| View previous topic :: View next topic |
| Author |
Message |
cagnaluia
l33t
Joined: 01 Sep 2004
Posts: 998
Location: Treviso
|
 Posted: Mon Jan 31, 2005 9:17 am Post subject: [OT] Analizzare il traffico nella rete LAN |
 |
|
Salve,
Non credo.. ma vorrei capire se fosse possibile vedere chi sta trasferendo (cosa)/ quanto e a chi.. in una rete LAN.
ps: metto OT. perchè è piuttosto generico... |
|
| Back to top |
|
 |
gutter
Bodhisattva
Joined: 13 Mar 2004
Posts: 7162
Location: Aarau, Aargau, Switzerland
|
| Posted: Mon Jan 31, 2005 9:33 am Post subject: |
|
|
Su una rete con switch devi usare:
| Code: | * net-analyzer/ettercap
Available versions: 0.7.0 ~0.7.1 ~0.7.2
Installed: 0.7.2
Homepage: http://ettercap.sourceforge.net/
Description: A suite for man in the middle attacks and network mapping |
Se hai accesso fisicamente a tutta la rete (ad esempio rete con hub) usi:
| Code: | * net-analyzer/ethereal
Available versions: 0.10.5 0.10.5-r1 0.10.6 0.10.8 0.10.9 ~0.10.9-r1
Installed: 0.10.9
Homepage: http://www.ethereal.com/
Description: A commercial-quality network protocol analyzer
|
O puoi usare ettercap per lo sniffing ed ethereal per l'analisi successiva.
_________________
Registered as User #281564 and Machines #163761 |
|
| Back to top |
|
|
Lucacri
Tux's lil' helper
Joined: 27 Jan 2005
Posts: 147
Location: 2a Curva di Lesmo!
|
| Posted: Mon Jan 31, 2005 9:33 am Post subject: |
|
|
| Ciao, io conosco Ettercap che fa quello che ti serve! Altrimenti, potresti anche usare Nessus che ti fa vedere tutti i computer della rete e i loro relativi exploit/hole! |
|
| Back to top |
|
|
cagnaluia
l33t
Joined: 01 Sep 2004
Posts: 998
Location: Treviso
|
| Posted: Mon Jan 31, 2005 9:44 am Post subject: |
|
|
| beh.. sono in una rete piuttosto grande.. insomma decine tra switch... e un centinaio di pc... |
|
| Back to top |
|
|
gutter
Bodhisattva
Joined: 13 Mar 2004
Posts: 7162
Location: Aarau, Aargau, Switzerland
|
| Posted: Mon Jan 31, 2005 9:47 am Post subject: |
|
|
In questo caso ti consglio di spiegare meglio cosa vuoi fare. Dal momento che il traffico generato mi sembra tanto non credo che tu lo voglia sniffare tutto 
P.S.: Se ti viene in mente di usare ettercap su tale rete, stai attento a quello che fai dal momento che potresti creare casini 
_________________
Registered as User #281564 and Machines #163761 |
|
| Back to top |
|
|
cagnaluia
l33t
Joined: 01 Sep 2004
Posts: 998
Location: Treviso
|
| Posted: Mon Jan 31, 2005 9:54 am Post subject: |
|
|
spiego bene...
allora... la rete è praticamente WinLike.. fatta eccezione per il mio PC e il server della posta.. cmq...
Da poco tempo i telefoni interni sono su VoIP...
La rete è 10/100Mbit ethernet.. ma in 2 punti.. quelli che collegano le 2 sedi principali c'è una fibra di 2Mbit..
Attualmente non c'è QoS..
Quindi quando passano troppi dati sulla 2Mbit.. le chiamate interne vengono meno... e ciò NON è un bene!
