Re: Sniffers
On Sat, 8 Jul 2006 18:27:04 -0400 max [EMAIL PROTECTED] wrote: Una duda. He visto Sniffers como tcpdump o ethereal. Específicamente TCPDump, tengo dudas al respecto. Teoricamente si yo por ejemplo me bajo correos por el protolo POP de un servidor que no utiliza SSL/TLS debería de poder ver con un Snifeers dichos correos. Me he dado cuenta que si activo el Sniffers veo las conexiones con el servidor pero /no veo el mensaje/ que contienen esos paquetes, es decir, el correo que se está enviando o recibiendo. También teoricamente si si yo me conecto vía Telenet a otra computadora todo esta bajo texto plano. Pero entonces cómo hago con tcpdump para ver por ejemplos los comandos que se están ejecutando??? O la contraseña que se está enviando??? Yo como mucho lo mas que he logrado ver es esto: 1023873914.125606 fulton.ssh spider.1145: P 3066603742:3066603806(64) ack 1646168027 win 17520 [tos 0x10] 4510 0068 7e87 4000 4006 3862 c0a8 011e c0a8 0128 0016 0479 b6c8 a8de 621e 87db 5018 4470 1813 e492 152f 23c3 8a2b 4ee7 dbf8 0d48 88e8 0110 2b01 4295 39f4 52c9 a05b 31d7 e3ae 1c62 2dbd d955 d604 b5d2 63d1 8fbc 4ab7 1615 b382 571c 70e0 a368 a03f 425b 6211 Pero mas de ahí no he visto mas. Osea esos paquetes no deberían contener los comando y todas esas cosas? Espero que me resuelvan mi duda, Nos vemos Max Yo usé el Snort una vez para investigar unos problemas con el Samba y lo que vi en los logs fueron cosas del siguiente estilo: 06/01-10:33:16.387041 0:11:11:AD:E6:CF - 0:8:A1:8B:7D:1F type:0x800 len:0x75 a.b.c.d:1098 - x.y.z.t:445 TCP TTL:128 TOS:0x0 ID:24844 IpLen:20 DgmLen:103 DF ***AP*** Seq: 0x4DACB204 Ack: 0x3AA637F7 Win: 0x TcpLen: 20 00 00 00 3B FF 53 4D 42 2E 00 00 00 00 18 07 C8 ...;.SMB 00 00 00 00 00 00 00 00 00 00 00 00 02 00 FF FE 00 00 C0 77 0C FF 00 DE DE 4B 2F 00 00 00 00 00 ...w.K/. 08 00 08 00 00 00 00 00 08 00 00 00 00 00 00 ... Claro, habían muchísima más cosa y en algunas lineas se veía explicitamente el nombre NetBIOS de las máquinas en cuestión. En el manual del Snort decía que si estás en una red de alta-velocidad (10 mbps ya sería alta-velocidad) lo mejor es hacer un log de todo en un archivo e ir a mirarlos después con calma. Saludos. -- Miguel Da Silva. Servicio de Informatica. Facultad de Ciencias.
Re: Sniffers
Teoricamente si yo por ejemplo me bajo correos por el protolo POP de un servidor que no utiliza SSL/TLS debería de poder ver con un Snifeers dichos correos. Me he dado cuenta que si activo el Sniffers veo las conexiones con el servidor pero /no veo el mensaje/ que contienen esos paquetes, es decir, el correo que se está enviando o recibiendo. También teoricamente si si yo me conecto vía Telenet a otra computadora todo esta bajo texto plano. Pero entonces cómo hago con tcpdump para ver por ejemplos los comandos que se están ejecutando??? O la contraseña que se está enviando??? Yo como mucho lo mas que he logrado ver es esto: 1023873914.125606 fulton.ssh spider.1145: P 3066603742:3066603806(64) ack 1646168027 win 17520 [tos 0x10] 4510 0068 7e87 4000 4006 3862 c0a8 011e c0a8 0128 0016 0479 b6c8 a8de 621e 87db 5018 4470 1813 e492 152f 23c3 8a2b 4ee7 dbf8 0d48 88e8 0110 2b01 4295 39f4 52c9 a05b 31d7 e3ae 1c62 2dbd d955 d604 b5d2 63d1 8fbc 4ab7 1615 b382 571c 70e0 a368 a03f 425b 6211 Pero mas de ahí no he visto mas. Osea esos paquetes no deberían contener los comando y todas esas cosas? Añade la opcion -X en tcpdump para hacer un volcado en hexadecimal (el que ves ahora, por defecto) y en ASCII En ethereal, seleccionando un paquete en concreto con el boton derecho la opcion Follow TCP Stream
Re: Sniffers
