ARP-спуфинг. Взлом, защита и описание технологии

sT1myL · Сообщение **sT1myL** » 26 янв 2015, 13:01

Шёл я как-то домой и думал, и вот что надумал. Скоро умрёт этот вид атаки . Я бери только сайты , ибо по умолчанию браузеры идут по https . значит парольчики не собрать , ну смб и прочие протоколы я не рассматриваю.

YouTube · Сообщение **DesignerMix** » 26 янв 2015, 13:46

sT1myL писал(а): Скоро умрёт этот вид атаки . Я бери только сайты

Этот вид атаки настолько древний что уже давно должен был стать неактуальным, но это и по сей день не так. Довольно сложно бороться с уязвимостями которые на таком низком уровне.

А перевести сайты полностью на https не просто так как например крупные проекты вроде yandex, google и прочих из-за большого объема трафика и пользователей, а также множества географически распределенных серверов не могут просто взять и вынудить всех использовать https. Проблем много, в том числе и разнообразие браузеров некоторые из которых некорректно работают с сертификатами, разные временные зоны, необходимость создания кэширующих серверов с сертификатами. При этом я согласен что технологии не стоят на месте и эти задачи уже решаются, но google например пока работает и по http и по https.

PS: Плюс как вы верно заметили эта уязвимость касается не только сайтов, а и вообще всей информации которой обмениваются по сети. Например если такая уязвимость не будет закрыта в сети предприятия то можно запросто скопировать все документы которыми пользователи будут обмениваться внутри локальной сети.

Heretic · Сообщение **Heretic** » 27 фев 2015, 21:32

Помогите! при сканировании мак адресов в K&b ip атакующего ноута не видно только модем 192.168.1.1 а и смартфон видит а вот 2 ноута подкл к модему каин и аб не отображает. почему?

YouTube · Сообщение **DesignerMix** » 27 фев 2015, 21:41

Heretic писал(а): ip атакующего ноута не видно

Так и должно быть

Heretic писал(а): а вот 2 ноута подкл к модему каин и аб не отображает

Запустите сканирование несколько раз.

Heretic · Сообщение **Heretic** » 27 фев 2015, 21:47

сто раз сканировал не отбр. другой вопрос эта прога может только одному устройству сообщать что мой атак ноут явл роутером

YouTube · Сообщение **DesignerMix** » 27 фев 2015, 21:56

Heretic писал(а): сто раз сканировал не отбр.

А ноутбуки в той-же подсети что и атакующий компьютер? Диапазон для сканирования выбран правильно?

Heretic писал(а): другой вопрос эта прога может только одному устройству сообщать что мой атак ноут явл роутером

Нет, если зажать шифт то можно выбрать несколько адресатов для передачи им поддельных ARP-ответов. Но если атакован будет роутер то вообще весь трафик в сети будет проходить через вас.

Heretic · Сообщение **Heretic** » 27 фев 2015, 22:21

1 -да
2- т.е выбрать во втором столбике 192.168.1.1
сейчас я покопался и понял что это теперь бесполезно так ка меняй не меняй https на http к примеру сайт vk.com автоматически ставит https и следовательно ни каких куков а как тогда можно ещё пользоваться перехватом пакетов если https не работает или какие виды использования есть этой уязвимости можно так сказать?

YouTube · Сообщение **DesignerMix** » 27 фев 2015, 22:39

Heretic писал(а): 1 -да

А ваш роутер не использует изоляцию клиентов или может быть у вас настроен Vlan?

Heretic писал(а): сейчас я покопался и понял что это теперь бесполезно так ка меняй не меняй https на http к примеру сайт vk.com автоматически ставит https

Это не так. Это может быть так только в случае если используется расширение которое меняет протокол, либо в настройках вконтакте в пункте Безопасность установлена галочка Всегда использовать защищенное соединение (HTTPS).

