Ir para o conteúdo
  • Revista PROGRAMAR: Já está disponível a edição #60 da revista programar. Faz já o download aqui!

herakty

Técnicas de ARP Poison Attack - APR

Mensagens Recomendadas

herakty

vou só dizer umas coisas porque não quero dar mais explicações completas de técnicas e quando há material externo muito bom a explicar e assim não nos podem acusar de nada (somos apenas referencias :=))... mas dou tudo o que é preciso para quem realmente quer, poder seguir o caminho até ao fim

estas técnicas são tão importantes que uma das melhores (é dificl escolher a melhor tool... há várias HYPER TOOLS... ferramentas que foram sonhos durante muito tempo e hoje são realidade)

dizia, um ferramenta tão importante quanto o Cain e Abel dedicar-se tanto ao APR e cenas relativas a routers mostra bem a importância do router no cracking

Cain e Abel Oficial Site Features list: (É extremamente completo mas reparem no que é relativo a técnicas relacionadas com routeres)

http://www.oxid.it/ca_um/

spoofing e nada mais digo... ou digo?... várias técnicas de spoofing sobre vários protocolos desde ARP até.... mas... não devemos dar  o passo  a passo... ou se entende os princípios e técnicas ou não...

APR - Poison routing - ahh pois... um gajo a sério domina ao mais baixo nível... ao mais baixo nivel de protocolo e raw packets e técnicas avançadas...o que muda tudo, mas como para a maioria é estranho... ficam estas impressões

APR (ARP Poison Routing) is a main feature of the program. It enables sniffing on switched networks and the hijacking of IP traffic between hosts. The name “ARP Poison Routing” derives from the two steps needed to perform such unusual network sniffing: an ARP Poison Attack and routing packets to the correct destination.

há uma formação animada em flash excelente para explicar esta técnica

Introduction do APR Poison Rounting

http://www.oxid.it/downloads/apr-intro.swf

ou ARP Poison Attack

This kind of attack is based on the manipulation of host’s ARP caches. On an Ethernet/IP network when two hosts want to communicate to each other they must know each others MAC addresses. The source host looks at its ARP table to see if there is a MAC address corresponding to the destination host IP address. If not, it broadcasts an ARP Request to the entire network asking the MAC of the destination host. Because this packet is sent in broadcast it will reach every host in a subnet however only the host with the IP address specified in the request will reply its MAC to the source host. On the contrary if the ARP-IP entry for the destination host is already present in the ARP cache of the source host, that entry will be used without generating ARP traffic.

Manipulating ARP caches of two hosts, it is possible to change the normal direction of traffic between them. This kind of traffic hijacking is the result of an ARP Poison attack and also a prerequisite to achieve a “Man-in-the-Middle” condition between victim hosts. The term Main-in-the-Middle refers to the fact that the traffic between hosts follows an obligated path through something before reaching the desired destination.

e depois... os routers e afins são super importantes... definem ACL´s, VLANs, segmentação de redes... portantos... quando abres a 1º porta numa rede a sério (as cenas caseiras são tão faceis e simples que é mesmo só em casos de "melgice")... dizia... depois da 1º porta aberta ainda tens um longo caminho para o destino... e os routers estão nesse caminho... e já tas dentro da rede interna e etc e etc e etc

até há uma mítica suite de tools "Cain e Abel" que especializaram funcionalidades nestas técnicas apresentas

Tutorial Cain e Abel

http://www.thehackerslibrary.com/?p=414

http://www.thehackerslibrary.com/?p=419

Cain e Abel oficial site

http://www.oxid.it/cain.html

Cain e Abel Features: (é uma super tool brutal das que mais features tem)

http://www.oxid.it/ca_um/

Cisco Config Downloader/Uploader (CAIN)  :P

http://www.oxid.it/ca_um/

Sobre o protocolo ARP

http://www.erg.abdn.ac.uk/users/gorry/course/inet-pages/arp.html

mais sobre APR

http://www.oxid.it/ca_um/topics/apr.htm

Para que seja um forum de segurança realmente vocacionado para profissionais aqui fica uma tool para detectar estes ataques... ARP WATCH

Arpwatch - Detecte em sua rede ataques de Arp Spoofing/Arp Poisoning (uma descrição e dicas de uso)

Introdução

Arpwatch é uma ferramenta que monitora a atividade em uma rede ethernet, mantendo atualizada uma tabela com endereços ethernet(MAC) e seus respectivos endereços IP. Essa ferramenta tem a capacidade de reportar via email certas mudanças.