El Domingo, 9 de Julio de 2006 00:27, max escribió: Una duda. He visto Sniffers como tcpdump o ethereal. Específicamente TCPDump, tengo dudas al respecto. Teoricamente si yo por ejemplo me bajo correos por el protolo POP de un servidor que no utiliza SSL/TLS debería de poder ver con un Snifeers dichos correos. Me he dado cuenta que si activo el Sniffers veo las conexiones con el servidor pero /no veo el mensaje/ que Depende del sniffer y la gui usada. Yo suelo usar ettercap. Cuando estas esnifando en tiempo real, ettercap te muestra las conexiones que se realizan a y desde un equipo o en una red. Si seleccionas una conexion veras todo lo que se transmite. En ethereal la cosa es similar, solo que no lo ves en tiempo real. Lo pones a esnifar y va almacenando todo lo que esnifa, y te indica los paquetes esnifados. Luego al parar de esnifar te muestra en la parte superior los paquetes esnifados y si seleccionas uno, en la parte ifnerior podras ver el paquete perfectamente desglosado, si quieres ver los mails o passwords, tendras que mirar la carga util, alli deberias ver lo que bucas. contienen esos paquetes, es decir, el correo que se está enviando o recibiendo. También teoricamente si si yo me conecto vía Telenet a otra computadora todo esta bajo texto plano. Pero entonces cómo hago con tcpdump para ver por ejemplos los comandos que se están ejecutando??? O la contraseña que se está enviando??? No se si recuerdo bien, pero creo que tcpdump guarda los datos en un formato que entiende ethereal. Abre el dump con ethereal y alli ve buscando. Yo como mucho lo mas que he logrado ver es esto: 1023873914.125606 fulton.ssh spider.1145: P 3066603742:3066603806(64) ack 1646168027 win 17520 [tos 0x10] 4510 0068 7e87 4000 4006 3862 c0a8 011e c0a8 0128 0016 0479 b6c8 a8de 621e 87db 5018 4470 1813 e492 152f 23c3 8a2b 4ee7 dbf8 0d48 88e8 0110 2b01 4295 39f4 52c9 a05b 31d7 e3ae 1c62 2dbd d955 d604 b5d2 63d1 8fbc 4ab7 1615 b382 571c 70e0 a368 a03f 425b 6211 Pero mas de ahí no he visto mas. Osea esos paquetes no deberían contener los comando y todas esas cosas? Un paquete esta compuesto por las cabeceras de los diferentes protocolos o niveles de red sobre los que se envia, y finalmente la carga util. Puede que al principio no encuentres la carga util entre tanta cabecera, por eso ethereal te ira muy bien, el separa por ti cada cosa. Saludos Aritz Beraza [Rei] -- Aritz Beraza Garayalde [Rei] [http://www.ayanami.es] - No enviarás correos en HTML a La Lista. - No harás top-posting, responderás siempre debajo del mail original. - No harás Fwd, a La Lista, siempre reply. pgp804DvIUhSm.pgp Description: PGP signature
Re: Sniffers
El Domingo, 9 de Julio de 2006 12:59, Aritz Beraza Garayalde [Rei] escribió: El Domingo, 9 de Julio de 2006 00:27, max escribió: Una duda. He visto Sniffers como tcpdump o ethereal. Específicamente TCPDump, tengo dudas al respecto. Teoricamente si yo por ejemplo me bajo correos por el protolo POP de un servidor que no utiliza SSL/TLS debería de poder ver con un Snifeers dichos correos. Me he dado cuenta que si activo el Sniffers veo las conexiones con el servidor pero /no veo el mensaje/ que Depende del sniffer y la gui usada. Yo suelo usar ettercap. Cuando estas esnifando en tiempo real, ettercap te muestra las conexiones que se realizan a y desde un equipo o en una red. Si seleccionas una conexion veras todo lo que se transmite. En ethereal la cosa es similar, solo que no lo ves en tiempo real. Lo pones a esnifar y va almacenando todo lo que esnifa, y te indica los paquetes esnifados. Luego al parar de esnifar te muestra en la parte superior los paquetes esnifados y si seleccionas uno, en la parte ifnerior podras ver el paquete perfectamente desglosado, si quieres ver los mails o passwords, tendras que mirar la carga util, alli deberias ver lo que bucas. contienen esos paquetes, es decir, el correo que se está enviando o recibiendo. También teoricamente si si yo me conecto vía Telenet a otra computadora todo esta bajo texto plano. Pero entonces cómo hago con tcpdump para ver por ejemplos los comandos que se están ejecutando??? O la contraseña que se está enviando??? No se si recuerdo bien, pero creo que tcpdump guarda los datos en un formato que entiende ethereal. Abre el dump con ethereal y alli ve buscando. Yo como mucho lo mas que he logrado ver es esto: 1023873914.125606 fulton.ssh spider.1145: P 3066603742:3066603806(64) ack 1646168027 win 17520 [tos 0x10] 4510 0068 7e87 4000 4006 3862 c0a8 011e c0a8 0128 0016 0479 b6c8 a8de 621e 87db 5018 4470 1813 e492 152f 23c3 8a2b 4ee7 dbf8 0d48 88e8 0110 2b01 4295 39f4 