Sniffering forzoso arp?

Iniciado por Rnovatis, 18 Agosto 2016, 20:16 PM

0 Miembros y 1 Visitante están viendo este tema.

Rnovatis

Para hacer sniffer siempre es necesario hacer antes mitm arp envenamiento o no tiene xk ? Xk siempre se habla de hacer sniffering con wireshark pero wireshark no vale para hacer arp por si solo no? A ver si alguien m aclara

warcry.

no es necesario envenenar la red, aunque si es lo mas eficaz

lo normal es hacer un arp-spoofing primero, normalmente suplantando al router, y una vez que te aseguras que todo el trafico va para ti, pues capturas con el wireshark

hay tarjetas wifi que poniéndolas en modo monitor y seleccionando ese interface con el wireshark te pasan todo el trafico, otras aunque estén en modo monitor te comes un colin, cuestión de drivers
HE SIDO BANEADO --- UN PLACER ---- SALUDOS

AlbertoBSD

El wireshark es una de tantas utilidades para ver el trafico de red que llega a tu tajeta de red y nada mas, aplicaciones como estan estan otras como tcpdump, o el IDS snort tambien sirve.

Esas aplicaciones solo ven el trafico de red que llega a la tarjeta pero nada mas...

Para realizar el envenamiento ARP hay otras aplicaciones como:

CitarArpspoof (parte de las herramientas de DSniff), Arpoison, Caín y Abel, Ettercap, Netcat, SwitchSniffer y AyCarrumba son algunas de las herramientas que pueden usarse para llevar a cabo los ataques ARP Poisoning.

https://es.wikipedia.org/wiki/ARP_Spoofing

Ahora este es el foro wireless si tu ya tienes acceso a la red, no necesitas realizar envenenamiento ARP ni nada de eso, el wireless la tarjeta recive todo el trafico wifi por defecto, solo tienes que ponerla en modo promiscuo... o modo monitor (Airmon-ng)

Saludos!
Donaciones
1Coffee1jV4gB5gaXfHgSHDz9xx9QSECVW

Kaxperday

#3
Citar
Ahora este es el foro wireless si tu ya tienes acceso a la red, no necesitas realizar envenenamiento ARP ni nada de eso, el wireless la tarjeta recive todo el trafico wifi por defecto, solo tienes que ponerla en modo promiscuo... o modo monitor (Airmon-ng)

Mm no realmente, puedes tener acceso a la red, estar conectado a la red, estar conectado por el medio que sea, pero no podrás ver todo el tráfico, pues no todo el tráfico de la red pasa por tu tarjeta de red aunque este en modo promiscuo, solo pasarán paquetes que impliquen a tu computadora con los demás equipos de la red y los de broadcast, en ningún caso tráfico IP (por ejemplo) generado por otro equipo de la red.

Respecto a la pregunta, hay muchos tipos de sniffer, si quieres sniffear el tráfico de los otros equipos de tu red entonces sí necesitas ARP spoofing u otros métodos de MITM, de lo contrario solo podrás hacerte un MITM a ti mismo, y snifear solo tu propio tráfico.

Edito: Mmm aunque ahora pensando lo que dices alberto es verdad que en modo promiscuo puedes capturar todos los paquetes de la red pero sin estar conectado a la red CREO pero deberías de desencriptarlos luego en caso de estarlo y para ello necesitarías la contraseña de acceso a la red, pero de ahí a alterar el tráfico y usar SSLStrip y demás que es lo que hacen los buenos sniffers... imposible, a lo sumo ver todo el tráfico de texto plano, mucho más rentable quitar el modo promiscuo y conectarte a la red con el modo monitor, conectarte a la red y lanzar un MITM yo creo es mucho más eficaz, si la red es WEP con promiscuo puedes ver los datos pero solo los de texto plano y el proceso es más complejo, aunque invisible, pero solo funcionaría con wifis WEP.

Saludos.
Cuando el poder económico parasita al político ningún partido ni dictador podrá liberarnos de él. Se reserva el 99% ese poder.

warcry.

Como he dicho antes, si quieres que todo el tráfico pase por ti lo mejor es envenenar la red.

CitarEdito: Mmm aunque ahora pensando lo que dices alberto es verdad que en modo promiscuo puedes capturar todos los paquetes de la red pero sin estar conectado a la red CREO pero deberías de desencriptarlos luego en caso de estarlo y para ello necesitarías la contraseña de acceso a la red, pero de ahí a alterar el tráfico y usar SSLStrip y demás que es lo que hacen los buenos sniffers... imposible

No todos los que sniffan una red pretenden alterar el tráfico, ni usar SSLstrip, una vez que te asocias a un AP, este dispositivo tiene una mala costumbre que es crear un LOG con todo el que ha pasado por alli, y hay veces que te interesa escuchar sin que sepan que estas ahi.

el modo promiscuo ya he comentado antes que depende de los controladores, los kernels nuevos de linux y controladores de los nuevos chipset wifi cada vez son mas restrictivos en el modo promiscuo y en el modo monitor.

tu puedes poner una tarjeta en modo promiscuo y sniffar y solo ver los paquetes broadcast, al igual que tu puedes poner una tarjeta en modo monitor y no poder injectar un paquete.

Citarlo sumo ver todo el tráfico de texto plano, mucho más rentable quitar el modo promiscuo y conectarte a la red con el modo monitor, conectarte a la red y lanzar un MITM yo creo es mucho más eficaz, si la red es WEP con promiscuo puedes ver los datos pero solo los de texto plano y el proceso es más complejo, aunque invisible, pero solo funcionaría con wifis WEP.

Invisible? que yo sepa para usar el modo promiscuo y sniffar tienes que estar asociado a un AP

y que solo funcionaria con claves WEP? creo que te has hecho un lio en esto.

en modo monitor airodump te da una opcion de grabar el trafico del canal, al que luego offline decodificas con la clave y el essid el trafico que te interesa, una opcion que a mi me gusta mucho utilizar, ya que no deja rastro, y vale para WPA
HE SIDO BANEADO --- UN PLACER ---- SALUDOS

Kaxperday

Buenas,

Si lo mejor es envenenar la red, la verdad me hice un lío con el modo promiscuo y monitor, quería decir lo que dices tu, sin conectarte a la red capturar los paquetes y luego desencriptarlos, pero bueno no sé si se podrán inyectar paquetes con éxito usando ese método, además solo valdría para wifis con seguridad WEP por lo que es muy reducido el tipo de ataque, pero el más difícil de detectar tiene pinta de ser.

Saludos.
Cuando el poder económico parasita al político ningún partido ni dictador podrá liberarnos de él. Se reserva el 99% ese poder.

AlbertoBSD

CitarInvisible? que yo sepa para usar el modo promiscuo y sniffar tienes que estar asociado a un AP

Si se puede estar invisible, y si solo funciona con WEP, capturas todo el trafico que llegue a tu tarjeta y aunque este cifrado mediante "WEP" pero si ya conoces la clave es posible solo capturar trafico y desencriptarlo despues. para leerlo con calma en tu casa.

De hecho hace tiempo deje un router con DDWRT conectado a un disco duro capturando todo el trafico de la "zona" y pase 2 dias despues por el Router y el Disco y ya con tiempo descifre casi toda la información..

Y Nadie se entara quien esta escuchando el trafico Wireless

Saludos!
Donaciones
1Coffee1jV4gB5gaXfHgSHDz9xx9QSECVW