English | Vietnamese
 

banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register   [Login] Loginhttp  | https  ]
 
Forum Index Thảo luận thâm nhập Sniffing For Dummies  XML
Go to Page:  First Page Page 1
  [Question]   Sniffing For Dummies 15/12/2006 09:41:06 (+0700) | #31 | 30589
prof
Moderator
Joined: 23/11/2004 01:08:55
Messages: 205
Offline
[Profile] [PM]

Mr.Khoai wrote:
Gửi prof: Ettercap quả là một tool có rất nhiều chức năng. Nó vẫn đóng vai trò Man In the Middle khi tiến hành sniff dữ liệu giữa 2 đầu của một ssh hoặc ssl connection? Vậy các certificate mà ettercap tạo ra sẽ được thông báo cho user! Sau đó thì mọi dữ liệu đi que đều bị ettercap bắt được.
...

khoai
 

Hello Mr.Khoai,

Một cách *nôm na*, có thể xem máy cài đặt Ettercap đóng vai trò như một proxy chắn giữa 1 client A và 1 server B nào đó. Rõ ràng bằng cách này, Ettercap sẽ thu được toàn bộ thông tin về keys, certificates trong quá trình SSL handshake chẳng hạn. Theo như prof hiểu, khi client's certificate được gửi từ A -> B, nó sẽ bị sniff bởi Ettercap, và sau đó Ettercap sẽ sinh một fake certificate để gửi tới B. Quá trình này xảy ra tương tự cho chiều từ B -> A. Do đó, một khi thông tin về keys, certificates đều bị lọt vào tay của Ettercap, nó hoàn toàn có thể giải mã, mã hoá dữ liệu truyền thông giữa A & B.

Vậy có cách nào khắc phục triệt để tình trạng này? Hay phải thông báo cho từng user cẩn thận hơn với các message về certificate như vậy? 


Thiết nghĩ bên cạnh các giải pháp áp dụng chung như prof đã đề nghị ở trên, đ/v các trường hợp riêng như thế này, giải pháp có thể phụ thêm như:
- Sử dụng Certificate của một 3rd-party đáng tin cậy (VeriSign chẳng hạn)
- Khuyến cáo end-users nhận thức rõ sự tồn tại của các fake certificates. Bởi vì thông thường người sử dụng không mấy khi để ý hoặc không mấy khi phân biệt đâu là một cert. giả mạo, đâu là cert. mà anh ta quen thuộc.

Thân mến. smilie
[Up] [Print Copy]
  [Question]   Sniffing For Dummies 15/12/2006 11:59:07 (+0700) | #32 | 30604
Mr.Khoai
Moderator
Joined: 27/06/2006 01:55:07
Messages: 954
Offline
[Profile] [PM]
Gửi father_nghia_den:

- Kẻ tấn công, theo cách dùng ARP poisoning, hay ARP proofing, sẽ gửi đi nhiều ARP reply trong khi không ai request. IP trong ARP reply là IP của máy B, MAC address lại là MAC của máy đang tấn công.
- Máy bị tấn công nhận ARP reply đó, và sẽ cache ARP entry này. Sau đó, khi muốn gửi một packet đến máy B, thay vì gửi đến MAC của máy B, lại gửi đến MAC của máy đang tấn công.
- Non-broadcast không hẳn là multicast. Tính chất "non-broadcast" chỉ là để các máy không ở chế độ promiscuous drop packet này ở tầng data link mà thôi.
- Câu này đang được bàn tán đây :~).

