• Здраво и добредојдовте на форумот на IT.mk.

    Доколку сеуште не сте дел од најголемата заедница на ИТ професионалци и ентузијасти во Македонија, можете бесплатно да се - процесот нема да ви одземе повеќе од 2-3 минути, а за полесна регистрација овозможивме и регистрирање со Facebook и Steam.

Sniffing

  • Ја почнал/а темата Ata
  • Време на почнување
  • Ја почнал/а темата
  • #1

Ata

Intern
21 април 2007
403
1
Не знам дали овде треба да ја постирам оваа тема, ако не е ова местото, ги молам администраторите да ја преместат ,кај сто треба.

За да се изврши sniffing т.е насчушување на потадотиците на мрежата се користат посебни програми и уридо кои вршат мониторинг на сообраќајот на мрежата. Особено кај безжичните мрежи каде што имаме заеднички медиум овие алатки многу често се користат, притоа се многу опасни, а нивен најголем адут е тоа што многу често можат да собираат податоци од сообраќајот без при тоа да бидат откриени односно во најголем број на случаеви тие не праќаат никакви пакети до останатите уреди на мрежа односно не комуницираат со нив туку едноставно само собираат пакети. Во зависниот од комплексноста на вметнатите алгоритми и структурата на самата програма/уред посотојат обични програми кои можаат да собираат пакети па за задача на корисникот е нив да ги анализира понатаму, до комаерцијални а пред се владини наслушувачи кои имаат можност по собирањето на пакетите да ги составуваат оригиналните податоци кои биле пратени, фаќаат лозинки, имаат можности за филтрирање на податоците, делење на различни групи и подгрупи. Исто така се овозможува да се открие кој се е приклучен на мрежата, кога ќе се фатат одредени податоци се знае од кого потекнуваат и за кого се упатени т.е може многу лесно да се одреди кој со кого во кое време (колку и што) комуницирал.

Најголемиот дел од овие програми не се специјално направени за безжичните мрежи , туку првично се направени за жичани мрежи , но тука мора да се прави разлика од принципот на работа и намена до конкретна употреба. Многу е битно да се разбере дека сите гореспоменати техники и методи не се ограничени строго за одредена технологија или топологија а уште повеќе се строго правени за некоја од нив. Исто така кога станува збор за програми тиле лесно можат да се модифицираат за да се применуваат во најразлични услови.
Многу е побитно да се сватат концептите на нивна работа, примена и делување отколку стриги да се научи да се работи со едредено вакво програмче. Ова го велам бидејќи во денешно време скоро сите програми за кои порано требаа огромни познавања сега визуелно направени и многу лесно се оперира со нив (за некои основни работи се разбира). Многу побитно е да се разбере што се случува во позадина, затоа што за нешто посериозно мора динамички да се променуваат многу поставки во зависнот од ситуацијата во која се изведува нападат, а за тоа потребно е суштинско разбирање.

Има многу вакви open source програми, впрочем најдобрите се такви , како што се : Ethereal, WireShark, Nmap и други. Но има и специјални кои се креирани за строга намена, т.е за употреба на владините агенции па таков е примерот со алатката за масовно следење на сообраќај наречена Carnivore а баше направена пред неколку години за потребите за FBI. Интересно е тоа што нејзината работа и нејзиното постоење не беа воопшто некоја чувана тајна (иако некои детали околу архитектурата на истата, од разбирливи причини не беа кажани), па така можеше да се прочита и интервју со нејзиниот создавател во списаниоето Spectrum кое излегува од IEEE.
 
  • Ја почнал/а темата
  • #2

Ata

Intern
21 април 2007
403
1
Како работат sniffer-ите

За да може да се наслушуваат пакетите прво треба можат да бидат примени од страна на вашата мрежна картичка. За да се овозможи ова таа мора да работи во така наречен promiscuous мод, кој овозможуваа таа да ги прима сите пакети кои се пренесуваат преку мрежата. Ова е важно бидејќи картичките вообичаено се конфигурирани да ги примаат пакетите кои одговараат исклучиво за нивната MAC адреса. Една негативност кај овој мод на работа е што при неговата работа испраќа податоци до мрежата и нај тој начин лесно може да биде откриен. Најчесто се користи при наслушување на жичани мрежи.

Овој проблем не постои кај безичните мрежи бидејќи етерот претставува заеднички делив медиум и секој може да слуша на него нез притоа да мора да се автентицира или асоцира. Затоа овде се користи друг мод на работа кој се нарекува monitor мод. Со него картичката може да влезе во мод на слушање, во кој таа не праќа никави податоци на мрежата па затоа и не може да биде откриена. За да не настанат забуни, мора да се напомене дека картичка конфигурирана во promiscuous мод ќе си работи подеднакво добро како и во жичена мрежа така и во везжична мрежа. Работата е што и во двата случаи може да биде откриена, и поради самата природа на етерот како медиум може да се избегне овој мод на работа а притоа да се постигнат истите резултати без страв од откривање.

