ARP-спуфинг. Взлом, защита и описание технологии

Уязвимости, взломы и способы защиты. Вирусы здесь не обсуждаются

Модераторы: Tim308, phantom

Ответить

sT1myL
Интересующийся
Сообщения: 21
Зарегистрирован: 26 янв 2015, 12:05
Репутация: 3
Статус: Не в сети

ARP-спуфинг. Взлом, защита и описание технологии

Сообщение sT1myL » 26 янв 2015, 13:01

Шёл я как-то домой и думал, и вот что надумал. Скоро умрёт этот вид атаки . Я бери только сайты , ибо по умолчанию браузеры идут по https . значит парольчики не собрать , ну смб и прочие протоколы я не рассматриваю.

Аватара пользователя

Автор темы
DesignerMix
Администратор
Администратор
Сообщения: 5056
Зарегистрирован: 25 апр 2014, 10:51
Есть ответ: 186
Репутация: 571
Откуда: Белгород
Контактная информация:
Статус: Не в сети

ARP-спуфинг. Взлом, защита и описание технологии

Сообщение DesignerMix » 26 янв 2015, 13:46

sT1myL писал(а): Скоро умрёт этот вид атаки . Я бери только сайты
Этот вид атаки настолько древний что уже давно должен был стать неактуальным, но это и по сей день не так. Довольно сложно бороться с уязвимостями которые на таком низком уровне.

А перевести сайты полностью на https не просто так как например крупные проекты вроде yandex, google и прочих из-за большого объема трафика и пользователей, а также множества географически распределенных серверов не могут просто взять и вынудить всех использовать https. Проблем много, в том числе и разнообразие браузеров некоторые из которых некорректно работают с сертификатами, разные временные зоны, необходимость создания кэширующих серверов с сертификатами. При этом я согласен что технологии не стоят на месте и эти задачи уже решаются, но google например пока работает и по http и по https.

PS: Плюс как вы верно заметили эта уязвимость касается не только сайтов, а и вообще всей информации которой обмениваются по сети. Например если такая уязвимость не будет закрыта в сети предприятия то можно запросто скопировать все документы которыми пользователи будут обмениваться внутри локальной сети.

Аватара пользователя

Heretic
Новичок
Сообщения: 14
Зарегистрирован: 03 ноя 2014, 00:34
Репутация: 0
Статус: Не в сети

ARP-спуфинг. Взлом, защита и описание технологии

Сообщение Heretic » 27 фев 2015, 21:32

Помогите! при сканировании мак адресов в K&b ip атакующего ноута не видно только модем 192.168.1.1 а и смартфон видит а вот 2 ноута подкл к модему каин и аб не отображает. почему?

Аватара пользователя

Автор темы
DesignerMix
Администратор
Администратор
Сообщения: 5056
Зарегистрирован: 25 апр 2014, 10:51
Есть ответ: 186
Репутация: 571
Откуда: Белгород
Контактная информация:
Статус: Не в сети

ARP-спуфинг. Взлом, защита и описание технологии

Сообщение DesignerMix » 27 фев 2015, 21:41

Heretic писал(а): ip атакующего ноута не видно
Так и должно быть
Heretic писал(а): а вот 2 ноута подкл к модему каин и аб не отображает
Запустите сканирование несколько раз.

Аватара пользователя

Heretic
Новичок
Сообщения: 14
Зарегистрирован: 03 ноя 2014, 00:34
Репутация: 0
Статус: Не в сети

ARP-спуфинг. Взлом, защита и описание технологии

Сообщение Heretic » 27 фев 2015, 21:47

сто раз сканировал не отбр. другой вопрос эта прога может только одному устройству сообщать что мой атак ноут явл роутером

Аватара пользователя

Автор темы
DesignerMix
Администратор
Администратор
Сообщения: 5056
Зарегистрирован: 25 апр 2014, 10:51
Есть ответ: 186
Репутация: 571
Откуда: Белгород
Контактная информация:
Статус: Не в сети

ARP-спуфинг. Взлом, защита и описание технологии

Сообщение DesignerMix » 27 фев 2015, 21:56

Heretic писал(а): сто раз сканировал не отбр.
А ноутбуки в той-же подсети что и атакующий компьютер? Диапазон для сканирования выбран правильно?
Heretic писал(а): другой вопрос эта прога может только одному устройству сообщать что мой атак ноут явл роутером
Нет, если зажать шифт то можно выбрать несколько адресатов для передачи им поддельных ARP-ответов. Но если атакован будет роутер то вообще весь трафик в сети будет проходить через вас.

