mulighet for å sniffe trafikk på et switchet nett?

[gummitarzan]

Heisann.

 

Vil først av alt presisere at jeg ikke er ute etter "oppskrifter" for hvordan dette evnt kan gjøres, kun det teoretiske. Holder på å skrive en oppgave i skolesammenheng, og vil nødig levere inn noe som er helt feil.

 

Det jeg lurer på er om det er mulig å sniffe trafikk i et switchet nettverk, med f.eks ethereal, på andre porter enn det jeg er tilkoblet, uten bruk av teknikker som f.eks arp-spoofing eller buffer overflow.

Hvis jeg setter ethereal i "promiscuous mode", skal den jo hente all trafikk, men den vil vel fremdeles bare ta tilgang til den besteme noden/porten på switchen?

 

Håper noen kan hjelpe meg å oppklare dette

 

/GT

[sumptrollet]

Det jeg lurer på er om det er mulig å sniffe trafikk i et switchet nettverk, med f.eks ethereal, på andre porter enn det jeg er tilkoblet, uten bruk av teknikker som f.eks arp-spoofing eller buffer overflow.

 

Hvis du har management på svitsjen bør det være kurant å sette den opp til å dumpe all trafikk ut på spesifikke porter.

[gummitarzan]

Hvis du har management på svitsjen bør det være kurant å sette den opp til å dumpe all trafikk ut på spesifikke porter.

8431308[/snapback]

 

jada, det er greit. Men i dette tilfellet tenkte jeg mer på om en "ond" bruker klarer å sniffe trafikk han ikke skal ha tilgang til.

[Dal]

jada, det er greit. Men i dette tilfellet tenkte jeg mer på om en "ond" bruker klarer å sniffe trafikk han ikke skal ha tilgang til.

8431798[/snapback]

Det klarer han ikke med mindre han sniffer selve "innkabelen" til switchen, altså den som som feeder hele switchen.

 

Men all trafikk som broadcastes til alle portene vil han se, som f.eks DHCP-forespørsler.

[gxi]

Du må vel isåfall finne en måte å få switchen til å flushe sine ARP-tabeller. Dette er kanskje mulig med et slags DoS-angrep mot switchen kontinuerlig som fyller den til den flyter over. (Dette er bare teori fra min side, ikke nødvendigvis fakta).

 

Som standard vil du aldri motta trafikk som er adressert direkte til en annen maskin i et switchet nettverk, fordi den har tabeller som sier hvor trafikken skal, og sender det derfor bare ut på den ene porten. Eneste måten å få den til å sende det på alle porter er hvis den ikke vet hvor pakken skal, altså mangler oppføring i tabellen.

 

Hvis f.eks switchen kan lage 1000 adresser i bufferen, så kan man kanskje floode den kontinuerlig med f.eks 3000 adresser som dermed får bufferen i switchen til å flyte over, og adressene blir slettet kontinuerlig.

Endret 20. april 2007 av jonepet

[arokh]

Du kan gjøre dette med ARP spoofing. Du spammer maskinen du vil sniffe med falske ARP pakker når den spør etter IP til gatewayen sin, og utgir deg selv for å være gatewayen. Du må da også slå på forwarding og NAT på din egen maskin. Har testet det, og det fungerer i praksis.

[MasterBlaster]

Som arokh sier, kan dette gjøres ved såkalt ARP spoofing og redirect.

 

Dette fungerer på følgende måte

 

"Angriperens " maskin sender ut en manipulert ARP pakke som forteller at default gateway har endret seg til "angripernens" MAC adresse. På denne måten vil all trafikk som sendes i fremtiden bli sendt til denne nye MAC adressen som igjen da kan være satt opp til å videresende all trafikk videre til den opprinnelige default gateway'en. På denne måten er det også vedlig vanskelig å oppdage at all trafikk blir kopiert før den blir sendt videre.

 

ARP tabellen kan du få tak i ved, som nevnt i en annen post her, ved å flushe ARP tabellen i svitsjen til en fil. Da har du MAC adressen til de maskiner du måtte ønske å sende en ARPredirect til.

 

Måten å forsvare seg mot dette måtte være å benytte kryperte applikasjoner.