52c9 a05b 31d7 e3ae 1c62 2dbd d955 d604 b5d2 63d1 8fbc 4ab7 1615 b382 571c 70e0 a368 a03f 425b 6211 Pero mas de ahí no he visto mas. Osea esos paquetes no deberían contener los comando y todas esas cosas? Un paquete esta compuesto por las cabeceras de los diferentes protocolos o niveles de red sobre los que se envia, y finalmente la carga util. Puede que al principio no encuentres la carga util entre tanta cabecera, por eso ethereal te ira muy bien, el separa por ti cada cosa. Saludos Aritz Beraza [Rei] Hola, una cosa del ethereal, si que lo puedes monitorizar en tiempo real. Al menos que yo sepa utilizandolo con el kismet y el aircrack, me acuerdo que había una opción que te permitía mirar los paquetes a medida que los coge. Sino recuerdo mal, estaba en una de las opciones que te da el menú antes de que se ponga a recoger paquetes (a la derecha en el medio). Saludos Jorge Peñalba
Re: Sniffers
El dom, 09-07-2006 a las 12:59 +0200, Aritz Beraza Garayalde [Rei] escribió: En ethereal la cosa es similar, solo que no lo ves en tiempo real. Lo pones a esnifar y va almacenando todo lo que esnifa, y te indica los paquetes esnifados. Luego al parar de esnifar te muestra en la parte superior los paquetes esnifados y si seleccionas uno, en la parte ifnerior podras ver el paquete perfectamente desglosado, si quieres ver los mails o passwords, tendras que mirar la carga util, alli deberias ver lo que bucas. Sí que existe una opción, cuando le das a capturar fíjate en el menú de la derecha: Update list of packets in real time -- VictorSanchez^2 www.victorsanchez2.net [EMAIL PROTECTED] - signature.asc Description: Esta parte del mensaje está firmada digitalmente
Sniffers
Una duda. He visto Sniffers como tcpdump o ethereal. Específicamente TCPDump, tengo dudas al respecto. Teoricamente si yo por ejemplo me bajo correos por el protolo POP de un servidor que no utiliza SSL/TLS debería de poder ver con un Snifeers dichos correos. Me he dado cuenta que si activo el Sniffers veo las conexiones con el servidor pero /no veo el mensaje/ que contienen esos paquetes, es decir, el correo que se está enviando o recibiendo. También teoricamente si si yo me conecto vía Telenet a otra computadora todo esta bajo texto plano. Pero entonces cómo hago con tcpdump para ver por ejemplos los comandos que se están ejecutando??? O la contraseña que se está enviando??? Yo como mucho lo mas que he logrado ver es esto: 1023873914.125606 fulton.ssh spider.1145: P 3066603742:3066603806(64) ack 1646168027 win 17520 [tos 0x10] 4510 0068 7e87 4000 4006 3862 c0a8 011e c0a8 0128 0016 0479 b6c8 a8de 621e 87db 5018 4470 1813 e492 152f 23c3 8a2b 4ee7 dbf8 0d48 88e8 0110 2b01 4295 39f4 52c9 a05b 31d7 e3ae 1c62 2dbd d955 d604 b5d2 63d1 8fbc 4ab7 1615 b382 571c 70e0 a368 a03f 425b 6211 Pero mas de ahí no he visto mas. Osea esos paquetes no deberían contener los comando y todas esas cosas? Espero que me resuelvan mi duda, Nos vemos Max
Re: como evitar sniffers
Hola, leyendo estos mails con respecto a tunelizar las comunicaciines hacia Internet, en el caso extreo como se podria tunelizar todas las comunicaciones entre mi PC e Internet ??? Lo unico que conozco es una VPN, pero eso es extremo a extremo y no extremo a todo Internet, y conozco el uso de tuneles HTTP que usan un cliente y servidor para encapsular trafico en paquetes httppero como seria encriptar todo mi trafico hacia Internet ??? Gracias A.K. - Original Message - From: Aritz Beraza Garayalde [Rei] [EMAIL PROTECTED] To: Lista_Debian_Spanish debian-user-spanish@lists.debian.org Sent: Sunday, January 23, 2005 7:01 AM Subject: Re: como evitar sniffers On Sat, 22 Jan 2005 19:37:07 +0100, SoTaNeZ [EMAIL PROTECTED] wrote: || || Pueses combatir en parte los ARP poison a tu ordenador y evitar || ataques man in the middle (como habrás hecho tu con el ettercap, por || cierto, muy buen sniffer), pero según donde esté el sniffer no te vas || a librar. Por ejemplo, si el sniffer es el gateway a internet, || despídete de hacer nada salvo encriptar tus conexiones, por que todo || lo que mandes a internet puede ser esnifado. Bien entonces... 