Често се поставува прашањето зошто е овозможен ваков мод на работа кога тој се користи за добивање на информации, чепкање по ничија приватност и како помошно средство при изведување на напади. одговорот е многу прост и едноставен. Овој мод не бил напаравен и овозможен за таа цел. Целта му била да се користи за поправки на мрежата. Тој и понату најмногу се користи за таа намена. Кога имате проблем со картичката прво што ќе направи некој техничар кој е задолжен да ја „поправи“ е да го уклучи овој мод и да види што се случува на мрежата и со самите пакети а потоа и да заклучи кој е проблемот. Исто така се користат и од консултантски фирми. И не само работата во овај модл туку и најголемиот број на програми за наслушување се направени за корситење од страна на консултантски фирми кои вршат анализа на сообраќајот во вашата компанија, извршуваат тестирања на сигурносното ниво, или пак се користат од страна на администраторите на мрежи за да видат дали вработените го трошат работното време сурфајќи по некои непожелни сајтови.

Битно само да се знае е дека постојат два начини на праќање на податоците преку мрежа: енкриптирани или како чист текст. Дколку се праќаат енкриптирани тогаш тие генерално се сигурни (се разбира дека постојат начини тие да се декриптираат) додека пак податоците пратени како чист текст се лесно видливи и разбирливи. Многу често многу апликации а и самиот интернет го користат овој начин бидејќи така побрзо патуваат податоците односно не се троши време и простор за нивно криптирање и декриптирање. На пример кога пишуваме меил, буквите што ние ги читаме на екран како такви се праќаат на мрежа и со помош на ваква програма може слободно са се читаат пораки и слични податоци. На овој начин често податоците се праќаат од страна на Chat програмите, емаил програмите, веб страните и многу други програми (иако може да се постави енкрипција на mIRC, Messneger, ISQ, по дифолт овие опции не се поставени, и многу корисници не ги користат).

Обично емаил клиентите, ftp клиентите , telnet, веб прелистувачите ги праќаат лозинките како чист текст, па доволно е да се исталира sniffer на мрежата или со лаптотп да се дојде во некоја безжична мрежа и да ги имате многу брзо сите лозинки и кориснички имиња на вработените во компанијата.

Битно да се напоме е дека слушањето во безична мрежа сеуште не е противзаконско. Имено ако некој вика на повиско тон и ги кажува лозинките од неговите кредитни картички, а вие тоа „случајно“ го слушате, не правите ништо нелегално. Но доколку вршите декрипција на пакетите тогаш тоа е нелегално дејствие
 
  • Ја почнал/а темата
  • #3

Ata

Intern
21 април 2007
403
1
Заштита од наслушување

За заштита од sniffer-и на картички кои работат во promiscous мод постојат посебни програми кои исто така вршат наслушување на физичко ниво и бараат sniffer-и. Една таква програма е AntiSniff. Но таа се користи на приватни мрежи т.е на мрежи од одредени компании или институции, додека за домашни корисници и не може нешто повеќе да се направи т.е со сигурност никогаш нема да знаете дали некој ги наслушува вашите пакети. Затоа најдобра сигурност е ако користите енкрипија на апликациско ниво. Добра заштита е користење на SSL( Secure Sockets Layer) заштитени веб страни. Исто така добра работа е да се користи енкрипција за Chat канали, mIRC, Мessenger-и. Добра програма за емкрипција на емаил е PGP (Pretty Good Privaty) но има и уште подобра open source програма правена по теркот на PGP а се нарекува GPG.
 

Andrijeski

Gaining Experience
1 март 2007
2,599
65
andrijeski.net
Интересно за читање :) Се изненадив кога видов колку текстови имаш постирано во оваа категорија. Браво, се надевам дека ти си автор на текстовите :D

Конкретно за оваа тема, може да биде сместена во субфорумот Анонимност // Приватност // SPAM

 
  • Ја почнал/а темата
  • #5

Ata

Intern
21 април 2007
403
1
Интересно за читање :) Се изненадив кога видов колку текстови имаш постирано во оваа категорија. Браво, се надевам дека ти си автор на текстовите :D

Конкретно за оваа тема, може да биде сместена во субфорумот Анонимност // Приватност // SPAM

Јас правам семинарска за Безбедност и напади на безжични мрежи на fax. па делови од истата ги објавив на форум. Моментално практично ги изведуваме поголемиот дел од нападите, па се надевам дека за брзо време ке можам да постирам плус други ствари, како инсталирање и подесување и работа на RADIUS сервер, конфигуриранје на AP и сл.

