где живет это MAC-адрес, но и в мою (ну или во все). Точнее адреса должно быть два - компутер жертва и default gateway. Соответственно, switch можно просто накормить какими-нить фреймами Ethernet. Даже не обязательно, чтобы arp. Мне казалось, что я где-то читал, что такой метод работает, правда не помню, что там за свичи были. А почему бы не попробовать сменить собственный MAC и IP на чужой и не поработать в сети с таким режимом? Никакого конфликта не произойдет, а вот свич может удивиться. -- Stanislav V. Kogut http://stasikos.livejournal.com
Re: Напарить Switch
On Tuesday 05 February 2008 12:57, Stanislav Kogut wrote: 05.02.08, Max Dmitrichenko [EMAIL PROTECTED] написал(а): А почему бы не попробовать сменить собственный MAC и IP на чужой и не поработать в сети с таким режимом? Никакого конфликта не произойдет, а вот свич может удивиться. Хм... надо бы поэкспериментировать :) -- Макс Дмитриченко -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Напарить Switch
On Tuesday 05 February 2008 13:07, Покотиленко Костик wrote: Есть такое дело, я как-то пробовал. Забыл как называется этот тип атаки, но получилось пропускать все пакеты через себя и проснифить их. Однако после этого пару дней сеть шторило непонятным образом :/ Если не ошибаюсь, использовал ettercap. Судя по apt-cache show то, что надо. Попробую спасибо. -- Макс Дмитриченко -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Напарить Switch
,--[Max Dmitrichenko [EMAIL PROTECTED] 05/02/2008 13:18 (GMT +3) | -s MAC Set source MAC address. You may need to use -p with this. | -p Turn on promiscious mode on interface, use this if you don’t own | the MAC address you are using. | | Видимо у нас разные arping'и. У меня в man'е этих строк нет :( | `- Посмотрел в lenny и в etch - есть в обоих. -- Best regards, Mikhail Bart-mdv- @ SolarNet IRC: irc.solarnet.ru WWW: http://www.solarnet.ru/ -- Когда женщина ярка, она чаще всего к тому же еще и шумлива. -- Г. Ландау signature.asc Description: This is a digitally signed message part.
Re: Напарить Switch
,--[Max Dmitrichenko [EMAIL PROTECTED] 05/02/2008 15:06 (GMT +3) | $ dpkg -l | grep arping | ii iputils-arping 20020927-6 Tool to send ICMP echo requests to an ARP ad | | Нету там этих строк в man'е. | `- # dpkg -l | grep arping ii arping 2.05-2 sends IP and/or ARP pings (to the MAC addres -- Best regards, Mikhail Bart-mdv- @ SolarNet IRC: irc.solarnet.ru WWW: http://www.solarnet.ru/ -- Что толку в мирном атоме, если человек зол?! -- Евгений Кащеев signature.asc Description: This is a digitally signed message part.
Re: Напарить Switch
On Tuesday 05 February 2008 13:36, Mikhail A Antonov wrote: ,--[Max Dmitrichenko [EMAIL PROTECTED] 05/02/2008 13:18 (GMT +3) | -s MAC Set source MAC address. You may need to use -p with this. | -p Turn on promiscious mode on interface, use this if you don’t own | the MAC address you are using. | | Видимо у нас разные arping'и. У меня в man'е этих строк нет :( | `- Посмотрел в lenny и в etch - есть в обоих. $ dpkg -l | grep arping ii iputils-arping 20020927-6 Tool to send ICMP echo requests to an ARP ad Нету там этих строк в man'е. -- Макс Дмитриченко -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Напарить Switch
