$witch wrote:
> Ethernet II, Src: 00:30:7b:93:c4:c4, Dst: ff:ff:ff:ff:ff:ff
> Destination: ff:ff:ff:ff:ff:ff (Broadcast)
> Source: 00:30:7b:93:c4:c4 (Cisco_93:c4:c4)
> Type: ARP (0x0806)
> Trailer: 00000000000000000000000000000000...
> Address Resolution Protocol (reply)
> Hardware type: Ethernet (0x0001)
> Protocol type: IP (0x0800)
> Hardware size: 6
> Protocol size: 4
> Opcode: reply (0x0002)
> Sender MAC address: 00:30:7b:93:c4:c4 (Cisco_93:c4:c4)
> Sender IP address: 10.123.45.87 (10.123.45.87)
> Target MAC address: 00:30:7b:93:da:8c (Cisco_93:da:8c)
> Target IP address: 10.123.45.87 (10.123.45.87)
Da quello che riesco a capire questo e' un arp spoofing
in piena regola con hijacking di sessione tcp eseguito in
questo modo....
______ TECNICA DI ARP SPOOFING IN LINEA TEORICA ___________
La tecnica di ARPSPOOF in linea di massima e' intesa in questo
modo:
host A che normalmente comunica con host B mediante uno
switch, per comunicare il frame inviato da A viene esaminato
dallo switch che sa quale sia il client di destinazione in
base al MAC Address di conseguenza stabilisce una sessione
privata tra A e B.
Quando B riceve il frame da A, esamina l'indirizzo del destinatario,
e stabilito che e' proprio lui ad essere il destinatario inizia a
rispondere.
In linea di massima tutti i client sbirciano sempre l'indirizzo di
destinazione anche se il frame viene certificato da uno switch
poiche' lo switch lascia passare solo traffico a livello di
MAC Address asssociandolo e destinandolo per singola porta,
di conseguenza quando A vuole stabilire una sessione di
comunicazione con B invia una richiesta di ARP.
B risponde inviando una replica di ARP che include il MAC Address,
anche in presenza di uno switch la richiesta di ARP avviene con
un messaggio di broadcast.
Allora e' possibile che un "attaccante" che chiamiamo C potrebbe
ingannare A con l'invio di una finta replica di ARP, nella replica
viene fatto credere ad A che C ha il MAC Address di B, quindi
tutto il traffico da A verso B verrebbe rigirato su C.
____________________________________________________________________
In questo caso l'attacco a mio avviso non e' andato a buon fine
poiche' nel frame vedo che gli IP sorgente e destinatario sono
identici, pur avendo mac address diversi.....
attaccante:#arpspoof -t <IP ADDRESS A> <IPADDRESS B>
L'attaccante ha MAC Address 00:30:7b:93:c4:c4 ed ha risposto
alla richiesta broadcast di MAC Address iniziata da 00:30:7b:93:da:8c
,mettendosi nel mezzo, peccato che Sender IP address: 10.123.45.87
(host A) e Target IP address: 10.123.45.87 (host B) dovevano essere
rispettivamente gli IP dell'host A e dell'host B, (okkio questo
funzica anche con reti wireless), di conseguenza l'attacco e'
fallito, ma non per scarso impegno in linea teorica e' risultato
efficate (in pratica no), ma solo perche' non era chiaro qual'era
l'IP dell'host A, insomma l'attaccante ha risposto ad una richiesta
di ARP in broadcast con l'ip del sorgente che ha generato l'arp
di conseguenza il sorgente alla risposta di ARP ha scartato
sicuramente il pacchetto, se andava a buon fine con uno sniffer
del tipo dsniff (
http://www.monkey.org/~dugsong/dsniff/) erano cazzi
per diabetici, poiche' in quel caso si era in grado di sniffare
qualunque tipo di sessione TCP, basta leggersi la documentazione
di dsniff per rendersene conto.
$witch spero di aver risposto alle tue domande ;^)
Documentazio:
http://www.monkey.org/~dugsong/dsniff/faq.html
P.S. Se vi sono errori oppure ho detto delle enormi boiate vi prego
di correggerli, ma con pazienza sono stanco mentalmente appena
rientrato dal lavoro... :(((
Saluti AnarcoCyberiani/Antagonisti
P@sKy
Makkinista - Fuokista
- Isole Nella Rete -