O Arpwatch é uma ferramenta importante na monitoração da rede contra ataques de Arp Poisoning ou Arp Spoofing usados para realizar ataques mais sofisticados como Man-in-the-Middle(MITM).

http://www.plugmasters.com.br/sys/materias/863/1/Arpwatch---Detecte-em-sua-rede-ataques-de-Arp-Spoofing%7B47%7DArp-Poisoning

Site oficial do LBNL's Network Research Group que é que faz isto e muito  mais... analisem este site bem

http://ee.lbl.gov/

Download directo:

ftp://ftp.ee.lbl.gov/arpwatch.tar.gz

teckV

Partilhar esta mensagem


Ligação para a mensagem
Partilhar noutros sites
Quadrado

"Cain & Abel has been developed in the hope that it will be useful for network administrators, teachers, security consultants/professionals, forensic staff, security software vendors, professional penetration testers and everyone else that plans to use it for ethical reasons."

Mas que grande lista de pessoas a utilizar... :P

Mas acho que não são só eles...


Será? Porquê? O quê?   - Estudar Sempre -

Partilhar esta mensagem


Ligação para a mensagem
Partilhar noutros sites
vbmaster

Isso é tudo muito giro... é preciso entender-se muita coisa e não sei que mais, mas no fundo pegas no programa e (possívelmente) está feito. Mais interessante que isso é saber como é que as caches do ARP são manipuladas... mas suponho que o caim não seja open source.

Partilhar esta mensagem


Ligação para a mensagem
Partilhar noutros sites
herakty
Isso é tudo muito giro... é preciso entender-se muita coisa e não sei que mais, mas no fundo pegas no programa e (possívelmente) está feito. Mais interessante que isso é saber como é que as caches do ARP são manipuladas... mas suponho que o caim não seja open source.

snifing and forged packets, obvios

teckV

Partilhar esta mensagem


Ligação para a mensagem
Partilhar noutros sites
herakty
E o que é que aprendeste sobre isso e sobre o ARP usando o programa?

sinceramente não estou a entender... podes explicar melhor? o que é que há a aprender sobre o ARP em si? uma simples coisa que apenas faz bindings de IP´s to MAC address? se queres aprender sobre isso vê o respectivo RFC que é o que se faz com todos os protocolos e tecnologias Internet

já agora uma tool desta team para forjar pacotes com o objectivo de testar configurações de rede...  SE É POSSIVEL CONTORNÁLAS para ver se as fizeram bem... é esse o objectivo desta info e destas tools

ArpWorks is an utility for sending customized 'ARP announce' packets over the network. All ARP parameters, including the Ethernet Source MAC address (the phisical address of your network card) can be changed as you like. Other features are: IP to MAC resolver, subnet MAC discovery, host isolation, packets redirection, general IP confict.

http://www.oxid.it/arpworks.html

teckV

Partilhar esta mensagem


Ligação para a mensagem
Partilhar noutros sites
vbmaster

Entendeste muito bem... aprendeste alguma coisa sobre como forjar os pacotes usando o programa que faz isso por ti?

Não me interpretes mal, acho os teus posts porreiros, mas neste caso em particular não sei se reparas que estás apenas a disponibilizar a solução e não o conhecimento.