Elusive-F · Сообщение **Elusive-F** » 07 мар 2015, 08:48

Почему у меня ничего не приходит?
Как то так выводится и все
http://rghost.ru/7F6fpQDT6.view

YouTube · Сообщение **DesignerMix** » 07 мар 2015, 12:11

Elusive-F писал(а): Как то так выводится и все

Попробуйте закрыть WireShark. Одновременно корректно работать стоит только с одним снифером

Elusive-F · Сообщение **Elusive-F** » 07 мар 2015, 15:52

DesignerMix писал(а):
Elusive-F писал(а): Как то так выводится и все
Попробуйте закрыть WireShark. Одновременно корректно работать стоит только с одним снифером

Не прошло все равно, давайте я чуточку позже видео сделаю о том как все делаю может где я ошибся... ну так думаю более удобней будет нежили писать и скрины показывать))))

voodoo · Сообщение **voodoo** » 21 июн 2015, 19:15

Установил KaliLinux на виртуалку(в моем случае это VMWare Worckstation), все запускается интерент есть(использую VMnet8, в свою очередь он получает интернет от беспроводной сети). Такой вопрос, как на виртуальной машине осуществлять ARP атаку если в ARP сетке только сам VMnet8?

YouTube · Сообщение **DesignerMix** » 21 июн 2015, 19:31

voodoo, а с чего вы взяли что других устройств нет в сети? Ведь роутер все-равно является шлюзом рас интернет у вас есть и значит что другие устройства также присутствуют. Но если вдруг что можете переключить на мостовое соединение в настройках виртуалки.

voodoo · Сообщение **voodoo** » 21 июн 2015, 19:45

DesignerMix, Если я правильно понимаю, о мостом будет VMnet0, но пробленма в том, что он получает интерент от стандартной физической сети(Ethernet 3), а у меня интерент идет от беспроводной сети, получается что при переключении на мост, я теряю соединение с беспроводной сетью и в следствии интернет. Пока что в сетях я не сильно разбираюсь, а поиск по гуглу не дал результата.

YouTube · Сообщение **DesignerMix** » 21 июн 2015, 20:14

voodoo писал(а): Если я правильно понимаю, о мостом будет VMnet0

Если выставить настройки так как показано на скриншоте то будет мостовое соединение:

voodoo · Сообщение **voodoo** » 21 июн 2015, 20:29

DesignerMix, я знаю, выставлял, нет сети, пишет что VMnet0 не подключается к сети

YouTube · Сообщение **DesignerMix** » 21 июн 2015, 20:43

voodoo писал(а): пробленма в том, что он получает интерент от стандартной физической сети(Ethernet 3), а у меня интерент идет от беспроводной сети

voodoo писал(а): выставлял, нет сети, пишет что VMnet0 не подключается к сети

Я вас понял. Но я так и не понимаю в чем собственно проблема, ведь для ARP-спуффинга не обязательно наличие интернета (хотя при изначальных настройках NAT он у вас был) - важно быть подключенным к любой сети где больше одного устройства. В общем рекомендую получше разобраться с данным вопросом а не делать все наобум.

voodoo · Сообщение **voodoo** » 21 июн 2015, 21:04

DesignerMix, вообщем, у меня тсоит модем Промсвязь ADSL M200a(192.168.1.1), к нему подключены 2 устройства, мой компьютер(windows 10 192.168.1.2) и мобильный телефон(ip не знаю), что бы получать пакеты с телефона, мне нужно произвести на него атаку, но как это сделать, если с виртуальной машины я вижу ип модема и как следствие не могу узнать устройства которые подключены к нему

YouTube · Сообщение **DesignerMix** » 21 июн 2015, 21:35

voodoo, я упрощу вам задачу... посмотрите видео где я показывал как делать ARP-спуффинг из под Windows с помощью программы Cain&Abel - http://dmyt.ru/forum/viewtopic.php?f=7&t=5

voodoo · Сообщение **voodoo** » 21 июн 2015, 21:50

DesignerMix, от этого видео растут все ноги проблемы, я его смотрел, решил у себя поробовать, в wireshark все хорошо, свой трафик просматриваю без проблем, находил куки из vk, но когда я в cain пытаюсь найти хосты, ничего не находит, совершенно ничего, перехожу там же на вкладку wifi, выбераю тот же адаптер на котором искал хосты, прекрасно отображает все доступные сети в том числе и мою