За пишувањето на текстовите нешто е од практично искуство, нормално се имам служено со доста литература, пошто никој учен не се родил, некои работи мора негде да ги научиш прво.

:)
 

Andrijeski

Gaining Experience
1 март 2007
2,599
65
andrijeski.net
Нормално :) Супер :D

Со среќа во практичното изведување, се надевам дека ќе ги споделиш искуствата овде :D

(P.S. Не е лошо кога ќе имаш време да ги поправиш печатните грешки, или дозволи ми мене да ги поправам, и ако не си сигурен за правилната категорија на некоја тема, во иднина стави ја во генерална дискусија за компјутерска сигурност па ќе ги префрлам. Поздрав)
 

n3tG0d

Intern
9 април 2007
115
1
Bratce a da kazes na koj fax ima prakticni izveduvanje na rabotive?? zaso i ja imav mrezi i menagment na mrezi i wifi mrezi se kako posebni predmeti ali nikade praktika.
 

dani_janev

Intern
19 април 2007
280
7
Ata bravo za tekstovite, odlicno spakuvano a i zanimlivo posebno so koristam wifi i sum nekolku obidi so legalni a i bogami nelegalni programcinja. samo taka prodolzi
 
  • Ја почнал/а темата
  • #9

Ata

Intern
21 април 2007
403
1
Нормално :) Супер :D

Со среќа во практичното изведување, се надевам дека ќе ги споделиш искуствата овде :D

(P.S. Не е лошо кога ќе имаш време да ги поправиш печатните грешки, или дозволи ми мене да ги поправам, и ако не си сигурен за правилната категорија на некоја тема, во иднина стави ја во генерална дискусија за компјутерска сигурност па ќе ги префрлам. Поздрав)
Слободно поправи ги печатните грешки, пошто јас кога еднаш ќе напишам ме мрзи да го препрочитувам за грешки, мозда треба ама...
 
  • Ја почнал/а темата
  • #10

Ata

Intern
21 април 2007
403
1
Bratce a da kazes na koj fax ima prakticni izveduvanje na rabotive?? zaso i ja imav mrezi i menagment na mrezi i wifi mrezi se kako posebni predmeti ali nikade praktika.
На ЕТФ сум, реално пракса нема никаде освен сам ако не се потрудеш да ја добиеш. Се работи за семинарска, професорот ни обезбеди PC, интерент конекција, AP, јас имам лап топ со wifi, оттука останува на нас да научиме за напади, како се прават, како се конфигурира Radius сервер, AP и сл. Финтата е сам да си најдеш програми, да си прочиташ, и тоа да го пробаш и да напишеш што и како испаднало.

Имама срека што професорот е cool, сака работите практично да се пробуваат.

Во никој случај не се работи за скапа опрема, за некоја лабараторија и сл.

Тоа не е задолжително, ти идеш , му кажуваш то сакаш да правиш, тој ти обезбедува простор, за тоа добиваш отценка плус или сл. и така.

А ти на кој fax си?
 

HyBRiD_HeLL

Intern
13 април 2007
106
1
Пред се морам да те пофалам за добрата вештина на напишаното.
Сега да се навратиме на темата.
Значи делумно опциите за заштита од спуфирање на мак адреси не се 100%
сигурни, од кои причини значи:
Начин 1:ARP заштита која што не дозволува повеќе од еден клиент со иста мак адреса да се појави на локален сервер или АП или било кој сервис кој што нуди мулти усер корисници.
Начин два дупка:ARP poisoning :)

Начин 2:Зачита со софтверски огнен ѕид Anti-mac spoofing делумно ефективно зависно од тоа колку брзо реагира огнениот ѕид.
Конкретно со Sygate Firewall доста солидно си ја врши работата околу тој дел.

Начин 3: Хардверски решенија на рутери кои што подржуваат хардверска заштита за анти спуфирање, со што повторно не се ефективни од принцип на што доколку јас најдам валидна мак и ип адреса ќе се закачам на сервер кој што има АРП заштита и ако вистинскиот корисник сака да се закачи ќе биде исфрлен од сервисот.

Значи заклучокот е дека нема гаранција за 100% заштита освен стелтање кое што пак повторно не помага доколку станува збор за вифи мрежи па така да ништо не е сигурно освен добар мониторинг од надлежни кои би помогнале да го решат проблемот.

ARP гуглајте ме мрзи да објаснувам.
 