Io vorrei capire chi/cosa sta passando per la rete.. praticamente: chi è che fa grosso traffico, verificare e telefonare.... |
|
| Back to top |
|
|
gutter
Bodhisattva
Joined: 13 Mar 2004
Posts: 7162
Location: Aarau, Aargau, Switzerland
|
| Posted: Mon Jan 31, 2005 10:02 am Post subject: |
|
|
E non potevi spiegarlo al primo post 
Ti cadono le manine a scrivere dal''inizio spiegazioni dettagliate 
Comunque penso che quei due stumenti siano adatti al tuo scopo ma ti consiglio di usarli in maniera accorta e sopratutto di leggere i relativi manuali prima di incasinare la rete
_________________
Registered as User #281564 and Machines #163761 |
|
| Back to top |
|
|
cagnaluia
l33t
Joined: 01 Sep 2004
Posts: 998
Location: Treviso
|
| Posted: Mon Jan 31, 2005 10:16 am Post subject: |
|
|
| gutter wrote: | E non potevi spiegarlo al primo post
Ti cadono le manine a scrivere dal''inizio spiegazioni dettagliate
Comunque penso che quei due stumenti siano adatti al tuo scopo ma ti consiglio di usarli in maniera accorta e sopratutto di leggere i relativi manuali prima di incasinare la rete |
è si scusa.. hai ragione..!!
cmq.. mi preoccupi sai.. cosa potrebbero mai fare?
cmq stò provando nessus.. ma lo faccio partire per un client.. altriementi su tutta la rete.. credo la collassi |
|
| Back to top |
|
|
comio
Advocate
Joined: 03 Jul 2003
Posts: 2191
Location: Taranto
|
| Posted: Mon Jan 31, 2005 10:17 am Post subject: |
|
|
io rimango dell'idea che è meglio poter analizzare direttamente sulla dorsale...
non puoi piazzare uno sniffer sulla dorsale?
ciao
_________________
RTFM!!!!
e
http://www.comio.it
 |
|
| Back to top |
|
|
cagnaluia
l33t
Joined: 01 Sep 2004
Posts: 998
Location: Treviso
|
| Posted: Mon Jan 31, 2005 10:20 am Post subject: |
|
|
| comio wrote: | io rimango dell'idea che è meglio poter analizzare direttamente sulla dorsale...
non puoi piazzare uno sniffer sulla dorsale?
ciao |
è nn lo so.. non le conosco bene ste cose.... dove lo metto sulla dorsale?
è un router.. non un PC.. |
|
| Back to top |
|
|
comio
Advocate
Joined: 03 Jul 2003
Posts: 2191
Location: Taranto
|
| Posted: Mon Jan 31, 2005 10:26 am Post subject: |
|
|
un modo stupido per analizzare è quello di usare un hub e metterlo sull'interfaccia... poi a questo attaccare lo sniffer... occhio che poi tutto diventa half-duplex...
Se hai un router "figo", magari ti dà la possibilità di mettere una interfaccia in mirror su un'altra... ed a questa attaccare lo sniffer...
Ettercap è troppo pericoloso...
ciao
_________________
RTFM!!!!
e
http://www.comio.it
|
|
| Back to top |
|
|
cagnaluia
l33t
Joined: 01 Sep 2004
Posts: 998
Location: Treviso
|
| Posted: Mon Jan 31, 2005 10:38 am Post subject: |
|
|
sono stravecchi... come il vino buono!
ma davvero.. cosa potrebbe mai fare un programma come ettercap???!!? |
|
| Back to top |
|
|
comio
Advocate
Joined: 03 Jul 2003
Posts: 2191
Location: Taranto
|
| Posted: Mon Jan 31, 2005 10:41 am Post subject: |
|
|
| cagnaluia wrote: | sono stravecchi... come il vino buono!
ma davvero.. cosa potrebbe mai fare un programma come ettercap???!!? |
ettercap praticamente invia richieste ARP fasulle per convincere tutti ad inviare i pacchetti allo stesso pc (che si spaccia per gateway, ed per ogni destinazione...). Poi ettercap inoltra i pacchetti alle giuste destinazioni.
Il risultato è che il pc con ettercap può potenzialmente diventare centro stella di TUTTO il traffico... e se non regge la cosa, la rete collassa.