Аватара пользователя

Heretic
Новичок
Сообщения: 14
Зарегистрирован: 03 ноя 2014, 00:34
Репутация: 0
Статус: Не в сети

ARP-спуфинг. Взлом, защита и описание технологии

Сообщение Heretic » 27 фев 2015, 22:21

1 -да
2- т.е выбрать во втором столбике 192.168.1.1
сейчас я покопался и понял что это теперь бесполезно так ка меняй не меняй https на http к примеру сайт vk.com автоматически ставит https и следовательно ни каких куков а как тогда можно ещё пользоваться перехватом пакетов если https не работает или какие виды использования есть этой уязвимости можно так сказать?

Аватара пользователя

Автор темы
DesignerMix
Администратор
Администратор
Сообщения: 5056
Зарегистрирован: 25 апр 2014, 10:51
Есть ответ: 186
Репутация: 571
Откуда: Белгород
Контактная информация:
Статус: Не в сети

ARP-спуфинг. Взлом, защита и описание технологии

Сообщение DesignerMix » 27 фев 2015, 22:39

Heretic писал(а): 1 -да
А ваш роутер не использует изоляцию клиентов или может быть у вас настроен Vlan?
Heretic писал(а): сейчас я покопался и понял что это теперь бесполезно так ка меняй не меняй https на http к примеру сайт vk.com автоматически ставит https
Это не так. Это может быть так только в случае если используется расширение которое меняет протокол, либо в настройках вконтакте в пункте Безопасность установлена галочка Всегда использовать защищенное соединение (HTTPS).


Elusive-F
Новичок
Сообщения: 3
Зарегистрирован: 07 мар 2015, 08:43
Репутация: 0
Статус: Не в сети

ARP-спуфинг. Взлом, защита и описание технологии

Сообщение Elusive-F » 07 мар 2015, 08:48

Почему у меня ничего не приходит?
Как то так выводится и все
http://rghost.ru/7F6fpQDT6.view

Аватара пользователя

Автор темы
DesignerMix
Администратор
Администратор
Сообщения: 5056
Зарегистрирован: 25 апр 2014, 10:51
Есть ответ: 186
Репутация: 571
Откуда: Белгород
Контактная информация:
Статус: Не в сети

ARP-спуфинг. Взлом, защита и описание технологии

Сообщение DesignerMix » 07 мар 2015, 12:11

Elusive-F писал(а): Как то так выводится и все
Попробуйте закрыть WireShark. Одновременно корректно работать стоит только с одним снифером


Elusive-F
Новичок
Сообщения: 3
Зарегистрирован: 07 мар 2015, 08:43
Репутация: 0
Статус: Не в сети

ARP-спуфинг. Взлом, защита и описание технологии

Сообщение Elusive-F » 07 мар 2015, 15:52

DesignerMix писал(а):
Elusive-F писал(а): Как то так выводится и все
Попробуйте закрыть WireShark. Одновременно корректно работать стоит только с одним снифером
Не прошло все равно, давайте я чуточку позже видео сделаю о том как все делаю может где я ошибся... ну так думаю более удобней будет нежили писать и скрины показывать))))


voodoo
Новичок
Сообщения: 5
Зарегистрирован: 21 июн 2015, 15:40
Репутация: 0
Статус: Не в сети

ARP-спуфинг. Взлом, защита и описание технологии

Сообщение voodoo » 21 июн 2015, 19:15

Установил KaliLinux на виртуалку(в моем случае это VMWare Worckstation), все запускается интерент есть(использую VMnet8, в свою очередь он получает интернет от беспроводной сети). Такой вопрос, как на виртуальной машине осуществлять ARP атаку если в ARP сетке только сам VMnet8?

Аватара пользователя

Автор темы
DesignerMix
Администратор
Администратор
Сообщения: 5056
Зарегистрирован: 25 апр 2014, 10:51
Есть ответ: 186
Репутация: 571
Откуда: Белгород
Контактная информация:
Статус: Не в сети

ARP-спуфинг. Взлом, защита и описание технологии

Сообщение DesignerMix » 21 июн 2015, 19:31

voodoo, а с чего вы взяли что других устройств нет в сети? Ведь роутер все-равно является шлюзом рас интернет у вас есть и значит что другие устройства также присутствуют. Но если вдруг что можете переключить на мостовое соединение в настройках виртуалки.


voodoo
Новичок
Сообщения: 5
Зарегистрирован: 21 июн 2015, 15:40
Репутация: 0
Статус: Не в сети

ARP-спуфинг. Взлом, защита и описание технологии

Сообщение voodoo » 21 июн 2015, 19:45

DesignerMix, Если я правильно понимаю, о мостом будет VMnet0, но пробленма в том, что он получает интерент от стандартной физической сети(Ethernet 3), а у меня интерент идет от беспроводной сети, получается что при переключении на мост, я теряю соединение с беспроводной сетью и в следствии интернет. Пока что в сетях я не сильно разбираюсь, а поиск по гуглу не дал результата.

