Strona 1 z 2 12 OstatniOstatni
Pokaż wyniki 1 do 10 z 12

Temat: Sniffing - jak zasymulować atak

  1. #1
    Zarejestrowany
    Mar 2010
    Postów
    6

    Domyślnie Sniffing - jak zasymulować atak

    Witam, dostałem na uczelni projekt zasymulowania ataku sniffingu i sposobów wykrywania tego typu ataków poprzez IDS.
    Zamierzałem stworzyć sieć LAN pomiędzy hostem, a maszyną wirtualną. Na hoście zainstalować Snorta, który będzie spełniał rolę IDS. Poszukuję teraz rady jak zasymulować atak i jak go wykryć. Myślałem o wykorzystaniu być może jakiegoś exploita. Czy możecie coś polecić?

  2. #2
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    Nie wiem czy uzywajac maszyn wirtualnych dasz rade zasymulowac atak... sniffing dziala lub nie (albo dzialal lepiej lub gorzej) w zaleznosci od tego jak zbudowana jest siec na warstwie sprzetowej - masz switcha, huba, polaczenie bezposrednio kabelkiem, switch niezarzadzalny czy zarzadzalny, czy ma dodatkowe opcje, gdzie wpiety jest IDS itd...

    IMHO nie ma czego testowac na maszynie wirtualnej...
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  3. #3
    Zarejestrowany
    Mar 2010
    Postów
    6

    Domyślnie

    A jeśli użyję switcha i dwóch hostów, jaki program do podsłuchu polecasz żeby zasymulować atak?

  4. #4
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    tcpdump - nic wiecej nie potrzebujesz do sluchania... do analizy tego co tcpdump zlapie mozesz pozniej uzyc wiresharka jesli chcesz gui lub tshark'a jesli pracujesz w konsoli
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  5. #5
    Zarejestrowany
    Mar 2010
    Postów
    6

    Domyślnie

    Sniffowanie na hubie mam już mniej więcej opanowane. Teraz starałem się to zrobić na switchu, niestety 2 aplikacje jakie próbowałem użyć WinArpSpoof i Ettercap wyłączają się zaraz po uruchomieniu (windows 7 - być może to jest problem? - chociaż próbowałem też winarpspoof na xp i też sie wykrzacza). Orientujesz się jak skonfigurować snorta, aby ten wykrywał sniffing? Może być tylko na hubie, jeśli uda się na hubie, to potem na switchu już tylko dla własnej satysfakcji będę próbował

  6. #6
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    Sniffing pasywny (hub) nie wykryjesz programem... snort bedzie slepy bo sniffujacy nic nie wysyla... na switchu L2 trzeba robic arp-spoofing i wtedy mozna cokolwiek wykryc...
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  7. #7
    Zarejestrowany
    Mar 2010
    Postów
    6

    Domyślnie

    Witam ponownie, udało mi sie zrobić ARP - spoofing za pomocą ettercapa spod linuxa. Może w takim razie lepiej jest zrobić metodę wykrywania ARP - Spoofingu, skoro to już udało mi się zrobić Jak wykryć snortem arp spoofing?

  8. #8
    Zarejestrowany
    Sep 2009
    Skąd
    Z Nienacka
    Postów
    396

    Domyślnie

    Witam,

    na dzień dobry wypadałoby zrozumieć sam mechanizm arp spoofingu...

    Możesz podczas ataku odpalić sniffer i podejrzeć ramki i pogooglowac trochę.

    Co do Snort'a to jeśli się nie mylę jest sekcja dotycząca arp spoofingu, ale o tym w manualu

    pozdrawiam

  9. #9
    Zarejestrowany
    Apr 2010
    Postów
    18

    Domyślnie

    Metody wykrywania sniffingu:
    1. Test ARP-spoofing
    2. Test ARP-cache
    3. Test ICMP (jak w 1., tyle że inny protokół. Wysyłamy do sieci ICMP echo request, w nagłówku ze sfałszowanym adresem MAC, karta sieciowa w trybie promiscuous odbierze ten pakiet, a nawet odpowie na niego pakietem ICMP echo reply)
    4. Test DNS (wysyłasz do sieci datagram UDP ze sfałszowanym adresem IP i nasłuchujesz czy w sieci pojawi się datagram UDP skierowany do serwera DNS ze słafszowaym adresem IP - niektóre sniffery nie są całkowicie pasywne w swoim działaniu, dlatego można je wykryć)
    5. Wykrywanie podsłuchu przez pomiar czasu odpowiedzi (niektóre sniffery obciążają karty sieciowe przez co czas ich reakcji na zapytania jest dłuższy - metoda wadliwa bo przecież użytkownik może mieć włączone kilka programów sieciowych aktywnych)
    6. Obrona przed sniffingiem przez statyczne tablice ARP
    7. Reflektometr (czasem sniffer zwiększa ruch w sieci LAN)

    Możesz odpisać na którą metodę reflektujesz to opisze Ci ją dokładniej.

    Źródło: 101 zabezpieczeń przez atakami.

  10. #10
    Zarejestrowany
    Mar 2010
    Postów
    6

    Domyślnie

    Dzięki za odpowiedź. Przeczytałem wszystkie scenriusze z tej książki, ale jednak temat projektu się zmienił w instalacje i konfiguracje Snorta, i pod Snortem wykrywanie arp-spoofing. I tu pojawia się kłopot. Arp-spoofing już udało się zrobić za pomocą ettercapa. Snorta zainstalowałem na WinXP, generalnie postępowałem zgodnie z instrukcją ze strony: Install a MASTER Windows Intrusion Detection System (WinIDS) - BASE Console / Apache Webserver / MySQL Database :: WINSNORT.com :: Home of the Windows Intrusion Detection System!. Wszystko udało się zrobić, w pliku konfiguracyjnym snort.conf zmieniłem linijki odpowiedzialne za arp spoof prepocessor tak jak napisano w manualu (podałem tam adres ip bramy i jego mac), a pomimo tego mam problem z otrzymaniem alertu że ktoś sniffuje w sieci. Czy macie może jakieś porady?

Strona 1 z 2 12 OstatniOstatni

Zasady Postowania

  • Nie możesz zakładać nowych tematów
  • Nie możesz pisać wiadomości
  • Nie możesz dodawać załączników
  • Nie możesz edytować swoich postów
  •  
Subskrybuj

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52