ARP-спуфинг. Взлом, защита и описание технологии

Уязвимости, взломы и способы защиты. Вирусы здесь не обсуждаются

Модераторы: Tim308, phantom

Ответить

Numb
Новичок
Сообщения: 2
Зарегистрирован: 23 июн 2014, 03:59
Репутация: 0
Статус: Не в сети

Re: ARP-спуфинг. Взлом, защита и описание технологии

Сообщение Numb » 02 июл 2014, 11:27


DesignerMix писал(а):
Numb писал(а):То есть я дошел до того момента когда сканирую сеть и у меня находит только 2 объекта , а в видео там их там 3 ! Что я делаю не так ? :?

Скорее всего в вашем роутете активна функция "Предотвращение сетевых атак", привожу скриншот из инструкции к Tenda W268R
Tenda W268R Предотвращение сетевых атак.PNG


Если хотите поэксперементировать с сетью попробуйте отключить эту функцию на время. Я думаю с отключенной функцией "Prevent Network Attack" все получится.

Спасибо!


User
Новичок
Сообщения: 3
Зарегистрирован: 20 июл 2014, 13:55
Репутация: 0
Статус: Не в сети

Re: ARP-спуфинг. Взлом, защита и описание технологии

Сообщение User » 23 июл 2014, 10:07


А для чего указывать порт? 8080 порт будет открыватся у нас или у жертвы, почему именно 8080?

Аватара пользователя

Автор темы
DesignerMix
Администратор
Администратор
Сообщения: 4484
Зарегистрирован: 25 апр 2014, 10:51
Есть ответ: 172
Репутация: 549
Откуда: Белгород
Контактная информация:
Статус: Не в сети

Re: ARP-спуфинг. Взлом, защита и описание технологии

Сообщение DesignerMix » 23 июл 2014, 11:55


User, смысл этого действия в том, что по умолчанию используется локальный порт 80, но он может быть использован другой программой, а т.к. один порт может быть использован одновременно только одной программой, мы и перенаправляем его на порт отличный от 80. Можно указать не только 8080, но любой свободный порт.


User
Новичок
Сообщения: 3
Зарегистрирован: 20 июл 2014, 13:55
Репутация: 0
Статус: Не в сети

Re: ARP-спуфинг. Взлом, защита и описание технологии

Сообщение User » 23 июл 2014, 12:12


А порт назначается на устройстве взломщика или юзера

Аватара пользователя

Автор темы
DesignerMix
Администратор
Администратор
Сообщения: 4484
Зарегистрирован: 25 апр 2014, 10:51
Есть ответ: 172
Репутация: 549
Откуда: Белгород
Контактная информация:
Статус: Не в сети

Re: ARP-спуфинг. Взлом, защита и описание технологии

Сообщение DesignerMix » 23 июл 2014, 12:41


User,
DesignerMix писал(а):смысл этого действия в том, что по умолчанию используется локальный порт 80, но он может быть использован другой программой


Nautilus
Интересующийся
Сообщения: 37
Зарегистрирован: 28 авг 2014, 12:21
Репутация: 0
Статус: Не в сети

Re: ARP-спуфинг. Взлом, защита и описание технологии

Сообщение Nautilus » 28 авг 2014, 12:25


Доброго времени суток. На 8-09 Ваш мак адрес изменился.Делая все в точности как вы, у меня он не меняется. В чем может быть проблема?

Аватара пользователя

Автор темы
DesignerMix
Администратор
Администратор
Сообщения: 4484
Зарегистрирован: 25 апр 2014, 10:51
Есть ответ: 172
Репутация: 549
Откуда: Белгород
Контактная информация:
Статус: Не в сети

Re: ARP-спуфинг. Взлом, защита и описание технологии

Сообщение DesignerMix » 28 авг 2014, 12:48


Nautilus писал(а):В чем может быть проблема?

Если вы все действительно делаете в точности, то может быть несколько объяснений. Либо на вашем роутере есть защита от ARP-атаки, либо на компьютере который является целью атаки есть какая-то защита.
Напишите модель роутера и антивирус который установлен у вас (если есть).


Nautilus
Интересующийся
Сообщения: 37
Зарегистрирован: 28 авг 2014, 12:21
Репутация: 0
Статус: Не в сети

Re: ARP-спуфинг. Взлом, защита и описание технологии

Сообщение Nautilus » 31 авг 2014, 19:13


проблема которая наблюдалась ранее исчезла, я вмест того чтобы использовать виртуал бокс, прожог двд, и запустил линукс под лайв. но возникла другая проблема. для начала скажу какой у меня рутер и антивирус. рутер speedport W 724V, антивирус авира бесплатная. проблема такая, логин и пароль не получается перехватить. после сслстрипа хттпс на хттп в браузере жертвы не меняется. но вебспай работает. на вайшерке тоже видно что в таблица постоянно меняеться, то есть потоки, трафик (незнаю как правильно сказать) перехватывается. поможете?

