ARP-спуфинг. Взлом, защита и описание технологии

[Numb]

То есть я дошел до того момента когда сканирую сеть и у меня находит только 2 объекта , а в видео там их там 3 ! Что я делаю не так ?

Скорее всего в вашем роутете активна функция "Предотвращение сетевых атак", привожу скриншот из инструкции к Tenda W268R

Tenda W268R Предотвращение сетевых атак.PNG

Если хотите поэксперементировать с сетью попробуйте отключить эту функцию на время. Я думаю с отключенной функцией "Prevent Network Attack" все получится.

Спасибо!

[User]

А для чего указывать порт? 8080 порт будет открыватся у нас или у жертвы, почему именно 8080?

[DesignerMix]

User, смысл этого действия в том, что по умолчанию используется локальный порт 80, но он может быть использован другой программой, а т.к. один порт может быть использован одновременно только одной программой, мы и перенаправляем его на порт отличный от 80. Можно указать не только 8080, но любой свободный порт.

[User]

А порт назначается на устройстве взломщика или юзера

[DesignerMix]

User,

смысл этого действия в том, что по умолчанию используется локальный порт 80, но он может быть использован другой программой

[Nautilus]

Доброго времени суток. На 8-09 Ваш мак адрес изменился.Делая все в точности как вы, у меня он не меняется. В чем может быть проблема?

[DesignerMix]

В чем может быть проблема?

Если вы все действительно делаете в точности, то может быть несколько объяснений. Либо на вашем роутере есть защита от ARP-атаки, либо на компьютере который является целью атаки есть какая-то защита.
Напишите модель роутера и антивирус который установлен у вас (если есть).

[Nautilus]

проблема которая наблюдалась ранее исчезла, я вмест того чтобы использовать виртуал бокс, прожог двд, и запустил линукс под лайв. но возникла другая проблема. для начала скажу какой у меня рутер и антивирус. рутер speedport W 724V, антивирус авира бесплатная. проблема такая, логин и пароль не получается перехватить. после сслстрипа хттпс на хттп в браузере жертвы не меняется. но вебспай работает. на вайшерке тоже видно что в таблица постоянно меняеться, то есть потоки, трафик (незнаю как правильно сказать) перехватывается. поможете?

[DesignerMix]

после сслстрипа хттпс на хттп в браузере жертвы не меняется. но вебспай работает.

Какой сайт вы открываете по HTTPS? Дело в том, что на разных сайтах установлены разные SSL-сертификаты защита которых тоже различается... Например на сайте https://online.sberbank.ru/CSAFront/index.do установлен сертификат который:

Обеспечивает получение идентификации от удаленного компьютера
Подтверждает удаленному компьютеру идентификацию вашего компьютера

и его с помошью sslstrip обойти не получится (я проверял).

[Nautilus]

я проверил только майл ру, яндекс. p.s. а есть ли еще какие небудь альтернативы арп спуфингу, похожие. или например как в домашней сети через кали линукс перехватить куки. мне очень нравиться ваш канал, но там реально не хватает уроков по бэктреку/кали линукс/. как с терминалом обращаться итд. было бы очень полезно

[DesignerMix]

а есть ли еще какие небудь альтернативы арп спуфингу, похожие.

DNS-spoofing, атаки на подмену прокси и прочие и прочие...

например как в домашней сети через кали линукс перехватить куки.

Вы видимо невнимательно смотрели ролик, ведь я говорил что для перехвата cookie можно пользоваться различными снифферами, например wireshark. В теме по ссылке я использую его в связке с Cain & Abel и из под Windows, но вы можете запустить под kali linux без проблем.

[Nautilus]

ясно спасибо, просто в голове как то осталось что про перехват куки только для открытых сетей. а что насчет предпоследнего вопроса, почему не получается перехватить? попробовал еще одноклассники, вконтакте, и вот этот сайт . все равно не получается перехватить логин и пароль. но повторюсь что вебспай работает, соответственно снифер тоже.

[DesignerMix]

все равно не получается перехватить логин и пароль. но повторюсь что вебспай работает, соответственно снифер тоже.

Наверняка вы что-то не так делаете, а что я не знаю т.к. вы не описали. Но могу предложить просто запустить ettercap + wireshark и попробовать перехватить не пароль, а сессию, ссылку на видео и тему я вам уже давал.

[Nautilus]

тоесть вместо cain and abel, использовать еттеркап? ок щас попробую в кали линукс.

[Nautilus]

сделал как вы сказали, куки перехватить получилось. перехватил в связке еттеркап и вайршейк. но ссл стрип по прежнему не работает. в ходе атаки заметил некоторые нестыковки, например в терминале после команды ифконфиг влан0, показывает что у меня инет аддр 192.168.2.105 ну а в еттеркапе такого адреса нету. но зато есть 192....100 который не пренадлежит ни моему рутеру, ни моему см артфону. еще нестыковка заключаеться в том что при запуске вайршейка выходи окошечко где написанно.

Lua: Error during loading:
[string "/usr/share/wireshark/init.lua"]:46: dofile has been disabled due to running Wireshark as superuser. See http://wiki.wireshark.org/CaptureSetup/ ... Privileges for help in running Wireshark as an unprivileged user.


а после его закрытия


Running as user "root" and group "root".
This could be dangerous.

If you're running Wireshark this way in order to perform live capture, you may want to be aware that there is a better way documented at
/usr/share/doc/wireshark-common/README.Debian

ну а после его закрытия запускаеться сам вайршерк.

буду очень признателен если вы поможите мне решить данную проблему. зараниее спасибо.

[DesignerMix]

Nautilus, информационные сообщения которые вы получаете при запуске wireshark это не ошибки, они просто предупреждают вас о том что вы запустили wireshark из под рута (суперпользователя) и это может быть опасно. Поэтому некоторые компоненты снифера были отключены. Избавиться от этих уведомлений можно создав нового пользователся с правами обычного юзера и запустив wireshark из под него.

ифконфиг влан0, показывает что у меня инет аддр 192.168.2.105 ну а в еттеркапе такого адреса нету

Он вам локальный IP компьютера с которого запускается сам ettercap не покажет (опять таки в видео это было). А то что вы увидели адрес который не принадлежит вашим устройствам означает что - либо вы не знаете IP-адреса всех ваших устройств (в том числе и подключенных по ethernet), либо к вашему роутеру подключен кто-то со стороны.

[Nautilus]

ясно, спасибо. я сейчас запишу видео в кали линукс где повторяю ваши действия. затем сравю его с вашим видео. и у меня вопрос. будет ли у вас лишних 5 минут, чтобы просмотреть мое видео, и сказать в чем может быть проблема если я сам ее не вычеслю

[DesignerMix]

будет ли у вас лишних 5 минут, чтобы просмотреть мое видео, и сказать в чем может быть проблема

В большинстве случаев проблему по видео вычислять крайне сложно... но посмотреть посмотрю.

[Nautilus]

выслал вам в лс

[DesignerMix]

выслал вам в лс

Посмотрел я видео, ну делаете вы все верно. Как я понял вы пробовали перехватить пароль с mail.ru. Но на данный момент сайт больше нельзя открыть без https! Можете попробовать сами. При открытии ссылки http://www.mail.ru все-равно откроется httpS://www.mail.ru так что уязвимость больше не работает на этом сайте. Не думайте что разработчики сидят без дела. И например многие ресурсы вводят кучу доп. проверок которые следят за тем с какого IP-адреса выполнялось подключение, из какого браузера и прочее. И если одно из условий нарушено то сессия либо завершается, либо предлагают ввести пароль.