Gửi prof: Thanks bồ. Nhưng theo ý khoai thấy thì sử dụng một 3rd party cert, có lẽ khả quan hơn vì làm việc với các end-users là rất khổ.

khoai
[Up] [Print Copy]
  [Question]   Sniffing For Dummies 15/12/2006 22:23:58 (+0700) | #33 | 30652
father_nghia_den
Elite Member
[Minus]    0    [Plus]
Joined: 06/10/2003 16:48:21
Messages: 95
Offline
[Profile] [PM]

Mr.Khoai wrote:
Gửi father_nghia_den:

- Kẻ tấn công, theo cách dùng ARP poisoning, hay ARP proofing, sẽ gửi đi nhiều ARP reply trong khi không ai request. IP trong ARP reply là IP của máy B, MAC address lại là MAC của máy đang tấn công.
- Máy bị tấn công nhận ARP reply đó, và sẽ cache ARP entry này. Sau đó, khi muốn gửi một packet đến máy B, thay vì gửi đến MAC của máy B, lại gửi đến MAC của máy đang tấn công.
- Non-broadcast không hẳn là multicast. Tính chất "non-broadcast" chỉ là để các máy không ở chế độ promiscuous drop packet này ở tầng data link mà thôi.
- Câu này đang được bàn tán đây :~).

Gửi prof: Thanks bồ. Nhưng theo ý khoai thấy thì sử dụng một 3rd party cert, có lẽ khả quan hơn vì làm việc với các end-users là rất khổ.

khoai 


Thanks Khoai đã trả lời .
Tớ thắc mắc nhất vấn đề là làm sao để biết các NIC trong LAN nick nào đang ở promisuous mode smilie
Theo như anh conmale nói
Cách thủ công để detect một promisuous NIC là gởi một "non-broadcast" ARP đi đến các NIC trong subnet. NIC nào trong subnet ở tình trạng promiscuous sẽ cache ARP entry này 


Vậy làm sao để biết NIC nào sẽ cache ARP entry mà mình gửi non-broadcast ARP :?)
[Up] [Print Copy]
  [Question]   Sniffing For Dummies 15/12/2006 22:43:49 (+0700) | #34 | 30656
[Avatar]
 conmale
Administrator
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

father_nghia_den wrote:

Tớ thắc mắc nhất vấn đề là làm sao để biết các NIC trong LAN nick nào đang ở promisuous mode smilie
Theo như anh conmale nói
Cách thủ công để detect một promisuous NIC là gởi một "non-broadcast" ARP đi đến các NIC trong subnet. NIC nào trong subnet ở tình trạng promiscuous sẽ cache ARP entry này 


Vậy làm sao để biết NIC nào sẽ cache ARP entry mà mình gửi non-broadcast ARP :?)  


Khì khì, nếu em đã biết được NIC nào sẽ cache ARP thì còn detect làm chi nữa? tóm cổ nói luôn chớ chờ gì nữa? :lolsmilie
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Question]   Sniffing For Dummies 15/12/2006 23:18:39 (+0700) | #35 | 30669
[Avatar]
 mudzot
Elite Member
[Minus]    0    [Plus]
Joined: 26/06/2006 14:41:27
Messages: 76
Offline
[Profile] [PM]
Em góp tí ý kiến. Em test thử man-in-the-middle giữa 1 máy windows và 1 máy mandriva linux bằng Cain&Abel, chọn chế độ gửi ARP unicast 30s/lần, spoof MAC. Kết quả là cả 2 đều cache ARP và bị sniff gọn. Vậy cách test trên của anh có chính xác không, vì cả 2 máy đó hoạt động bình thường mà không sniff ai cả.
Ngoài ra em nghĩ thế này, giả sử em sniff tài liệu mật của ông trưởng phòng gửi cho ông phó phòng theo cách như trên. Nếu trên 2 máy đó không cài phần mêm theo dõi sự thay đổi đột ngột của MAC thì sau khi cache ARP bị xóa, dường như là không có bằng chứng nào chứng minh được việc này có phải không ạ.
[Up] [Print Copy]
  [Question]   Sniffing For Dummies 15/12/2006 23:23:21 (+0700) | #36 | 30672
father_nghia_den
Elite Member
[Minus]    0    [Plus]
Joined: 06/10/2003 16:48:21
Messages: 95
Offline
[Profile] [PM]
To anh conmale : Em nói làm sao để biết mà !?
Anh có nói
NIC nào trong subnet ở tình trạng promiscuous sẽ cache ARP entry này  


Vậy làm sao để biết NIC nào sẽ cache ARP entry ?
[Up] [Print Copy]
  [Question]   Sniffing For Dummies 15/12/2006 23:42:12 (+0700) | #37 | 30676
[Avatar]
 conmale
Administrator
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

father_nghia_den wrote:
To anh conmale : Em nói làm sao để biết mà !?
Anh có nói
NIC nào trong subnet ở tình trạng promiscuous sẽ cache ARP entry này  


Vậy làm sao để biết NIC nào sẽ cache ARP entry ? 