1.- Sé que puedo confiar en que el gateway no va a esnifar mis conexiones, y también que los que comparten mi switch no lo van a hacer. Por lo tanto, ¿puede iptables o algún otro programa cortar el tráfico si la MAC del gateway no es la que tiene que ser? ¿Eso impediría que me esnifen? Puedes usar -A INPUT -m mac --mac-source aquí la mac delgateway -s ipdelgateway -j ACCEPT como regla de iptables. Esto solo sirve para ordenadores con ip estática donde puedas definir una equivalencia entre ip y MAC. Además mantener una lista demasiado larga de reglas de este tipo puede ser un tanto cansino, pero debería funcionar. De todas formas no impediría que te esnifen, pero si que te afectase un arp spoofing en el que un cabroncete se quiere hacer pasar por el gateway (la mejor opción si se trata de querer esnifar passwords y demás información personal). Mientras tu comunicaciones vayan en claro (sin encriptar| cifrar), y uses un medio común con otros ordenadores tus comunicaciones son esnifables. Incluso si usas comunicaciones cifradas puedes ser esnifado. No hay una receta mágica que te haga inmune a problemas de seguridad, has de asumir que nunca estás 100% seguro, pero intenta ponerselo más dificil que el resto. 2.- Eso de encriptar todo el tráfico está muy bien, pero si por ejemplo la cuenta de correo que tengo no permite cifrar las sesiones ni nada por el estilo, ¿se puede hacer?. Pues aventurándome en terreno desconocido te diría que un tunel hasta un ordenador fuera de peligro. Por ejemplo si es para salir a internet podrías hacer un túnel al gateway ya que el gateway es de fiar. O a un ordenador al otro lado del gateway (pero esto será más complicado). Saludos Aritz Beraza [Rei] -- Aritz Beraza Garayalde [Rei] ___ [ WWW ] http://evangelion.homelinux.net [jabber] [EMAIL PROTECTED] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: como evitar sniffers
On Sat, 22 Jan 2005 19:37:07 +0100, SoTaNeZ [EMAIL PROTECTED] wrote: || || Pueses combatir en parte los ARP poison a tu ordenador y evitar || ataques man in the middle (como habrás hecho tu con el ettercap, por || cierto, muy buen sniffer), pero según donde esté el sniffer no te vas || a librar. Por ejemplo, si el sniffer es el gateway a internet, || despídete de hacer nada salvo encriptar tus conexiones, por que todo || lo que mandes a internet puede ser esnifado. Bien entonces... 1.- Sé que puedo confiar en que el gateway no va a esnifar mis conexiones, y también que los que comparten mi switch no lo van a hacer. Por lo tanto, ¿puede iptables o algún otro programa cortar el tráfico si la MAC del gateway no es la que tiene que ser? ¿Eso impediría que me esnifen? Puedes usar -A INPUT -m mac --mac-source aquí la mac delgateway -s ipdelgateway -j ACCEPT como regla de iptables. Esto solo sirve para ordenadores con ip estática donde puedas definir una equivalencia entre ip y MAC. Además mantener una lista demasiado larga de reglas de este tipo puede ser un tanto cansino, pero debería funcionar. De todas formas no impediría que te esnifen, pero si que te afectase un arp spoofing en el que un cabroncete se quiere hacer pasar por el gateway (la mejor opción si se trata de querer esnifar passwords y demás información personal). Mientras tu comunicaciones vayan en claro (sin encriptar| cifrar), y uses un medio común con otros ordenadores tus comunicaciones son esnifables. Incluso si usas comunicaciones cifradas puedes ser esnifado. No hay una receta mágica que te haga inmune a problemas de seguridad, has de asumir que nunca estás 100% seguro, pero intenta ponerselo más dificil que el resto. 2.- Eso de encriptar todo el tráfico está muy bien, pero si por ejemplo la cuenta de correo que tengo no permite cifrar las sesiones ni nada por el estilo, ¿se puede hacer?. Pues aventurándome en terreno desconocido te diría que un tunel hasta un ordenador fuera de peligro. Por ejemplo si es para salir a internet podrías hacer un túnel al gateway ya que el gateway es de fiar. O a un ordenador al otro lado del gateway (pero esto será más complicado). Saludos Aritz Beraza [Rei] -- Aritz Beraza Garayalde [Rei] ___ [ WWW ] http://evangelion.homelinux.net [jabber] [EMAIL PROTECTED]