Аватара пользователя

Автор темы
DesignerMix
Администратор
Администратор
Сообщения: 5056
Зарегистрирован: 25 апр 2014, 10:51
Есть ответ: 186
Репутация: 571
Откуда: Белгород
Контактная информация:
Статус: Не в сети

ARP-спуфинг. Взлом, защита и описание технологии

Сообщение DesignerMix » 21 июн 2015, 20:14

voodoo писал(а): Если я правильно понимаю, о мостом будет VMnet0
Если выставить настройки так как показано на скриншоте то будет мостовое соединение:
настройки сети vmware.JPG


voodoo
Новичок
Сообщения: 5
Зарегистрирован: 21 июн 2015, 15:40
Репутация: 0
Статус: Не в сети

ARP-спуфинг. Взлом, защита и описание технологии

Сообщение voodoo » 21 июн 2015, 20:29

DesignerMix, я знаю, выставлял, нет сети, пишет что VMnet0 не подключается к сети

Аватара пользователя

Автор темы
DesignerMix
Администратор
Администратор
Сообщения: 5056
Зарегистрирован: 25 апр 2014, 10:51
Есть ответ: 186
Репутация: 571
Откуда: Белгород
Контактная информация:
Статус: Не в сети

ARP-спуфинг. Взлом, защита и описание технологии

Сообщение DesignerMix » 21 июн 2015, 20:43

voodoo писал(а): пробленма в том, что он получает интерент от стандартной физической сети(Ethernet 3), а у меня интерент идет от беспроводной сети
voodoo писал(а): выставлял, нет сети, пишет что VMnet0 не подключается к сети
Я вас понял. Но я так и не понимаю в чем собственно проблема, ведь для ARP-спуффинга не обязательно наличие интернета (хотя при изначальных настройках NAT он у вас был) - важно быть подключенным к любой сети где больше одного устройства. В общем рекомендую получше разобраться с данным вопросом а не делать все наобум.


voodoo
Новичок
Сообщения: 5
Зарегистрирован: 21 июн 2015, 15:40
Репутация: 0
Статус: Не в сети

ARP-спуфинг. Взлом, защита и описание технологии

Сообщение voodoo » 21 июн 2015, 21:04

DesignerMix, вообщем, у меня тсоит модем Промсвязь ADSL M200a(192.168.1.1), к нему подключены 2 устройства, мой компьютер(windows 10 192.168.1.2) и мобильный телефон(ip не знаю), что бы получать пакеты с телефона, мне нужно произвести на него атаку, но как это сделать, если с виртуальной машины я вижу ип модема и как следствие не могу узнать устройства которые подключены к нему
Снимок.PNG

Аватара пользователя

Автор темы
DesignerMix
Администратор
Администратор
Сообщения: 5056
Зарегистрирован: 25 апр 2014, 10:51
Есть ответ: 186
Репутация: 571
Откуда: Белгород
Контактная информация:
Статус: Не в сети

ARP-спуфинг. Взлом, защита и описание технологии

Сообщение DesignerMix » 21 июн 2015, 21:35

voodoo, я упрощу вам задачу... посмотрите видео где я показывал как делать ARP-спуффинг из под Windows с помощью программы Cain&Abel - viewtopic.php?f=7&t=5


voodoo
Новичок
Сообщения: 5
Зарегистрирован: 21 июн 2015, 15:40
Репутация: 0
Статус: Не в сети

ARP-спуфинг. Взлом, защита и описание технологии

Сообщение voodoo » 21 июн 2015, 21:50

DesignerMix, от этого видео растут все ноги проблемы, я его смотрел, решил у себя поробовать, в wireshark все хорошо, свой трафик просматриваю без проблем, находил куки из vk, но когда я в cain пытаюсь найти хосты, ничего не находит, совершенно ничего, перехожу там же на вкладку wifi, выбераю тот же адаптер на котором искал хосты, прекрасно отображает все доступные сети в том числе и мою

Ответить

Вернуться в «Информационная безопасность»

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 1 гость