Beskytte seg mot sniffing

[Nobrains]

Bare lurer på om det er enkle måter og beskytte seg mot sniffing ? Jeg og kameraten min lekte og testet diverse sniffere her om dagen...Da fikk han jo samtalen vår i msn og så hvilke internet addresser jeg gikk til osv..

 

Jeg har gjort det før, men da var det i LAN. Jeg trodde ikke det var like enkelt over nettet. Hvordan kan man beskytte seg mot dette ? Hvis det hele tatt går da...

[Stian234567]

Dette hørtes skummelt ut.

Kan du gi meg en link til noe slikt? vil nemmelig teste det selv, og deretter se om jeg klarer sikkre meg mot det ved og teste det om igjen etter jeg har prøvd og sperre det ute

[ultranerd]

Skaff deg en skikkelig firewall så tror jeg det meste er ordnet, men helt sikkert blir det aldri da du selv må kunne bruke de aktuelle portene

 

Min linux firewall har 5-10 sniffe angrep hver dag minst men det kan også være programmer du bruker over internett

Endret 16. januar 2005 av ultranerd

[whom]

definer "sniffing" Er det cracker angrep eller hva?

[talisar]

Tviler på du kan sniffe over internett sånn helt uten videre:) Da er det ikke sniffing du har drevet med ihvertfall.

 

Du må jo på en måte dumpe all trafikken som går ut og inn fra en pc eller et nettkomponent som ligger mellom den pcen og resten av nettet. I og med at Internett ikke er hubbet er ikke dette veldig enkelt å få til remote med bare software fra en tilfeldig klientpc.

 

At han fikk deres MSN samtale er jo naturlig siden den gikk på hans pc allerede.

[Tacritan]

definer "sniffing" Er det cracker angrep eller hva?

Sniffing snapper opp dataene som går på et nettverk (som oftest et LAN), og viser disse til en evt. hacker/cracker som måtte ha interesse av hva slags data du sender i klartekst på tilkoblinga di. Skumle greier forøvrig.

[Azton]

Du 'sniffer' opp internett/nettverks trafikken trodde jeg.

[Tacritan]

Du 'sniffer' opp internett/nettverks trafikken trodde jeg.

Da trodde du rett.

[XtraPlay]

Så lenge du har trafikk over ei linje så vil folk kunne sniffe den trafikken som sendes, i all hovedsak har du to typer medier delt og dedikert medie.

 

sniffing over inet er forsåvidt mulig det så lenge ikke isp en din ikke har bygget inn sperrer for det

 

På delt medie går all trafikken til alle brukere f.eks på en hub går alle pakkene til alle brukerne på lanet men bare den som skal ha det plukker den opp i utgangspunktet men i og med at pakkene deres kommer fram til netvverkskortet ditt er det bare å plukke de opp og lese de. Et annet delt medie er WLAN og så speid etter meg neste gang du sitter på et offentlig tilgjengelig WLAN og skal sjekke mailen

Eneste måten for å forhindre avlytting tror jeg må bli å kryptere all informasjon du sender ut på huben

 

FJERNET PGA FAKTA FEIL

 

skrivefeil skrevefeill skrrefellk er gøyy gøøyy

Endret 16. januar 2005 av XtraPlay

[Jonassen]

Trodde man var veldig bra beskyttet mot dett hvis en har en oppdatert firewall???

[Goophy]

Eneste løsningen for vanlige mennesker (uten dedikert switch) på dette problemet er vel å sende all data kryptery, noe som til tider kan være litt problematisk om mottakeren ikke er helt med på det...

 

Jonassen; En firewall beskytter ikke mot sniffing. Den bare hindrer personer å gå inn på selve PC-en din, ikke lese hva som blir sendt fra den.

Endret 16. januar 2005 av Goophy

[Nobrains]

hehe... mange svar, er vel et spennende emne som engasjerer folk Mange som blir veldig overrasket hvor enkelt det kan gjøres også

 

Men jeg føler meg litt tryggere etter svar nå.

Han kunne bare se hvor jeg surfet pga jeg var på hans egen hjemme webserver. Og han så jo bare vår egen samtale, jeg snakket ikke med andre på msn for øyblikket så var usikker på om han kunne se det.