Re: como evitar sniffers
¿hay alguna manera de saber desde un puesto, si algún ordenado r de la LAN está snifando el trafico? Me refiero a ver si hay algún comando, programa o algo ... para ver si alguna tarjeta de red está en modo promiscuo, no entiendo mucho del tema, pero estaría bien saberlo - Original Message - From: Aritz Beraza Garayalde [Rei] [EMAIL PROTECTED] To: Lista_Debian_Spanish debian-user-spanish@lists.debian.org Sent: Sunday, January 23, 2005 11:01 AM Subject: Re: como evitar sniffers On Sat, 22 Jan 2005 19:37:07 +0100, SoTaNeZ [EMAIL PROTECTED] wrote: || || Pueses combatir en parte los ARP poison a tu ordenador y evitar || ataques man in the middle (como habrás hecho tu con el ettercap, por || cierto, muy buen sniffer), pero según donde esté el sniffer no te vas || a librar. Por ejemplo, si el sniffer es el gateway a internet, || despídete de hacer nada salvo encriptar tus conexiones, por que todo || lo que mandes a internet puede ser esnifado. Bien entonces... 1.- Sé que puedo confiar en que el gateway no va a esnifar mis conexiones, y también que los que comparten mi switch no lo van a hacer. Por lo tanto, ¿puede iptables o algún otro programa cortar el tráfico si la MAC del gateway no es la que tiene que ser? ¿Eso impediría que me esnifen? Puedes usar -A INPUT -m mac --mac-source aquí la mac delgateway -s ipdelgateway -j ACCEPT como regla de iptables. Esto solo sirve para ordenadores con ip estática donde puedas definir una equivalencia entre ip y MAC. Además mantener una lista demasiado larga de reglas de este tipo puede ser un tanto cansino, pero debería funcionar. De todas formas no impediría que te esnifen, pero si que te afectase un arp spoofing en el que un cabroncete se quiere hacer pasar por el gateway (la mejor opción si se trata de querer esnifar passwords y demás información personal). Mientras tu comunicaciones vayan en claro (sin encriptar| cifrar), y uses un medio común con otros ordenadores tus comunicaciones son esnifables. Incluso si usas comunicaciones cifradas puedes ser esnifado. No hay una receta mágica que te haga inmune a problemas de seguridad, has de asumir que nunca estás 100% seguro, pero intenta ponerselo más dificil que el resto. 2.- Eso de encriptar todo el tráfico está muy bien, pero si por ejemplo la cuenta de correo que tengo no permite cifrar las sesiones ni nada por el estilo, ¿se puede hacer?. Pues aventurándome en terreno desconocido te diría que un tunel hasta un ordenador fuera de peligro. Por ejemplo si es para salir a internet podrías hacer un túnel al gateway ya que el gateway es de fiar. O a un ordenador al otro lado del gateway (pero esto será más complicado). Saludos Aritz Beraza [Rei] -- Aritz Beraza Garayalde [Rei] ___ [ WWW ] http://evangelion.homelinux.net [jabber] [EMAIL PROTECTED] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: como evitar sniffers
iñigo wrote: ¿hay alguna manera de saber desde un puesto, si algún ordenado r de la LAN está snifando el trafico? Me refiero a ver si hay algún comando, programa o algo ... para ver si alguna tarjeta de red está en modo promiscuo, no entiendo mucho del tema, pero estaría bien saberlo Si, Ettercap puede con todo. Hay un plug-in para detectar tarjetas en modo promiscuo y para detectar si hay alguien haciendo arp poison. nos vemos, Quimi -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
como evitar sniffers
Hola. Estoy en una red local bastante grande con un montón de ordenadores conectados a una única salida a internet. La red consiste en ordenadores conectados a switches (máximo 4 ordenadores en cada switch) que van todos a un ordenador (con linux, qos y demás) que hace de gateway y que yo no manejo. He estado jugueteando con el ettercap y he comprobado que usando arp poisoning se puede snifar un montón de conexiones (no sé si todas) y también claves y demás. Igual que lo estoy haciendo yo lo puede hacer cualquiera por lo que veo. ¿Hay alguna forma de evitar que me snifen mi conexión? Gracias y un saludo.