Mình sẽ không biết cho đến khi mình ping. Em đọc kỹ lại đi.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Question]   Re: Sniffing For Dummies 16/12/2006 00:20:03 (+0700) | #38 | 30681
vietwow
Member
[Minus]    0    [Plus]
Joined: 28/06/2006 13:15:47
Messages: 90
Offline
[Profile] [PM]
Mình sẽ không biết cho đến khi mình ping. Em đọc kỹ lại đi.  


Đâu hẳn là chỉ có ping mới biết được đâu anh smilie) em nghĩ chỉ cần nó có "giao tiếp" với máy khác là biết được gòi :wink:
[Up] [Print Copy]
  [Question]   Re: Sniffing For Dummies 20/12/2006 06:43:00 (+0700) | #39 | 31457
[Avatar]
 meomap_hp
Member
[Minus]    0    [Plus]
Joined: 04/12/2006 00:15:11
Messages: 46
Offline
[Profile] [PM]
smilie Hay quá ta, em mới bít snif này lần đầu ,nhà em có 2 máy nối mạng anh chị cho em link download nó (for window)để em về test nó xem sao
-Ah ,cho em hỏi cái sniff này có "ngửi" được máy ở ngoài internet ko, em nghe các anh nói ở trên thì nó chỉ "ngửi" được trong LAN thôi à .

---------------------------------------------------------------------
Em là Niubi rất muốn làm quen và học hỏi anh chị nào ở HP
[Up] [Print Copy]
  [Question]   Re: Sniffing For Dummies 01/09/2007 01:18:19 (+0700) | #40 | 82525
blackrose80
Member
[Minus]    0    [Plus]
Joined: 29/06/2007 11:59:05
Messages: 7
Offline
[Profile] [PM]
Thế không hiểu nếu em đổi dịa chỉ MAC của máy em sang địa chỉ MAC của 1 máy khác trong mạng LAN thì sao nhỉ
[Up] [Print Copy]
  [Question]   Re: Sniffing For Dummies 02/09/2007 00:10:45 (+0700) | #41 | 82729
blackrose80
Member
[Minus]    0    [Plus]
Joined: 29/06/2007 11:59:05
Messages: 7
Offline
[Profile] [PM]
Các bác cho em hỏi 1 tý, mạng LAN của em dùng switch. Vậy làm thế nào để biết được nội dung các gói tin đi và đến 1 máy nào đó trong LAN. Cám ơn các bác nhiều
[Up] [Print Copy]
  [Question]   Re: Sniffing For Dummies 08/09/2007 22:15:24 (+0700) | #42 | 83978
[Avatar]
 PhuongDT
Member
[Minus]    0    [Plus]
Joined: 19/04/2005 02:36:42
Messages: 41
Location: HVA
Offline
[Profile] [PM]
Qua các thảo luận của mọi người mình cũng biết thêm được 1 số điều. Thanks
[Up] [Print Copy]
  [Question]   Re: Sniffing For Dummies 08/01/2008 10:47:40 (+0700) | #43 | 108994
[Avatar]
 kenji
Member
[Minus]    0    [Plus]
Joined: 24/09/2003 13:20:28
Messages: 77
Offline
[Profile] [PM]
nhân tiện đọc bài này mình thấy giống trường hợp mình gặp quá. Post lên đây share với mọi người thông tin tham khảo vụ ARP posioning này.
LAN có con cisco 837 cấu hình adsl và nối vào con sw 2960 ra các máy con. con 837 cấu hình đơn giản adsl thui, con sw2960 thì ko config gì hết. Một hôm đẹp trời, cái symantect tự nhiên nó dectect cái vật thế lạ ko bit ở đâu, thông báo đại loại là ARP Cache Posion và một cái MAC, mình dùng phần mên scan network vẫn hay use để xem bao nhiêu IP đang online thì truy ra MAC này dang dùng cho IP của cisco router???? hiện tượng là mạng LAN hơi chậm so với mọi hôm. Vào router show cái bảng CAM lên thì thấy cái MAC mà symantec cảnh báo lại là IP của chính router nhưng port kết nối với router lại là port khác trong khi cái MAC giả này lại đến từ một port khác (khi show mac address-table sẽ có thông tin IP và MAC cùng port lun). Từ đây truy ra từ từ tới đúng cái máy có cái MAC giả này và...bụp. Hết phim!!!
Nhưng mình lại thắc mắc là tại sao MAC của router lại bị biến thành MAC của máy giả đó và trên router ko bit có lệnh gì để ngăn chăn chuyện này xảy ra lần nữa ko ta???
[Up] [Print Copy]
  [Question]   Re: Sniffing For Dummies 08/01/2008 11:26:07 (+0700) | #44 | 108999
StarGhost
Elite Member
[Minus]    0    [Plus]
Joined: 29/03/2005 20:34:22
Messages: 662
Location: The Queen
Offline
[Profile] [PM]

