Как воевать в локальных сетях

Хакер, номер #025, стр. 025-062-4

Портировал эту тулзу Michael Davis, который также подарил пользователям Windows порт программы siphon, реализующей технику пассивного определения операционной системы. Это аналог nmap для *nix. http://www.subterrain.net/projects/siphon/

.

Для сниффинга в сетях, построенных на свитчах, существует несколько методов.

ARP Spoofing

В момент, когда вражеская машина будет по ARP'у резолвить MAC адрес шлюза, мы можем послать ей в ответ свой МАС адрес, как будто наша машина и есть гейт ;). Шлюз тоже ответит на этот запрос. Таким

образом получится, что пакеты от вражеской тачки будут идти одновременно

к нам и на гейт, т.е. iNet работает и сниффер без дела не остается ;). Этот метод называется Man in the Middle. Кстати, этот способ может быть использован как DoS атака. Например, удаленно ты можешь сообщить жертве, что MAC адрес интернет шлюза, используемый в локалке, задается тобой как какой-нибудь несуществующий. Соответственно, чуваку на этой машине не удастся использовать Интернет >:). И "доступ к глобальной сети Интернет" он вернет только после сброса arp таблицы или перезагрузившись. Ведь он не знает, как сбросить таблицу ;).

MAC Flooding

Самый эффективный метод, основанный на том, что свитчи имеют лимит памяти. Т.е. зафлуженный switch не сможет контролировать передачу пакетов и будет слать все пакеты на все порты как самый обыкновенный тупой хаб.

MAC Duplicating

Это метод основан на том, что ты устанавливаешь себе MAC адрес жертвы, трафик, который ты хочешь сниффать. Соответственно, все пакеты идут тебе и жертве одновременно. Самое главное - на них не отвечать, а сидеть и тихо дудеть в трубочку :o).

Routing attacks

Данный метод основан на посылке жертве фальшивых ICMP-редирект пакетов. Таковые используются, например, когда маршрутизатор видит, что до запрашиваемого узла есть более короткий маршрут. При таком раскладе он отсылает клиенту адрес данного маршрутизатора. Мы кидаем жертве данные пакеты с адреса используемого ею маршрутизатора и адрес нового маршрутизатора, которым является наш компьютер. Следовательно, весь траффик от жертвы будет идти через нас.

Отличной утилитой, реализующей данные методы, является:

parasite - http://packetstorm.securify.com/sniffers/parasite-0.5.tar.gz

MiM - http://packetstorm.securify.com/sniffers/MiM.c

dsniff - http://www.monkey.org/~dugsong/dsniff

Приколы:

Какой чат используется в вашей локалке? Наверняка это Vypress Chat или IRC! Как же поприкалываться с чатами?

Специально для этой статьи я

написал программку, которая позволяет тебе читать приватные сообщения Vypress Chat'a. Она доступна для *BSD, Linux и даже под Windows(!) с нашего сайта www.xakep.ru в разделе релизов.

А если же в твоей локалке используется ИРК, то и тут можно пошутить с помощью утилиты irchijack, которая позволяет тебе перехватывать соединения

с irc сервером, творить что угодно на сервере от имени этого человека!