Re: como evitar sniffers
No se si te servirá de mucha ayuda pero encriptando todas tus conexiones. Enviando emails con cifrado y haciendo conexiones remotas por ssh. etc.. No puedes evitar que quien esté enganchado en ese switch no te puedan leer, pero si que lo que lean no se entienda ;). Salu2. El sáb, 22-01-2005 a las 12:51 +0100, SoTaNeZ escribió: Hola. Estoy en una red local bastante grande con un montón de ordenadores conectados a una única salida a internet. La red consiste en ordenadores conectados a switches (máximo 4 ordenadores en cada switch) que van todos a un ordenador (con linux, qos y demás) que hace de gateway y que yo no manejo. He estado jugueteando con el ettercap y he comprobado que usando arp poisoning se puede snifar un montón de conexiones (no sé si todas) y también claves y demás. Igual que lo estoy haciendo yo lo puede hacer cualquiera por lo que veo. ¿Hay alguna forma de evitar que me snifen mi conexión? Gracias y un saludo.
Re: como evitar sniffers
Hola. Estoy en una red local bastante grande con un montón de ordenadores conectados a una única salida a internet. La red consiste en ordenadores conectados a switches (máximo 4 ordenadores en cada switch) que van todos a un ordenador (con linux, qos y demás) que hace de gateway y que yo no manejo. Hombre, un switch ya complica ligeramente las cosas de esnifar, con un hub las cosas son todavía más fácil, Aunque los switches también petan. He estado jugueteando con el ettercap y he comprobado que usando arp poisoning se puede snifar un montón de conexiones (no sé si todas) y también claves y demás. Igual que lo estoy haciendo yo lo puede hacer cualquiera por lo que veo. ¿Hay alguna forma de evitar que me snifen mi conexión? Pueses combatir en parte los ARP poison a tu ordenador y evitar ataques man in the middle (como habrás hecho tu con el ettercap, por cierto, muy buen sniffer), pero según donde esté el sniffer no te vas a librar. Por ejemplo, si el sniffer es el gateway a internet, despídete de hacer nada salvo encriptar tus conexiones, por que todo lo que mandes a internet puede ser esnifado. Si no recuerdo mal, otro ataque en redes con switches es floodearlos de manera que los switches se saturen y entren en modo hub, no se si sigue siendo posble, pero me imagino que hoy en día que un solo ordenador consiga floodear un switch tiene que ser virtualmente imposible. Si el switch entra en modo hub se puede hacer un sniff por ip, mucho más sencillo que hacer arp poisons. La recomendación es la de siempre, encriptar tus conexiones, o pedirle al adimnistrador de la red que este al tanto de targetas en modo promiscuo. Saludos Aritz Beraza [Rei] -- Aritz Beraza Garayalde [Rei] ___ [ WWW ] http://evangelion.homelinux.net [jabber] [EMAIL PROTECTED]
como evitar sniffers
Hola. Estoy en una red local bastante grande con un montón de ordenadores conectados a una única salida a internet. La red consiste en ordenadores conectados a switches (máximo 4 ordenadores en cada switch) que van todos a un ordenador (con linux, qos y demás) que hace de gateway y que yo no manejo. He estado jugueteando con el ettercap y he comprobado que usando arp poisoning se puede snifar un montón de conexiones (no sé si todas) y también claves y demás. Igual que lo estoy haciendo yo lo puede hacer cualquiera por lo que veo. ¿Hay alguna forma de evitar que me snifen mi conexión? Gracias y un saludo.