 

I LAN så kan man se ALT .... ble litt redd for at det var slik over nettet....derfor jeg lagde denne tråden.

 

Takk for svar.

[opticus]

makan til sprøyt fra trådstarter. du ga oss feil inntrykk i starten, kan ikke komme med halvsannheter sånn der.

 

men det er vel i utgangspunktet ikke bare bare å sniffe på en linje, men for å være helt sikker burde du klippe over ledningen, da er du ca 100% sikret

[Nobrains]

makan til sprøyt fra trådstarter. du ga oss feil inntrykk i starten, kan ikke komme med halvsannheter sånn der.

 

men det er vel i utgangspunktet ikke bare bare å sniffe på en linje, men for å være helt sikker burde du klippe over ledningen, da er du ca 100% sikret

ehh ? Javel...hva gjorde jeg som var så galt. Var rimlig usikker på emnet derfor jeg spurte...sorry. Jeg får vel bare holde meg her fremover, jeg får ikke kjeft der. :p

[TEE]

I LAN så kan man se ALT .... ble litt redd for at det var slik over nettet....derfor jeg lagde denne tråden.

 

Takk for svar.

Du kan se alt dersom du sniffer det punktet all trafikken går gjennom. Du ser ikke alt ved å installer en sniffer på din egen maskin for så og se på nettverkstrafikken. Du må faktisk ha snifferen på det punktet trafikken du vil snappe opp passerer.

[XtraPlay]

I LAN så kan man se ALT .... ble litt redd for at det var slik over nettet....derfor jeg lagde denne tråden.

 

Takk for svar.

Du kan se alt dersom du sniffer det punktet all trafikken går gjennom. Du ser ikke alt ved å installer en sniffer på din egen maskin for så og se på nettverkstrafikken. Du må faktisk ha snifferen på det punktet trafikken du vil snappe opp passerer.

Er ikke enig med deg i det TEE

trafikken trenger ikke å gå via din maskin for at du skal kunne sniffe den. Du får bare svitsj en til å sende deg all informasjonen ved spoofe arp tabellen dens.

[Nobrains]

eller en hub ....for den sender alt til alle ? eller ?

[JPedro]

I LAN så kan man se ALT .... ble litt redd for at det var slik over nettet....derfor jeg lagde denne tråden.

 

Takk for svar.

Du kan se alt dersom du sniffer det punktet all trafikken går gjennom. Du ser ikke alt ved å installer en sniffer på din egen maskin for så og se på nettverkstrafikken. Du må faktisk ha snifferen på det punktet trafikken du vil snappe opp passerer.

Er ikke enig med deg i det TEE

trafikken trenger ikke å gå via din maskin for at du skal kunne sniffe den. Du får bare svitsj en til å sende deg all informasjonen ved spoofe arp tabellen dens.

Men da har du faktisk endret på LAN'et til å sende trafikken via deg, ARP poisoning kalles dette.

 

Samt hvordan liker mac tabellen på switchen å ha duplikater av mac adresser?

Når slutter sender å sende data når den ikke får svar, så fremt at du ikke klarer å få din maskin til å utgi seg for å være de maskinene som trafikken er ment for.

[XtraPlay]

Technical info about ARP:

In an Ethernet network computers communicate with each other via Ethernet (MAC (Media Access Control)) addresses. So, there is a mechanism needed for matching of IP addresses with the addresses in an ethernet network. The mechanism is called ARP (Address Resolution Protocol). What ARP does is exactly what most people do, when they have to find Mister X in a crowd of people - they shout loud enough, so that everyone can hear them and expect Mister X to answer, if he is there. When he answers, we will know who is he.
When ARP wants to know whats the Ethernet address matching a given IP address it uses an Ethernet technic, called BROADCASTING, with which the datagram is addressed to all the workstations in the network. The broadcast-datagram sent by ARP contains a request for the IP address. Every computer, received that request compares the requested address with its own IP address and if they match, it sends an ARP reply back to the asking computer. After rreceiving the reply, the asking computer can get the Ethernet address of the computer it is looking for, from his reply. After the computer finds an Ethernet address, he stores it in its ARP cache (ARP table), so he won't need to look for it the next time he wants to send a datagram to the same address. However, it is not good this information to be stored forever (the Ethernet adapter of the other host may be replaced for some reasonm and the entry for the computer's IP in the ARP cache will become invalid). So the entries in the ARP cache expire after a period of time.

