Domanda Sniffing router

[Agareth]

Salve, sono nuovo in questa community ^_^ volevo fare una domanda solo a scopo informativo, perchè non riesco a capire la teoria.. In una lan dove ci sono vari pc connessi a un router, i dati che arrivano ed escono al router sono sniffabili da un qualsiasi pc? se si, si entra nel router e si leggono i dati o cosa? oppure possono esser sniffati solo se la lan è a "bus" o in altre forme in cui i vari pc sono collegati ad altri pc prima di arrivare al router? Grazie

 

[Stefano Novelli]

Dipende da tanti fattori, uno tra tutti se la connessione fuori dal router è cifrata.

 

[Agareth]

E da cosa lo capisci se è cifrata o meno? se c'è protocollo https o è propio il router che cripta tutti i dati in uscita? e come si fà se sono criptati? P.S ho seguito tutti i tuoi hacklog

 

[insane401]

nei video dell'hacklog mi pare abbia mostrato come sniffare con MITM , questa è una delle tecniche usata per sniffare il traffico , dati dal ome Main In The Middle che letteralmente tradotto significa Uomo nel mezzo ti fa predisporre il tuo pc in un certo modo : mettiamo che ci siano 2 computer sotto una LAN(modem) si chaimano "vittima" e "attaccante" poi c'è "modem(gateway)" e poi "server" ... normalmente i due pc sono connessi al modem per poi stabilire una connessione con il "server" , invece con questa tecnica ingganneremo "vittima"(si possono ingannare anche piu pc , tutti quelli in rete LAN ) come ? noi "attaccante" gli diremo che siamo noi il gateway e non il vero "modem" , quindi se siamo noi il "modem(finto gateway) la connessione andra a stablisti in questo modo "vittima" collegata ad "attaccante"("attaccante" fara passare i dati dal suo pc per poi passarli al modem) collegato al "modem" collegato a "server" vitttima>attaccante>modem>server < in questo modo ci passano davanti tutti i dati di "vittima" .
Se non hai capito c'è anche un video che spiega la teoria in modo molto veloce al minuto 1:15 di questo
Spero di aver soddisfatto la tua richiesta , questo è una delle possibilita , poi come dice murdercore dipende da tanti fattori

 

[Agareth]

Oook più o meno ho capito, e provo anche a fare una prova con kali, non ho capito però come fà a deviare la connessione della vittima e la fà passare per il suo computer senza entrare nel pc vittima, grazie

 

[insane401]

Oook più o meno ho capito, e provo anche a fare una prova con kali, non ho capito però come fà a deviare la connessione della vittima e la fà passare per il suo computer senza entrare nel pc vittima, grazie

In poche parole noi "attaccante" gli diciamo a "vittima" che siamo il modem , la vittima credendo che noi siamo il modem non inviera piu pacchetti al modem , ma al nostro pc , in questo modo noi potremmo leggerli |||(se vuoi solo fare sniffing per vedere i dati) ovviamente dovremmo ricordare al nostro pc che una volta arrivati i pacchetti da "vittima" reindirizzarli subito al modem reale che cosi potra stabilere la connessione intenet .
il collegamento quindi è cosi vittima che manda pacchetti a noi che li leggiamo che poi li rimandiamo al modem e viceversa , in due parole : ci fingiamo di essere il modem .
Se vuoi approfondire puoi vedere questo video , se sai gia come funziona una rete LAN per lo sniffing di rete guarda da minuto 7:54 senno ti consiglio di guadarlo tutto

 

[Agareth]

Ok e fin qui ci sono, però come fai a dirgli al pc vittima che sei il modem se non sei collegato a lui tramite nessun cavo? glie lo dici passando per il modem??

 

[insidehackers]

Oook più o meno ho capito, e provo anche a fare una prova con kali, non ho capito però come fà a deviare la connessione della vittima e la fà passare per il suo computer senza entrare nel pc vittima, grazie

Ogni dispositivo nella rete ha un indirizzo MAC inuvoco, questo indirizzo e chiamato fisico per "non cambia", quando un pc si connette ad una rete ci sono una serie di pacchetti inviati con il protocollo ARP che si scambiano il router e il pc appena collegato, il pc invia un pacchetto arp in cui chiede l'indirizzo MAC del router (Chi è all'IP 192.168.1.1? ) , il router risponde (ARP reply) con il suo ip e il MAC associato e poi invia un altro pacchetto in cui chiede al pc il suo MAC address (Chi è all'IP 192.168.1.2?) il pc risponde con il suo ip e MAC una volta terminata tutta questa fase il router salva l'ip e il MAC del pc nella sua tabella ARP cache
Un esempio di tabella ARP cache di un router
192.168.1.2 -> 01:00:00:00:00:00
192.168.1.3 -> 02:00:00:00:00:00
192.168.1.4 -> 20:00:00:00:00:00

Anche il Pc che si è appena collegato aggiorna la sua tabella ARP cache, in windows puoi controllarla con il comando:
arp -a
Il pc è il router ora utilizzeranno i mac salvati nella loro cache per comunicare tra loro

Allora L'attacco MITM (Man In The Middle) consiste nell' inviare ARP reply modificate, ad esempio ci sono Attaccamte (10:00:00:00:00:00), Vittima(20:00:00:00:00:00) e router(50:00:00:00:00:00) lo sniffing one-way consiste nell'inviare alla vittima un pacchetto ARP reply in cui gli diciamo che l'ip del router non è più associato a 50:00:00:00:00:00 ma invece è associato al MAC dell'attaccante 10:00:00:00:00:00, la vittima aggiorna la sua ARP cache con il mac dell'attaccante al posto di quello del router è quindi da ora in poi la vittima quando comunichera con il router inviera tutti i pacchetti all'attaccante.

 

[insane401]

Bene , lo a spiegato veramente bene , stavo per scrivere del ARP ma lo ha gia fatto lui

 

[Agareth]

Chiarissimo grazie quindi il pc e il router si scambiano questi arp di continuo o solo ogni volta che si stabilisce un collegamento?

 

[insidehackers]

Gli arp vengono scambiati ogni tot di tempo quindi un attacco MITM efficace deve inviare continuamente ARP reply se ti interessa puoi lanciare wireshark con il filtro ARP e vedere i pacchetti originali e quelli modificati

 

[Agareth]

Capito ho visto con wireshark, grazie

 

[Agareth]

Capito ho visto con wireshark, grazie

e la vittima è possibile che se ne accorga? cioè è cosi banale?

 

[insidehackers]

La vittima può avvertire un rallentamento della navigazione oppure se ha installato un software per prevenire ARP spoofing ad esempio ARP Guard su android, verrà avvertito che cè un attacco da un host nella rete e gli verra segnalato il MAC dell'attaccante

 

[Agareth]

Capito grazie

 

[Agareth]

La vittima può avvertire un rallentamento della navigazione oppure se ha installato un software per prevenire ARP spoofing ad esempio ARP Guard su android, verrà avvertito che cè un attacco da un host nella rete e gli verra segnalato il MAC dell'attaccante

Lo spoofing in generale cos'é che l'ho sentito parecchio?