wireshark

Sekcia: Aplikácie & Desktop 26.10.2009 | 13:28
skusam   Návštevník
Ahojte mam doma NB a desktop prepojene cez switch a pripojene na internet. Skusam program wireshark v Ubuntu 9.04 na tom NB. Na NB mi zaznamenava vsetku aktivitu mozilla, pidgin... ale na tom desktope tam mi nezaznamenava ziadnu aktivitu. Mozete mi pls poradit ako sa k tomu dopracujem aby som mohol sledovat aktivitu z NB na tom desktope? diky
    • Re: wireshark 26.10.2009 | 13:40
      Avatar borg Arch, Debian jessie  Administrátor
      musis sa pohrat s arp a zavisi to aj do switchu.
      • Re: wireshark 26.10.2009 | 14:56
        skusam   Návštevník
        arp je adress resolution protocol a to si viem maximalne odfiltrovat... vypis je: 118 15.475594 169.254.222.32 Broadcast ARP Who has 169.254.222.2? Tell 169.254.222.32

        switch je lacny sunt od firmy SMC
        pustam si tam mozillu aj ine veci a nezobrazi to hmm...
        • Re: wireshark 26.10.2009 | 14:57
          Avatar borg Arch, Debian jessie  Administrátor
          myslel som arp zaznamy na switchi, pohladaj si arpspoof utitlity, mala by byt sucasou dsniff
          • Re: wireshark 26.10.2009 | 14:58
            Avatar borg Arch, Debian jessie  Administrátor
            + zaznamy obete
          • Re: wireshark 26.10.2009 | 15:32
            skusam   Návštevník
            fuuu ja len s tym zacinam lebo ucim ziakov informatiku a chcem zistit co maju pustene na pocitacoch tak to testujem u seba doma :D a nikde som nic take vo Wiresharku nenasiel arp spoof.... dsniff som nasiel balik pre ubuntu ale to je konzolove a neviem v tom robit , inac nevies ako sa da nastavit na switchi port forwarding co spominal Samo? lebo ten switch je len fyzicka skatula a nie logicka tak neviem ci sa da na nom nieco nastavit...interner mam pripojeny na router co mame s kamosom spolocny a on ho ma u seba doma, ja k nemu nemam pristup
    • Re: wireshark 26.10.2009 | 14:46
      Avatar Samuel BWPOW Kupka CentOS, Mandriva  Používateľ
      Nastav si na switchi port forwarding. Pripadne si na notebooku nastav, nech sa routuje cez tvoj desktop. Alebo pouzi arp spoofing. Rieseni je vela.
      Strach dát najevo své pocity a zjednat si u druhých respekt je jedním z problémů civilizovaného člověka, který se naučil zpochybňovat svou vlastní pravdu pro zdání objektivity
      • Re: wireshark 26.10.2009 | 16:14
        skusam   Návštevník
        kde sa to da na switchi nastavit? podla mna ten switch je iba fyzicka masina tam sa nic neda nastavovat :) a inac som v tomto zaciatocnik, pozeral som na youtube rozne videa ale to robili vsetci z jedneho pocitaca
        • Re: wireshark 26.10.2009 | 17:23
          vlado   Návštevník
          port forwarding sa da nastavit len na menezovatelnych switchoch...najprv sa musite naucit nieco o sietovych protokoloch ako to vlastne na tej sieti funguje az potom sa mozete hrat. V suhrne: switch posiela pakety len konkretne porty takze ak notebook komunikuje s routerom switch posiela pakety len medzi nimi - preto nedostanete nic na desktop. Da sa to odrbat rozposlanim falosnych paketov do siete o tom ze IP routera sa zmenila a tak nasmerovat pakety na seba ... puzite program ettercap. Ak vsak mate v sieti 100 PC a vsetky presmerujete na svoj notebook mozete celkom slusne spomalit sietovu komunikaciu...
          • Re: wireshark 26.10.2009 | 18:13
            skusam   Návštevník
            no skusil som ettercap pekne ma naslo v hotliste, nastavil arp poisoning, pridal sa ako target 1 a dal sniffing.... no prihlasoval som sa na rozne stranky aj ftp a vobec nic nenaslo... no neviem... ax
            • Re: wireshark 26.10.2009 | 18:27
              Avatar Samuel BWPOW Kupka CentOS, Mandriva  Používateľ
              S akymi parametrami spustas ettercap? A taktiez si pozri na tom notebooku arp tabulku pred spustenim poisoningu a po nom.
              Strach dát najevo své pocity a zjednat si u druhých respekt je jedním z problémů civilizovaného člověka, který se naučil zpochybňovat svou vlastní pravdu pro zdání objektivity
              • Re: wireshark 26.10.2009 | 18:35
                skusam   Návštevník
                zatial som to robil len podla navodu ale ak mi nieco poradis budem rad :)
                • Re: wireshark 26.10.2009 | 18:43
                  Avatar borg Arch, Debian jessie  Administrátor
                  skus aj toto:
                  http://linux.nfo.sk/viewtopic.php?t=124
                  • Re: wireshark 26.10.2009 | 19:33
                    skusam   Návštevník
                    pekny navod, on tam robi s tromi pocitacmi ku ktorym ma pristup, dajme tomu ze mame pristup len k jednemu a tie dva su vzdialene a neda sa do nich zasahovat... tak ako ich oklamem aby to islo cezomna?
                  • Re: wireshark 26.10.2009 | 20:03
                    skusam   Návštevník
                    teda nechapem trochen tomuto: PC3 ma MAC CC:CC.. klameme pocitac PC2 a PC1 preco su tam neni MAC adresy BB:BB.. a AA:AA.. ? ale CC:CC a BB:BB... ?? ci to sa pomylil?