Re: como evitar sniffers
No se si te servirá de mucha ayuda pero encriptando todas tus conexiones. Enviando emails con cifrado y haciendo conexiones remotas por ssh. etc.. No puedes evitar que quien esté enganchado en ese switch no te puedan leer, pero si que lo que lean no se entienda ;). Salu2. El sáb, 22-01-2005 a las 12:51 +0100, SoTaNeZ escribió: Hola. Estoy en una red local bastante grande con un montón de ordenadores conectados a una única salida a internet. La red consiste en ordenadores conectados a switches (máximo 4 ordenadores en cada switch) que van todos a un ordenador (con linux, qos y demás) que hace de gateway y que yo no manejo. He estado jugueteando con el ettercap y he comprobado que usando arp poisoning se puede snifar un montón de conexiones (no sé si todas) y también claves y demás. Igual que lo estoy haciendo yo lo puede hacer cualquiera por lo que veo. ¿Hay alguna forma de evitar que me snifen mi conexión? Gracias y un saludo.
Re: como evitar sniffers
Hola. Estoy en una red local bastante grande con un montón de ordenadores conectados a una única salida a internet. La red consiste en ordenadores conectados a switches (máximo 4 ordenadores en cada switch) que van todos a un ordenador (con linux, qos y demás) que hace de gateway y que yo no manejo. Hombre, un switch ya complica ligeramente las cosas de esnifar, con un hub las cosas son todavía más fácil, Aunque los switches también petan. He estado jugueteando con el ettercap y he comprobado que usando arp poisoning se puede snifar un montón de conexiones (no sé si todas) y también claves y demás. Igual que lo estoy haciendo yo lo puede hacer cualquiera por lo que veo. ¿Hay alguna forma de evitar que me snifen mi conexión? Pueses combatir en parte los ARP poison a tu ordenador y evitar ataques man in the middle (como habrás hecho tu con el ettercap, por cierto, muy buen sniffer), pero según donde esté el sniffer no te vas a librar. Por ejemplo, si el sniffer es el gateway a internet, despídete de hacer nada salvo encriptar tus conexiones, por que todo lo que mandes a internet puede ser esnifado. Si no recuerdo mal, otro ataque en redes con switches es floodearlos de manera que los switches se saturen y entren en modo hub, no se si sigue siendo posble, pero me imagino que hoy en día que un solo ordenador consiga floodear un switch tiene que ser virtualmente imposible. Si el switch entra en modo hub se puede hacer un sniff por ip, mucho más sencillo que hacer arp poisons. La recomendación es la de siempre, encriptar tus conexiones, o pedirle al adimnistrador de la red que este al tanto de targetas en modo promiscuo. Saludos Aritz Beraza [Rei] -- Aritz Beraza Garayalde [Rei] ___ [ WWW ] http://evangelion.homelinux.net [jabber] [EMAIL PROTECTED]
Re: sniffers
Hasta donde yo sé un sniffer se queda escuchando en modo pasivo por un interface y yo creo que no se puede detectar. Pero si además de quedarse escuchando captura y contesta todas las peticiones ARP (haciendo una especie de proxy ARP) y hace que todo el tráfico vaya hacia él, entonces el método que comenta el compañero es válido. Saludos Aritz Beraza Garayalde wrote: On Mon, Dec 30, 2002 at 03:10:35PM +0100, Victor Ruiz Huerga wrote: Aupa, ¿tengo alguna forma de saber si en mi red hay algun sniffer corriendo?, estoy en una red de 12 ordenadores y todos son windows menos mi debian sarge, pues eso que me gustaria saber si hay algun sniffer corriendo, un saludo, Pues si... el problema de sniffar es que te pones en modo promiscuo... puedes mirar que interfaces de red esstan en modo promiscuo. Si no recuerdo mal el ettercap tiene un pluggin que detecta a otros sniffers en la red. Seguramente, con las opciones adecuadas nmap tambien te serviria para detectar interfaces en modo promiscuo: envia un paquete a una MAC inexistente, si alguien responde ese es un presunto sniffer Aritz Beraza