Partilhar esta mensagem


Ligação para a mensagem
Partilhar noutros sites
herakty
Não me interpretes mal, acho os teus posts porreiros, mas neste caso em particular não sei se reparas que estás apenas a disponibilizar a solução e não o conhecimento.

aceito perfeitamente a tua critica mas por acaso só estava mesmo a pensar em disponibilizar info sobre a ferramenta. Como sabes também não podemos colocar "passa a passo para"...

estou tambem disposto a responder a questões especificas, caso queiras... eu tento sempre meu melhor, sabendo que mesmo assim nunca se atinge o ideal ;)

sobre o conhecimento envolvido nesta técnica até disponibilizei um link sobre a teoria do APR no post original

http://www.oxid.it/ca_um/topics/apr.htm

e até disponibilizei sobre o próprio protocolo envolvido que é o ARP, onde é explicado o ARP de uma forma simples

http://www.erg.abdn.ac.uk/users/gorry/course/inet-pages/arp.html

mas apresento agora o próprio RFC do ARP que é o documento oficial sobre o protocolo

http://www.ietf.org/rfc/rfc1027.txt

sobre  ARP pensei que tinha explicado bem... mas isso é sempre relativo e entendo que o que me parece a mim possa não parecer aos outros..

This kind of attack is based on the manipulation of host’s ARP caches. On an Ethernet/IP network when two hosts want to communicate to each other they must know each others MAC addresses. The source host looks at its ARP table to see if there is a MAC address corresponding to the destination host IP address. If not, it broadcasts an ARP Request to the entire network asking the MAC of the destination host. Because this packet is sent in broadcast it will reach every host in a subnet however only the host with the IP address specified in the request will reply its MAC to the source host. On the contrary if the ARP-IP entry for the destination host is already present in the ARP cache of the source host, that entry will be used without generating ARP traffic.

Manipulating ARP caches of two hosts, it is possible to change the normal direction of traffic between them. This kind of traffic hijacking is the result of an ARP Poison attack and also a prerequisite to achieve a “Man-in-the-Middle” condition between victim hosts. The term Main-in-the-Middle refers to the fact that the traffic between hosts follows an obligated path through something before reaching the desired destination.

isto explicava... e depois disse que o conceito de manipulação era criar pacotes com dados falsos pra enganar as regras...

apresentei um video a explicar a técnica

Introduction do APR Poison Rounting

http://www.oxid.it/downloads/apr-intro.swf

criei um topico sobre forjar pacotes e respectivas ferramentas:

http://www.portugal-a-programar.pt/index.php?showtopic=32696

apresentei um topico com uma explicação simplificada e que mostra o que interessa saber aqui sobre os pacotes e TCP/IP

http://www.portugal-a-programar.pt/index.php?showtopic=32541

apresentei noutro tópico uma tool especifica para forjar este tipo de pacotes para este tipo de ataque que é da team do cain e abel..

é que a team do Cain a Abel têm se dedicado muito a esta cena e por isso achei importante falar nela... mas ninguém é perfeito e aceito que não tenha sido o suficiente para todos... para alguns foi... é que num forum, onde as coisas vão ficando para tras o que se pode fazer é apresentar as coisas com algum detalhe e "mostrar caminhos"... no wiki que estou a criar vai ser diferente, pois segue aquilo que vos apresentei à um tempo que é o conceito de formação... para as coisas ficarem organizadas em cursos/temas... ai ficará muito melhor  :D

ArpWorks is an utility for sending customized 'ARP announce' packets over the network. All ARP parameters, including the Ethernet Source MAC address (the phisical address of your network card) can be changed as you like. Other features are: IP to MAC resolver, subnet MAC discovery, host isolation, packets redirection, general IP confict.

http://www.oxid.it/arpworks.html

e devido ao facto de os tópicos antigos ficarem para trás deixaram de ser "vistos" certos tópicos onde explico ao pormenor os pacotes, nomeadamente no tópico sobre "caçar proxyes"

pensei que era toda a info necessária para explorar depois em detalhe a técnica... houve quem me dissesse que entendeu bem a técnica...

teckV

Partilhar esta mensagem


Ligação para a mensagem
Partilhar noutros sites

Crie uma conta ou ligue-se para comentar

Só membros podem comentar

Criar nova conta

Registe para ter uma conta na nossa comunidade. É fácil!

Registar nova conta

Entra

Já tem conta? Inicie sessão aqui.

Entrar Agora

×

Aviso Sobre Cookies

Ao usar este site você aceita os nossos Termos de Uso e Política de Privacidade. Este site usa cookies para disponibilizar funcionalidades personalizadas. Para mais informações visite esta página.