kenji wrote:
nhân tiện đọc bài này mình thấy giống trường hợp mình gặp quá. Post lên đây share với mọi người thông tin tham khảo vụ ARP posioning này.
LAN có con cisco 837 cấu hình adsl và nối vào con sw 2960 ra các máy con. con 837 cấu hình đơn giản adsl thui, con sw2960 thì ko config gì hết. Một hôm đẹp trời, cái symantect tự nhiên nó dectect cái vật thế lạ ko bit ở đâu, thông báo đại loại là ARP Cache Posion và một cái MAC, mình dùng phần mên scan network vẫn hay use để xem bao nhiêu IP đang online thì truy ra MAC này dang dùng cho IP của cisco router???? hiện tượng là mạng LAN hơi chậm so với mọi hôm. Vào router show cái bảng CAM lên thì thấy cái MAC mà symantec cảnh báo lại là IP của chính router nhưng port kết nối với router lại là port khác trong khi cái MAC giả này lại đến từ một port khác (khi show mac address-table sẽ có thông tin IP và MAC cùng port lun). Từ đây truy ra từ từ tới đúng cái máy có cái MAC giả này và...bụp. Hết phim!!!
Nhưng mình lại thắc mắc là tại sao MAC của router lại bị biến thành MAC của máy giả đó và trên router ko bit có lệnh gì để ngăn chăn chuyện này xảy ra lần nữa ko ta??? 


1. Khái niệm CAM table không phải dùng cho router.
2. Bồ viết "...thì thấy cái MAC mà symantec cảnh báo lại là IP của chính router..." không hiểu nghĩa là gì
3. Không có cách nào để có thể thay đổi MAC của router, trừ phi router bị compromised.
4. Không thể có chuyện ARP poisoning khi có sự xuất hiện của router ở giữa.
Mind your thought.
[Up] [Print Copy]
  [Question]   Re: Sniffing For Dummies 09/01/2008 00:07:30 (+0700) | #45 | 109091
[Avatar]
 kenji
Member
[Minus]    0    [Plus]
Joined: 24/09/2003 13:20:28
Messages: 77
Offline
[Profile] [PM]
1. Khái niệm CAM table không phải dùng cho router.
--> ý mình là vào switch show cái mac address table lên
2. Bồ viết "...thì thấy cái MAC mà symantec cảnh báo lại là IP của chính router..." không hiểu nghĩa là gì
--> Ý mình là Symantec nó alarm ra một bảng thông báo (rất tiếc bằng tiếng Nhật dọc ko hiểu) nó chỉ hiện ra cái cột ghi là MAC, một cột tương ứng ghi ARP Cache Posion và mấy cái cột tiếng Nhật đọc ko hiểu.
3. Không có cách nào để có thể thay đổi MAC của router, trừ phi router bị compromised.
--> Mình nghĩ là router mình bị dính "chưởng" vụ này rùi smilie
4. Không thể có chuyện ARP poisoning khi có sự xuất hiện của router ở giữa.
--> vậy trường hợp của mình bạn có bit thông tin gì giải thích giúp mình với. Mình ko hiểu lắm về vụ này
[Up] [Print Copy]
  [Question]   Re: Sniffing For Dummies 09/01/2008 02:24:09 (+0700) | #46 | 109118
pnco
HVA Friend
Joined: 24/06/2005 16:33:48
Messages: 515
Offline
[Profile] [PM] [WWW]
Bro StarGhost đọc không kỹ rồi, không phải router xuất hiện ở giữa mà là router được nối vào 1 cái switch.

