HOW TO: Sniffing en Linux (Ettercap+SSLstrip+Driftnet)

Iniciado por mrfloffy, 6 Enero 2010, 23:35 PM

0 Miembros y 2 Visitantes están viendo este tema.

gerard_88

una pregunta, relativa al post, alguien sabe porque no se puede utilizar lo que comenta el compañero en una red cableada, envez de una inalambrica?

Kubun7u

Cita de: gerard_88 en  6 Mayo 2010, 21:59 PM
una pregunta, relativa al post, alguien sabe porque no se puede utilizar lo que comenta el compañero en una red cableada, envez de una inalambrica?
Porque el ataque MITM con Ettercap se basa en el cambio de la tabla ARP, que soilo tiene sentido en una conexión wifi ya que si estás cableado no tienes una conexión directa con los otros PC's.

Una cosa. Alguien usa Ubuntu/kubuntu 10.04???? A mi con la versión anterior el driftnet no me daba problemas y con esta nueva no me funciona y se queda bloqueado sin mostrar ninguna imagen....

kamsky

"Porque el ataque MITM con Ettercap se basa en el cambio de la tabla ARP, que soilo tiene sentido en una conexión wifi ya que si estás cableado no tienes una conexión directa con los otros PC's."

wtf?!?!
precisamente en las redes conmutadas cableadas es donde se empezó a usar este tipo de ataques, cosa que en las segmentadas no hacía falta ya que el tráfico se envía en este caso a todos los PC's del segmento
----NO HAY ARMA MÁS MORTÍFERA QUE UNA PALABRA BROTADA DE UN CORAZÓN NOBLE, Y UN PAR DE HUEVOS QUE LA RESPALDEN---

                       hack 4 free!!

Kubun7u

Pero en una LAN commutada por paquetes los PC's no reciben los paquetes de los demás sino que se envian directamente al router. Entonces no entiendo como puedes interceptar esos datos a no ser que seas algun tipo de servidor... :S

jezu00

Entonces es que no entiendes como funciona el protocolo de resolucion de direcciones (ARP)

El fallo de diseño, a consta de escalabilidad de la red, es que este protocolo, por decirlo de alguna forma, se "cree" todo lo que le llega.

Entonces en realidad lo que se le dice al pc y al router que somos esa direccion MAC que hace las peticiones para que nos lo envien a nosotros.

Lo que tu te refieres es al mero hecho de sniffar una red sin hacer nada , en una wifi es facil interceptar paquetes que no vallan a ti, pero la topologia es la misma (EN estrella)

rockernault

aver, creo que alguien confunde terminos...

la tabla arp no distingue ethernet o wifi... la verdad eso no tiene nada que ver cuando se intenta usar MiTM,   el modo monitor y el promiscuo, sonn otra cosa muy aparte.....







jursi88

Se ve que dije algo inadecuado en mi anterior post que me lo han eliminado, asi que vuelvo a replantear mi duda, omitiendo comentarios fuera de lugar.

¿Hay alguna manera de defenderse ante un ataque con estos programas? Esta claro que poniendo una clave wpa en tu router es muy dificil, pero en el mundo del wifi nada es seguro del todo. Me comento un amigo que con google safe browsing se solucionaba, pero no estoy muy seguro de ello.

n0more

Un posible protección es utilizar tablas ARP estaticas, asi no podrán falsearlas. También puedes utilizar programas que "vigilan" las tablas de ARP como arpon.


Un saludo!

necoreitor

Muchas gracias, es muy interesante el manual.

De todos modos al seguirlo el fichero log que creo con el sslstrip me aparece siempre con o bytes, y el ettercap me dice que hay un montón de conexiones.

Saludos