В Tue, 5 Feb 2008 12:51:49 +0300 Max Dmitrichenko [EMAIL PROTECTED] пишет: On Tuesday 05 February 2008 12:42, Mikhail A Antonov wrote: arping зовут arping не позволяет использвать чужой MAC-адрес в качестве источника. К тому же я тут подумал, что ARP - это жестковато в данном случае. Спуфить кэш всех компов в классе - задача не стоит. Необходимо лишь перехитрить свич так, чтобы пакеты определенного MAC-адреса он слал не только в ту дырку, где живет это MAC-адрес, но и в мою (ну или во все). Точнее адреса должно быть два - компутер жертва и default gateway. Соответственно, switch можно просто накормить какими-нить фреймами Ethernet. Даже не обязательно, чтобы arp. Мне казалось, что я где-то читал, что такой метод работает, правда не помню, что там за свичи были. имхо врядли. arp-таблицы обычно содержат только последний запрос для данного ip. а хитрить особо не надо - arp не хранит состояние. Другими словами, от не отличает отзыв на свой запрос от обычной лапши. Достаточно сформировать arp-пакет с reply, что дескать такой-то ip соответствует такому-то адресу. Для незаметной прослушки придётся вклинится между узлами - исказить кэш так, чтобы обмен шел через тебя (та же схема, только не в один, а в два-три хода). Это должны уметь dsniff, hunt, ettercap. -- Timohty Silent
Re: Напарить Switch
Max Dmitrichenko пишет: Привет всем! А есть какая-нить готовая тулза, которая может понарассылать ARP-пакетов от левого (чужого) MAC-адреса, чтобы отравить кэш свича? В принципе могу и сам накодить, но если есть готовая... а чуть более полезная тулза из пакета http://packages.debian.org/dsniff по имени arpspoof не спасет? P.S.: Кстати, кто-нить проверял на практике как ведут себя свичи, когда пакеты с одинаковыми MAC-адресами источников прут с разных дырок? P.P.S: Нужно в образовательных целях для проведения факультатива в школе :) -- With MBR Max CCSA/CCSE -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Напарить Switch
05.02.08, Grey Fenrir[EMAIL PROTECTED] написал(а): В Tue, 5 Feb 2008 12:51:49 +0300 Max Dmitrichenko [EMAIL PROTECTED] пишет: On Tuesday 05 February 2008 12:42, Mikhail A Antonov wrote: arping зовут arping не позволяет использвать чужой MAC-адрес в качестве источника. К тому же я тут подумал, что ARP - это жестковато в данном случае. Спуфить кэш всех компов в классе - задача не стоит. Необходимо лишь перехитрить свич так, чтобы пакеты определенного MAC-адреса он слал не только в ту дырку, где живет это MAC-адрес, но и в мою (ну или во все). Точнее адреса должно быть два - компутер жертва и default gateway. Соответственно, switch можно просто накормить какими-нить фреймами Ethernet. Даже не обязательно, чтобы arp. Мне казалось, что я где-то читал, что такой метод работает, правда не помню, что там за свичи были. имхо врядли. arp-таблицы обычно содержат только последний запрос для данного ip. а хитрить особо не надо - arp не хранит состояние. Другими словами, от не отличает отзыв на свой запрос от обычной лапши. Достаточно сформировать arp-пакет с reply, что дескать такой-то ip соответствует такому-то адресу. Для незаметной прослушки придётся вклинится между узлами - исказить кэш так, чтобы обмен шел через тебя (та же схема, только не в один, а в два-три хода). Это должны уметь dsniff, hunt, ettercap. На свиче (который не 3го уровня) не ARP-таблица (она там есть, но не более чем для управления свичём), а таблица MAC-порт. ARP портят тому, кого хотят послушать. -- Regards, Yuri Kozlov
Re: Напарить Switch
06.02.08, Damir Hakimov [EMAIL PROTECTED] написал(а): я бы предположил, что нужно использовать arp proxy. Ведь это помогает для организации шлюзов по умолчанию. Хотя правильнее использовать свич, который может транслировать *все* пакеты на какой-либо порт. Мой 3Com 2226 умеет. Мне кажется, вы что-то путаете насчет arp-proxy. У него есть два очевидных применения, но среди них нет arp poisoning. -- Stanislav V. Kogut http://stasikos.livejournal.com
Re: Напарить Switch
06.02.08, Stanislav Kogut[EMAIL PROTECTED] написал(а): Мне кажется, вы что-то путаете насчет arp-proxy. У него есть два очевидных применения, но среди них нет arp poisoning. Мда. что-то напутал. Хотя по смыслу, вроде именно то что надо - выдавать свой mac в ответ на who has. Только прокси тут ни при чём. вот еще кстати: netwox 73 --ips 1.2.3.4 --eths 0:a:b:c:d:e -- DamirX