Inoltre ci sono tecniche per impedire queste cose (tipo blocco del MAC sulle porte), che portano al blocco della rete piuttosto che ad un possibile attaco "Uomo nel mezzo".
ciao
_________________
RTFM!!!!
e
http://www.comio.it
|
|
| Back to top |
|
|
cagnaluia
l33t
Joined: 01 Sep 2004
Posts: 998
Location: Treviso
|
| Posted: Mon Jan 31, 2005 10:43 am Post subject: |
|
|
| comio wrote: | | cagnaluia wrote: | sono stravecchi... come il vino buono!
ma davvero.. cosa potrebbe mai fare un programma come ettercap???!!? |
ettercap praticamente invia richieste ARP fasulle per convincere tutti ad inviare i pacchetti allo stesso pc (che si spaccia per gateway, ed per ogni destinazione...). Poi ettercap inoltra i pacchetti alle giuste destinazioni.
Il risultato è che il pc con ettercap può potenzialmente diventare centro stella di TUTTO il traffico... e se non regge la cosa, la rete collassa.
Inoltre ci sono tecniche per impedire queste cose (tipo blocco del MAC sulle porte), che portano al blocco della rete piuttosto che ad un possibile attaco "Uomo nel mezzo".
ciao |
consiglieresti qualche testo... su cui informarsi.. imparare queste e altre tecniche di rete? |
|
| Back to top |
|
|
gutter
Bodhisattva
Joined: 13 Mar 2004
Posts: 7162
Location: Aarau, Aargau, Switzerland
|
| Posted: Mon Jan 31, 2005 10:43 am Post subject: |
|
|
Ad esempio incasinare le tabelle arp di un server e renderlo in pratica inutilizzabile fino a quando non viene fatto un flush di dette tabelle (ad esempio con un reboot).
_________________
Registered as User #281564 and Machines #163761 |
|
| Back to top |
|
|
mouser
Veteran
Joined: 10 Aug 2004
Posts: 1419
Location: Milano
|
| Posted: Mon Jan 31, 2005 11:49 am Post subject: |
|
|
Ettercap non fa altro che andare a ritoccare le tabelle di ARP dei pc in rete. Queste tabelle tengono conto delle associazioni di ip di due pc che stanno comunicando. Per esempio se il pc A con ip 192.168.1.111 sta in qualche modo comunicando con il pc B 192.168.1.222 nella tabella di arp di A ci sara' scritto l'equivalente di
| Code: |
localhost 192.168.1.222
|
ed in quella di B
| Code: |
localhost 192.168.1.111
|
Ettercap non fa altro che prendere il tuo ip (per esempio 192.168.1.166) ed andare a sostituire questo ip all'ip del pc destinazione nelle due tabelle di arp, facendole diventare
( A )
| Code: |
localhost 192.168.1.166
|
( B )
| Code: |
localhost 192.168.1.166
|
Questo fa si che i due pc, anche se convinti di continuare a "parlare" tra di loro, inviino i pacchetti direttamente a te! Poi sempre ettercap, si preoccupa di inoltrare i pacchetti che ti arrivano da un ip all'altro, mantenendo la comunicazione tra i due.
Insomma
| Quote: |
A invia il pacchetto a 192.168.1.166 (tu). Lo analizzi, lo leggi, lo studi (in alcuni casi lo modifichi) e poi lo invii a B. Fai lo stesso anche nell'altro senso
|
Questa tecnica viene normalmente chiamata MITM (Man In The Middle), che e' ben differente dallo sniffing. Se sniffi, leggi il traffico della rete, se fai un MITM puoi potenzialmente modificare tutta la trasmissione tra A e B.
ps: Ovviamente questa spiegazione e' semplificata, ma rende l'idea di cosa fa di base ettercap e cos'e' un MITM.