Аватара пользователя

Автор темы
DesignerMix
Администратор
Администратор
Сообщения: 4484
Зарегистрирован: 25 апр 2014, 10:51
Есть ответ: 172
Репутация: 549
Откуда: Белгород
Контактная информация:
Статус: Не в сети

Re: ARP-спуфинг. Взлом, защита и описание технологии

Сообщение DesignerMix » 31 авг 2014, 19:20


Nautilus писал(а):после сслстрипа хттпс на хттп в браузере жертвы не меняется. но вебспай работает.

Какой сайт вы открываете по HTTPS? Дело в том, что на разных сайтах установлены разные SSL-сертификаты защита которых тоже различается... Например на сайте https://online.sberbank.ru/CSAFront/index.do установлен сертификат который:
Обеспечивает получение идентификации от удаленного компьютера
Подтверждает удаленному компьютеру идентификацию вашего компьютера

и его с помошью sslstrip обойти не получится (я проверял).


Nautilus
Интересующийся
Сообщения: 37
Зарегистрирован: 28 авг 2014, 12:21
Репутация: 0
Статус: Не в сети

Re: ARP-спуфинг. Взлом, защита и описание технологии

Сообщение Nautilus » 31 авг 2014, 19:32


я проверил только майл ру, яндекс. p.s. а есть ли еще какие небудь альтернативы арп спуфингу, похожие. или например как в домашней сети через кали линукс перехватить куки. мне очень нравиться ваш канал, но там реально не хватает уроков по бэктреку/кали линукс/. как с терминалом обращаться итд. было бы очень полезно

Аватара пользователя

Автор темы
DesignerMix
Администратор
Администратор
Сообщения: 4484
Зарегистрирован: 25 апр 2014, 10:51
Есть ответ: 172
Репутация: 549
Откуда: Белгород
Контактная информация:
Статус: Не в сети

Re: ARP-спуфинг. Взлом, защита и описание технологии

Сообщение DesignerMix » 01 сен 2014, 21:44


Nautilus писал(а):а есть ли еще какие небудь альтернативы арп спуфингу, похожие.

DNS-spoofing, атаки на подмену прокси и прочие и прочие...

Nautilus писал(а):например как в домашней сети через кали линукс перехватить куки.

Вы видимо невнимательно смотрели ролик, ведь я говорил что для перехвата cookie можно пользоваться различными снифферами, например wireshark. В теме по ссылке я использую его в связке с Cain & Abel и из под Windows, но вы можете запустить под kali linux без проблем.


Nautilus
Интересующийся
Сообщения: 37
Зарегистрирован: 28 авг 2014, 12:21
Репутация: 0
Статус: Не в сети

Re: ARP-спуфинг. Взлом, защита и описание технологии

Сообщение Nautilus » 01 сен 2014, 22:35


ясно спасибо, просто в голове как то осталось что про перехват куки только для открытых сетей. а что насчет предпоследнего вопроса, почему не получается перехватить? попробовал еще одноклассники, вконтакте, и вот этот сайт :D. все равно не получается перехватить логин и пароль. но повторюсь что вебспай работает, соответственно снифер тоже.

Аватара пользователя

Автор темы
DesignerMix
Администратор
Администратор
Сообщения: 4484
Зарегистрирован: 25 апр 2014, 10:51
Есть ответ: 172
Репутация: 549
Откуда: Белгород
Контактная информация:
Статус: Не в сети

Re: ARP-спуфинг. Взлом, защита и описание технологии

Сообщение DesignerMix » 02 сен 2014, 08:38


Nautilus писал(а):все равно не получается перехватить логин и пароль. но повторюсь что вебспай работает, соответственно снифер тоже.

Наверняка вы что-то не так делаете, а что я не знаю т.к. вы не описали. Но могу предложить просто запустить ettercap + wireshark и попробовать перехватить не пароль, а сессию, ссылку на видео и тему я вам уже давал.


Nautilus
Интересующийся
Сообщения: 37
Зарегистрирован: 28 авг 2014, 12:21
Репутация: 0
Статус: Не в сети

Re: ARP-спуфинг. Взлом, защита и описание технологии

Сообщение Nautilus » 02 сен 2014, 12:20


тоесть вместо cain and abel, использовать еттеркап? ок щас попробую в кали линукс.


Nautilus
Интересующийся
Сообщения: 37
Зарегистрирован: 28 авг 2014, 12:21
Репутация: 0
Статус: Не в сети

Re: ARP-спуфинг. Взлом, защита и описание технологии

Сообщение Nautilus » 02 сен 2014, 13:39


сделал как вы сказали, куки перехватить получилось. перехватил в связке еттеркап и вайршейк. но ссл стрип по прежнему не работает. в ходе атаки заметил некоторые нестыковки, например в терминале после команды ифконфиг влан0, показывает что у меня инет аддр 192.168.2.105 ну а в еттеркапе такого адреса нету. но зато есть 192....100 который не пренадлежит ни моему рутеру, ни моему см артфону. еще нестыковка заключаеться в том что при запуске вайршейка выходи окошечко где написанно.