What's the difference between switch and hub?

The switches (hubs) don't only provide more connect points to the network - they're also retransmitters of the signal. However, the hub just retransmits the data received from one port to all the other ports so no need to poison, as you get the datagram anyway. Normally, the network adapter compares the destination Ethernet address of the packets, and compares it with it's own Ethernet address. If they match - the data is accepted. If they don't - it just drops the packets. You can put your network adapter in promiscuous mode (which is exactly what Ettercap does) and get all the packets. The switch does the things in a more 'elegant' way. It has a simple CAM (Channel Access Method) table, which is a simple mapping of Ethernet addresses and ports. When a datagram comes through a port, the switch remembers the source Ethernet address of the datagram and stores it in the cam table for the given port, so when a datagram arrives for this computer, it doesn't retransmit it to all ports, but only to this one, which is bound to the Ethernet address of the receiver in the CAM table. If no Port Security, the CAM table is dynamically updated (e.g. if you want to connect to another port, if you change your network adapter etc.). Thus, we can change the CAM table and map another Ethernet address to our port. This technique is called Port Stealing and is discussed in another topic.

Now about the poisoning:

Most operating systems will replace an entry in their ARP cache even if they haven't sent and ARP request before. That allows a MITM (Man-In-The-Middle) attack to be performed. For example, lets say we have 2 computers, with Ethernet addresses AA:AA:AA:AA:AA:AA for computer A, and BB:BB:BB:BB:BB:BB for computer B and IP addresses 10.10.0.1 for computer A and 10.10.0.2 for computer B. Now we want to perform MITM attack. We are computer C with Ethernet address CC:CC:CC:CC:CC:CC and IP address 10.10.0.3. So we send and ARP reply to computer A, saying that we have IP address 10.10.0.2. Computer A updates its ARP cache and since we have an Ethernet address CC:CC:CC:CC:CC:CC, the entry in his ARP cache for 10.10.0.2 is bound to our Ethernet address. Now when computer A wants to send a datagram to computer B, it checks first the ARP cache, to see if computer B's Ethernet address is already there. Since th packet is for 10.10.0.2 (computer B's IP address), computer A founds that the Ethernet address for computer B is CC:CC:CC:CC:CC:CC (out Ethernet address) and sends the datagram to us. Computer A is poisoned. We do the same to computer B - it has an ARP entry for 10.10.0.1 (computer A's IP address) bound to CC:CC:CC:CC:CC:CC (our Ethernet address), so when it sends datagrams to computer A, these datagrams come to us. For the communication between computer A and computer B to continue uninterrupted, we need to forward the packets to their original destination. So when we receive a packet for a computer A - we forward it to computer A, when we receive a packet for computer B - we forward it to computer B. In Linux, for this to works, you can use the simple kernel forwarding (echo 1 > /proc/sys/net/ipv4/ip_forward) or use a more complex one, that Ettercap and some other tools use, which even allows you to perform a MITM attack on a SSL connection.

Some operating systems like Solaris do not accept ARP replies without first initiating an ARP request, so they are not vulnerable to this attack. In this case, an ICMP spoofed packet (ping) is used. The goal is, to get a valid entry in victim's ARP cache, because when they receive an ARP reply from you they will first check their cache to see if you're already there and if you're not - they simply wont add you at all. So you send each victim a ping with source your own Ethernet address and the other victim's IP address. In the case mentioned above, you ping computer A with source IP address 10.10.0.2 and Ethernet address CC:CC:CC:C:CC:CC and computer B with source IP address 10.10.0.1 and Ethernet address CC:CC:CC:CC:CC:CC. Once you gor yourself in their ARP cache, you can poison normally. 

 

Fant ut at jeg måtte sette meg litt bedre inn i dette selv..

Og jammen fant jeg en fakta feil i en av mine forrige poster...

 

Note: Switches with Port Security does not stop ARP poisoning, since we don't spoof the Ethernet addresses, but the IP ones. 

 

Så managment svitsjer med kun en mac adresse per port vil ikke kunne stoppe ARP poisoning, da det går på ip og ikke MAC. Så det er vel bare å hive inn SOLARIS all mann.....

Endret 16. januar 2005 av XtraPlay