Spero di non essere stato troppo noioso 
Ciriciao
mouser |
|
| Back to top |
|
|
cagnaluia
l33t
Joined: 01 Sep 2004
Posts: 998
Location: Treviso
|
| Posted: Mon Jan 31, 2005 12:03 pm Post subject: |
|
|
| anzi... liscio come la seta |
|
| Back to top |
|
|
fat_penguin
Apprentice
Joined: 25 Jul 2004
Posts: 294
Location: sud side of Switzerland
|
| Posted: Mon Jan 31, 2005 12:12 pm Post subject: |
|
|
Al di la dei trucchetti dire che la cosa migliore sia replicare le porte degli switch su una sola e poi fare lo sniff da li, sempre che gli switch siano managed.
Io di solito uso tcpdump per lo sniffing di rete ... eventualmente ethereal..
byebye
fat_penguin |
|
| Back to top |
|
|
oRDeX
Veteran
Joined: 19 Oct 2003
Posts: 1325
Location: Italy
|
| Posted: Mon Jan 31, 2005 1:16 pm Post subject: |
|
|
| non potresti mettere un computer, magaricon due skede di rete, e interporlo fra un Router collegato alla dorsale e lo switch della sede e lì effettuare lo sniffing magari col semplice tcpdump? |
|
| Back to top |
|
|
cagnaluia
l33t
Joined: 01 Sep 2004
Posts: 998
Location: Treviso
|
| Posted: Mon Jan 31, 2005 1:18 pm Post subject: |
|
|
| oRDeX wrote: | | non potresti mettere un computer, magaricon due skede di rete, e interporlo fra un Router collegato alla dorsale e lo switch della sede e lì effettuare lo sniffing magari col semplice tcpdump? |
oddio.... potrei.. ma nn in orario di lavoro..  |
|
| Back to top |
|
|
lan
Apprentice
Joined: 06 Mar 2004
Posts: 215
Location: Verona, Italy (Romeo & juliet`s City)
|
| Posted: Mon Jan 31, 2005 4:42 pm Post subject: |
|
|
perhcè non in orario di lavoro.? basta solo che lometti su la notte a alla mattina ti leggi un po di tcdump, non penso dia problemi se metti le due interface in bridge
Ciao
_________________
--
http://www.giuseppe-marocchio.com
skype: l4nz0r /voice
USH team www.ush.it |
|
| Back to top |
|
|
mouser
Veteran
Joined: 10 Aug 2004
Posts: 1419
Location: Milano
|
| Posted: Mon Jan 31, 2005 5:27 pm Post subject: |
|
|
| Bhe' magari il computer non riesce a sopportare il traffico Router<->Switch durante l'orario di lavoro..... oppure non ha troppa liberta' sul maneggiare l'hardware (un reparto specifico non glielo fa fare). |
|
| Back to top |
|
|
oRDeX
Veteran
Joined: 19 Oct 2003
Posts: 1325
Location: Italy
|
| Posted: Mon Jan 31, 2005 10:15 pm Post subject: |
|
|
| tanto uan volta che hai configurato il pc ad attaccarlo ci metti non più di due minuti |
|
| Back to top |
|
|
mouser
Veteran
Joined: 10 Aug 2004
Posts: 1419
Location: Milano
|
| Posted: Tue Feb 01, 2005 11:19 am Post subject: |
|
|
| oRDeX wrote: |
tanto uan volta che hai configurato il pc ad attaccarlo ci metti non più di due minuti
|
Si, hai ragione, ma (e faccio l'esempio di dove lavoro io): se per qualsiasi motivo dovessi andare a monitorare il traffico tra un router ed uno switch, potrei benissimo interporre un pc, ma le persone che si occupano di gestire router e switch (che sono un reparto diverso dal mio, che invece si occupa dei server e dei backup/problemi sugli stessi e sulla rete) mi ucciderebbero se lo facessi io senza interpellare loro, o comunque, non credo sarebbero d'accordo data la sensibilita' dei dati trasmessi sulla rete.
Tutto dipende dalla liberta' che ha nella rete: certo se puo' fare quello che vuole, non gli costa nulla aspettare un momento della giornata nel quale il traffico e' basso (aka pausa pranzo, ecc.) e attaccare il pc! |
|
| Back to top |
|
|
|
Forum italiano (Italian) 