Re: sniffers
Hasta donde yo sé un sniffer se queda escuchando en modo pasivo por un interface y yo creo que no se puede detectar. Pero si además de quedarse escuchando captura y contesta todas las peticiones ARP (haciendo una especie de proxy ARP) y hace que todo el tráfico vaya hacia él, entonces el método que comenta el compañero es válido. hay un tool de los amigos de l0pth, llamando antisniff que permite detectar este tipo de actividades en nuestra red. [1] ahora dependiendo del esquema de tu red, puede ser mas o menos vulnerable a un sniffing por ejm. si usas switch tienes mas dificil el trabajo de los sniffers ya que la forma de trabajar de estos es algo mas confiable que si usaramos un hub, el cual hace broadcast de la informacion recibida a todas los puertos que tiene, ademas de que los primeros tienen opciones de configuracion para ayudar a contrarrestar este tipo de actividades. saludos 1- http://www.securiteam.com/tools/AntiSniff_-_find_sniffers_on_your_local_network.html -- __ http://www.linuxmail.org/ Now with POP3/IMAP access for only US$19.95/yr Powered by Outblaze
sniffers
Aupa, ¿tengo alguna forma de saber si en mi red hay algun sniffer corriendo?, estoy en una red de 12 ordenadores y todos son windows menos mi debian sarge, pues eso que me gustaria saber si hay algun sniffer corriendo, un saludo, -- Victor Ruiz Huerga
Re: sniffers
On Mon, Dec 30, 2002 at 03:10:35PM +0100, Victor Ruiz Huerga wrote: Aupa, ¿tengo alguna forma de saber si en mi red hay algun sniffer corriendo?, estoy en una red de 12 ordenadores y todos son windows menos mi debian sarge, pues eso que me gustaria saber si hay algun sniffer corriendo, un saludo, Pues si... el problema de sniffar es que te pones en modo promiscuo... puedes mirar que interfaces de red esstan en modo promiscuo. Si no recuerdo mal el ettercap tiene un pluggin que detecta a otros sniffers en la red. Seguramente, con las opciones adecuadas nmap tambien te serviria para detectar interfaces en modo promiscuo: envia un paquete a una MAC inexistente, si alguien responde ese es un presunto sniffer Aritz Beraza pgpqtZjdO9oy4.pgp Description: PGP signature
Problemas con los sniffers
Hola a todos/as Tengo un problema cuando quiero seleccionar el tipo de tráfico que quiero capturar con un analizador de protocolo (sniffer). He probado con tcpdump y ethreal y el problema aparece en ambos programas. Resulta que si quiero, por ejemplo, que sólo me muestre paquetes ICMP, pues al ejecutar el programa me aparecen paquetes de otros protocolos: jupiter:# tcpdump icmp tcpdump: listening on eth0 18:57:35.566398 jupiter.23324 sol.32960: P :(48) ack xxx win 13272 ... (DF) 18:57:35.566849 sol.32960 jupiter.2109: . ack 48 win 63032 ... (DF) [tos 0x10] 18:57:35.571185 c-6a2a72d5.se.4662 sol.33217: . xxx:xxx(1448) ack 99490 win 17147 ... (DF) Después la cosa parece que se arregla y sólo muestra paquetes ICMP. Lo mismo sucede si el filtro es distinto. Por ejemplo, si sólo quiero ver los paquetes que vengan de un host determinado pues cuando ejecuto el sniffer me aparecen varios paquetes que no cumplen la condición del filtro. Poco después la cosa se normaliza y los paquetes que muestra el sniffer son los correctos. Parece como si el filtro no entrara en funcionamiento instantaneamente y se le colaran algunos paquetes... Utilizo Debian Woody, con kernel 2.4.16. De tcpdump -V tcpdump version 3.6 libpcap version 0.6 Con el ethreal: This is GNU ethereal 0.8.20, compiled with GTK+ 1.2.10, with GLib 1.2.10, with libpcap 0.6, with libz 1.1.3, with UCD SNMP 4.2.1 ¿Alguna idea de lo que pasa? Saludos y gracias -- Jesús Ángel del Pozo Domínguez Valladolid __ô GnuPG key-id: 0x17FB6CCE _ \_ http://www.tel.uva.es/~jpozdom (_)/(_) _ _ ~0 (_| . - ' - . _ . - ' - . _ . - ' - . |_) O |(_~|^~~| |~~^|~_)| TT/_ TTTT _\HH jgs