Lua: Error during loading:
[string "/usr/share/wireshark/init.lua"]:46: dofile has been disabled due to running Wireshark as superuser. See http://wiki.wireshark.org/CaptureSetup/ ... Privileges for help in running Wireshark as an unprivileged user.


а после его закрытия


Running as user "root" and group "root".
This could be dangerous.

If you're running Wireshark this way in order to perform live capture, you may want to be aware that there is a better way documented at
/usr/share/doc/wireshark-common/README.Debian

ну а после его закрытия запускаеться сам вайршерк.

буду очень признателен если вы поможите мне решить данную проблему. зараниее спасибо.

Аватара пользователя

Автор темы
DesignerMix
Администратор
Администратор
Сообщения: 4484
Зарегистрирован: 25 апр 2014, 10:51
Есть ответ: 172
Репутация: 549
Откуда: Белгород
Контактная информация:
Статус: Не в сети

Re: ARP-спуфинг. Взлом, защита и описание технологии

Сообщение DesignerMix » 02 сен 2014, 13:53


Nautilus, информационные сообщения которые вы получаете при запуске wireshark это не ошибки, они просто предупреждают вас о том что вы запустили wireshark из под рута (суперпользователя) и это может быть опасно. Поэтому некоторые компоненты снифера были отключены. Избавиться от этих уведомлений можно создав нового пользователся с правами обычного юзера и запустив wireshark из под него.

Nautilus писал(а):ифконфиг влан0, показывает что у меня инет аддр 192.168.2.105 ну а в еттеркапе такого адреса нету

Он вам локальный IP компьютера с которого запускается сам ettercap не покажет (опять таки в видео это было). А то что вы увидели адрес который не принадлежит вашим устройствам означает что - либо вы не знаете IP-адреса всех ваших устройств (в том числе и подключенных по ethernet), либо к вашему роутеру подключен кто-то со стороны.


Nautilus
Интересующийся
Сообщения: 37
Зарегистрирован: 28 авг 2014, 12:21
Репутация: 0
Статус: Не в сети

Re: ARP-спуфинг. Взлом, защита и описание технологии

Сообщение Nautilus » 02 сен 2014, 14:08


ясно, спасибо. я сейчас запишу видео в кали линукс где повторяю ваши действия. затем сравю его с вашим видео. и у меня вопрос. будет ли у вас лишних 5 минут, чтобы просмотреть мое видео, и сказать в чем может быть проблема если я сам ее не вычеслю

Аватара пользователя

Автор темы
DesignerMix
Администратор
Администратор
Сообщения: 4484
Зарегистрирован: 25 апр 2014, 10:51
Есть ответ: 172
Репутация: 549
Откуда: Белгород
Контактная информация:
Статус: Не в сети

Re: ARP-спуфинг. Взлом, защита и описание технологии

Сообщение DesignerMix » 02 сен 2014, 14:44


Nautilus писал(а):будет ли у вас лишних 5 минут, чтобы просмотреть мое видео, и сказать в чем может быть проблема

В большинстве случаев проблему по видео вычислять крайне сложно... но посмотреть посмотрю.


Nautilus
Интересующийся
Сообщения: 37
Зарегистрирован: 28 авг 2014, 12:21
Репутация: 0
Статус: Не в сети

Re: ARP-спуфинг. Взлом, защита и описание технологии

Сообщение Nautilus » 02 сен 2014, 20:30


выслал вам в лс

Аватара пользователя

Автор темы
DesignerMix
Администратор
Администратор
Сообщения: 4484
Зарегистрирован: 25 апр 2014, 10:51
Есть ответ: 172
Репутация: 549
Откуда: Белгород
Контактная информация:
Статус: Не в сети

Re: ARP-спуфинг. Взлом, защита и описание технологии

Сообщение DesignerMix » 02 сен 2014, 22:53


Nautilus писал(а):выслал вам в лс

Посмотрел я видео, ну делаете вы все верно. Как я понял вы пробовали перехватить пароль с mail.ru. Но на данный момент сайт больше нельзя открыть без https! Можете попробовать сами. При открытии ссылки http://www.mail.ru все-равно откроется httpS://www.mail.ru так что уязвимость больше не работает на этом сайте. Не думайте что разработчики сидят без дела. И например многие ресурсы вводят кучу доп. проверок которые следят за тем с какого IP-адреса выполнялось подключение, из какого браузера и прочее. И если одно из условий нарушено то сессия либо завершается, либо предлагают ввести пароль.