  • Ја почнал/а темата
  • #12

Ata

Intern
21 април 2007
403
1
ARP е скратено од Address Resolution Protocol, односно е протокол кој врши мапирање (преведување, промена) на IP адреси во MAC адреси и обратно. Протокот на податоци преку интерент се одвива со помош на IP адреси, т.е такви адреси се користат. IP e адресирање на трето ниво, додека MAC адресите се на второ ниво (т.е на Data лејерот , во MAC подлејерот, гледано на OSI моделот). Ако имате локална ЛАН мрежа на неа може да комуницирате преку МАК адреси само, ама за на интерент да пратите мора таа мак адреса да се претвори во соодветна ип. Притоа ИП адресата при преносот не се менува, додека во зависност од бројот на хопови, мак адресата се менува, како поминуваме од рутер на рутер.

Битно тука е дека, кога се асоцирате на AP , добивате ИП адреса, ама за да добиете ИП адреса прво се автентицирате и асоцирате а тоа го правите со МАК адресата и може да се подеси АП да доделува ИП адреси (да им дозволи пристап) само на одереде број на клиенти, ама тоа не е никаква одбрана.
Треба само некој да еасоциран на АП, вие го снифате етерот, ја фаќате неговата МАК адреса, ја менувате вашата МАК адреса во новата (т.е ја клонирате) и имате пристап.

Клонирањето може и рачно, ама има и многу програми за тоа , една добра е SMAC.

Малце надвор можда од тема, ама се надополнив на постот на HybridHell за АРП, за да не мора да барате на гугл, се надевам дека ви објаснив.
:)
 

HyBRiD_HeLL

Intern
13 април 2007
106
1
Рачно менување на мак адреолку да се бавтате со програмите од типот на а-маc address changer и сличните на него, рачното менување е прилично едноставно во својствата на мрежната конекција залепете ја новата мак адреса како суфих, рестартирај те ја машината и сте ја завршиле работата.
 

BaDMaN

Gaining Experience
26 април 2007
115
90
Може ли некој да ми каже зошто никако не можам да фатам некој пакет...го користам Wireshark..и дали има врска тоа што сум на интернет преку OpenVPN?? Ако може некој да ми објасне поопширно за снифување преку Wireshark...
Поздрав
 
  • Ја почнал/а темата
  • #15

Ata

Intern
21 април 2007
403
1
Може ли некој да ми каже зошто никако не можам да фатам некој пакет...го користам Wireshark..и дали има врска тоа што сум на интернет преку OpenVPN?? Ако може некој да ми објасне поопширно за снифување преку Wireshark...
Поздрав
Прво зависи на кој ос го користиш . Ако работиш под линукс тогаш wireless картичката треба да ти работи во монитор мод. По дефолт не рабоит, освен ако ти е некоја скапа orinoco ili cisco, ама од тие интегрираните, јас барем немам сретнато. Јас можам да ти кажам упатсво како тоа се брави за убунту за броадком картичка, пошто јас таква имам на лаптопот, не енекоја комплицирана процедура, само фримвер треба да мениш. Треба да видиш какова картичка имаш и кој ос, и да подараш упатсво на нет.

Ако работиш под виндов, треба да ти работи во промискуос мод, за да можеш да факаш пакети.
 
  • Ја почнал/а темата
  • #17

Ata

Intern
21 април 2007
403
1
a ova samo moze da ucestvuvaat studenti od ETF?
Ako mislese na seminarskata sto ja pravevme, Da, posto ipak ti davaat oprema , prostorija i sl. Fakticki ti sam si baras kaj profesorot, e sea mora da imas pricina zasto da baras nesto, posto seta taa administracija, malce potesko odi. Verovatno na privatnite e polesno barem vo toj problem.

Ti imas zelba vakvi stvari da pravis?
Jas imam lap top sreden , so skoro site programi sto ke ti potrebaat, iskonfigurirani i se to. E sega nemam AP za da probuvame nekoi raboti megu nas , ali moze mrezi po grad da ...

Pisi ako sakas. Ili koj i da e, ako ima nekoja ideja,ima oprema, ima poznavnja od ovaa oblast, moze da se sobereme ...
 

_EAX

Intern
17 август 2007
827
6
www.rutix.byethost17.com
hehehe na privatnite ne ni im teknue nesto vakvo.........celi 2 godini se sobiraa da napravat edna linux grupa ama nisto ne bidna.......

btw praam edna mreza kaj mene u maalo..... samo kazi koga
 
  • Ја почнал/а темата
  • #19

Ata

Intern
21 април 2007
403
1
Ne sum skopje sega, od octomvri, vazi. Najdi uste nekoe maalo, ke mesteme. :)
 

Нови мислења

Последни Теми

Статистика

Теми
43,505
Мислења
822,122
Членови
28,046
Најнов член
hittrajkovski
На врв Дно