AntiSniff

Iniciado por Rò_óbin, 16 Mayo 2011, 14:32 PM

0 Miembros y 1 Visitante están viendo este tema.

Rò_óbin

Buenas.

Estoy haciendo un juego con mi compañero de piso y necesito ayuda.

Verán, estamos aprendiendo un poco de Seguridad y nos propusimos a ir probando con nosotros mismos para ir dominando algo el tema. LLegué al punto de, con Ettercap, sniffar la LAN en la que estamos y así me llevé un tiempo, de risas claro porque le iba soltando pequeñas pistas de lo que estaba consiguiendo, porque después de dos semanas me aburria verle las conversaciones o las webs que visitaba, las mismas que todo el mundo y conversaciones como las de todo el mundo, aburridas para alguien que no sea él. Así que le dije abiertamente que le estaba sniffando la red, asi que le dije que buscara un Antisniffer o algo parecido. Ahora el tema se ha puesto interesante porque lo veo conectado al MSN via MSN Live o Ebuddy... pero no veo movimiento en la red.

¿Como podría seguir monitoreando lo que hace saltandome el Antisniff que tiene?
Yo estoy bajo Ubuntu 9.04 y él tiene Win Vista y otro PC con Win7.

SI alguien, DESPUÉS de ayudarme con esto, se anima a sugerirme que puedo hacer para seguir manteniendo el Jueo interesante, estoy abierto a cualquier comentario. Ya ha cambiado la contraseña 3 veces del MSN, 2 de Megaupload... xDD, en cuanto pueda monitorear lo que hace se lo volveré a hacer, pero ya me cansa siempre lo mismo. Así que, lo dicho... AYUDA!

Muchas gracias a todos! :)

Rò_óbin

Dato que no he dicho es que a parte de Ettercap he usado WireShark y DSniff. Utilizo una tarjeta Wifi, no eth. Y que al usar por ejemplo, ettercap, cuando hago Arp Poisoning ya no me sale nada, como antes me salia, viendolo conectado al MSN, que asi normalmente veía algo, y ahora hago un Port Stealing y me aparecen conexiones a puertos pero los paquetes me aparecen vacios, solo se fija en los puertos al parecer.

Dicho queda!

Rò_óbin

Pues nada, comentaros que aún estoy en la oscuridad referente a este tema...

He estado leyendo, he leido mucho... entre las clases y las tareas pendientes me reta mucho tiempo, pero bueno, recopilando información he conseguido en claro unos datos:

   · Leí esto que escribió Th|ck0 ( http://foro.elhacker.net/hacking_basico/detectar_un_sniffer-t107109.0.html;msg500631 ) :

      "Ethernet manda los paquetes a todos los componentes de la red hasta que uno se hace reponsable de dicho paquete.  Un sniffer lo que hace en si es poner tu tarjeta de red en modo promiscuo, capturando asi en un determinado tiempo ( x ejemplo 30 seg ) la informacion que atraviesa dicha red por determinados puertos ( x ejem;lo el 23, 21, 110, 143 ) permitiendo asi capturar los hashes de las passwd y, como el tiempo de accion de este esta limitado ( 30 seg ) no se arma el lio que se provocaria si el tiempo fuera indefinido /* demasiada informacion de golpe = ataque D.O.S?? */ Pues bien, lo capturado en esos segundos se almacena en un fichero d log y como dije antes, conteniendo asi el login y passwd ya que estan en texto plano. Reconocer un snifer entonces no es tarea tan dificil ( me refiero de forma local! ) ya que con un simple ifconfig ( o, ifconfig -a ) el admin sabra si la tarjeta de red tiene el flag -promisc activado.  Para evitar esto se suele intalar en dicho sistema un troyano del mismo ifconfig que vienen en muchos rootkits y que lo que hacen es ocultar el modo promiscuo. Al correr el sniffer se haria en segundo plano ( o sea, ./sniffer & ) pero daria el cante tambien si hicieramos un 'ps', por lo que la solucion a esto seria la misma de antes : instalar un troyano de 'ps'."

   Pues bueno, en primera instancia se me ocurre que un antisniff PUEDE que tenga en cuenta varias cosas a la hora de trabajar, una de ella es comprobar si tenemos la tarjeta de red está en modo promiscuo, y obligarla a no tenerla así, por lo que me dificulta la tarea del Sniffing. ¿Si logro que no se de cuenta que la estoy poniendo en modo promiscuo servirá? No estoy muy seguro porque al estár corriendose la "cura" en la maquina de mi compañero tendria que usar algún exploit que me abra algún puerto o algo... conectarme con NetCat... No se! Es un poco engorroso todo, porque una vez que hiciera eso tendria que inutilizar el Antisniff y asi poder hacer sniff con tranquilidad solo que se daría cuenta de que el programa no le está corriendo! No es tonto! ¿Alguna idea?

   · Otro dato es que el Antisniff, si es que es un AntiSniff, lo que haya hecho es configurar en el router las tablas ARP estáticas, que solo se puede hacer si las Ip's de red son fijas. No estoy seguro pero puede que lleve 3 dias con la misma Ip LAN y mi novia creo que también, así que estudiaré eso. De ser así lo que ha evitado es que haga ARP SPOOFING, evitando que haga un MITM ya que no puedo redirigir el trafico a mi gusto... Puede, también, que lo haya hecho manualmente tocando el router, pero lo veo menos probable... Nunca se sabe, mejor asegurarse.