                    IP adresa | MAC adresa
                    ----------------------------------
                    PC1: 10.0.0.1 | AA:AA:AA:AA:AA:AA
                    PC2: 10.0.0.2 | BB:BB:BB:BB:BB:BB
                    PC3: 10.0.0.3 | CC:CC:CC:CC:CC:CC

                    Takze mame masinu pripravenu na zacatie "pretahovania". PC1 ideme povedat,
                    ze PC2 ma MAC adresu CC:CC:CC:CC:CC:CC a nie BB:BB:BB:BB:BB:BB.

                    Kód:
                    arpspoof -t 10.0.0.1 10.0.0.2


                    A naopak PC2 ideme povedat, ze PC1 ma MAC adresu CC:CC:CC:CC:CC:CC a nie
                    AA:AA:AA:AA:AA:AA.

                    Kód:
                    arpspoof -t 10.0.0.2 10.0.0.1


                    Teraz ked uz PC1 a PC2 "klameme", tak tie ako blbe posielaku vsecek traffic
                    na nas stroj. A co robi nas stroj ? Nas stroj sa sprava ako router...
                • Re: wireshark 26.10.2009 | 23:00
                  Avatar Samuel BWPOW Kupka CentOS, Mandriva  Používateľ
                  Ani som nevedel, ze to ma aj graficke rozhranie :)
                  Mozes to pouzit napriklad takto:
                  Nech je cely tvoj rozsah siete 192.168.1.1/24, router ma adresu 192.168.1.1 (stroj A, mac: AA:AA:AA:AA:AA:AA), tvoj desktop (utocnik) adresu 192.168.1.2 (stroj C, mac: CC:CC:CC:CC:CC:CC) a obet adresu 192.168.1.3 (stroj B, mac: BB:BB:BB:BB:BB:BB). Ak pouzijes prikaz:
                  ettercap -T -M arp /192.168.1.3/ /192.168.1.1/
                  tak by sa mala na stroji B prepisat mac adresa stroja A v jeho mac tabulke na mac adresu stroja B a to iste v obratenom garde aj na stroji A. Takze cely traffic medzi A a B by mal odteraz tiect cez C. Pricom stroje typu B mozu tvorit cely rozsah:
                  ettercap -T -M arp /192.168.1.3-254/ /192.168.1.1/
                  Ide len o to, aby si to rozdelil do dvoch skupin: obete a router. Traffic medzi tymito dvoma skupinami by mal ist cez teba odteraz. Ci to funguje, uvidis aj v ARP tabulke. Pred utokom by mohla vyzerat na stroji B takto:
                  bandurka:~# arp -a
                  ? (192.168.1.1) at AA:AA:AA:AA:AA:AA [ether] on eth0
                  
                  a pocas utoku by ten zaznam mal byt:
                  bandurka:~# arp -a
                  ? (192.168.1.1) at CC:CC:CC:CC:CC:CC [ether] on eth0
                  ? (192.168.1.2) at CC:CC:CC:CC:CC:CC [ether] on eth0
                  
                  Samozrejme, MAC a IP adresy si uprav podla svojich potrieb.
                  Strach dát najevo své pocity a zjednat si u druhých respekt je jedním z problémů civilizovaného člověka, který se naučil zpochybňovat svou vlastní pravdu pro zdání objektivity