@kenji: vấn đề này cũng được bàn khá nhiều rồi, để chống lại thì 1 là dùng ARP tĩnh, 2 là dùng VLAN, còn tại sao "MAC của router bị biến thành MAC của cái máy giả đó" thì google với từ khóa "ARP poison" nó ra 1 rổ smilie

Edit: chủ đề này đã bàn rất kỹ, kenji hình như chưa đọc, tui mới vừa đọc smilie
[Up] [Print Copy]
  [Question]   Re: Sniffing For Dummies 09/01/2008 04:18:16 (+0700) | #47 | 109144
[Avatar]
 kenji
Member
[Minus]    0    [Plus]
Joined: 24/09/2003 13:20:28
Messages: 77
Offline
[Profile] [PM]
mình có đọc và như mình đã post ở trên là mình share cho mọi người tham khảo thêm thui. Nếu ai bit rõ thì có thể chỉ cách solve vấn đề cho từng trường hợp, như mình thì chỉ có cách tháo dây mạng máy đó ra smilie
[Up] [Print Copy]
  [Question]   Re: Sniffing For Dummies 09/01/2008 06:45:00 (+0700) | #48 | 109174
StarGhost
Elite Member
[Minus]    0    [Plus]
Joined: 29/03/2005 20:34:22
Messages: 662
Location: The Queen
Offline
[Profile] [PM]

pnco wrote:
Bro StarGhost đọc không kỹ rồi, không phải router xuất hiện ở giữa mà là router được nối vào 1 cái switch.

@kenji: vấn đề này cũng được bàn khá nhiều rồi, để chống lại thì 1 là dùng ARP tĩnh, 2 là dùng VLAN, còn tại sao "MAC của router bị biến thành MAC của cái máy giả đó" thì google với từ khóa "ARP poison" nó ra 1 rổ smilie

Edit: chủ đề này đã bàn rất kỹ, kenji hình như chưa đọc, tui mới vừa đọc smilie 


Hì hì, sorry vì chưa đọc kỹ.

@kenji: bồ nên xem lại bài viết trước khi post nhé, về mặt kĩ thuật thì có quá nhiều lỗi đấy. Chính vì thế mình mới bị nhầm.

Nếu trong trường hợp của bồ thì có thể cấu hình port security cho 2960. Bồ có thể đặt MAC của router vào cái port mà switch nối với router, ví dụ FA0/10 chẳng hạn. Sau đó đặt chế độ bảo vệ ở tình trạng shutdown (default), nó sẽ chặn truy cập của attacker nếu phát hiện attack, rồi thông báo cho bồ. Chi tiết có thể dùng help của switch, hoặc search google với từ khóa port security.

Thân.
Mind your thought.
[Up] [Print Copy]
  [Question]   Re: Sniffing For Dummies 27/04/2008 14:25:38 (+0700) | #49 | 127805
[Avatar]
 manhlan99
Member
[Minus]    0    [Plus]
Joined: 26/06/2006 23:45:53
Messages: 35
Offline
[Profile] [PM]
MAC router vẫn bị giả như thường.Đã kiểm chứng bằng Cain và WireSark.
Giả sử mang có 10 máy A1,A2,....,A10,máy hacker là máy A1 sẽ tiến hành sniff bằng Cain,sau khi xem kỹ các bản tin ra vào mạng thì em nhận thấy 1 điều là MAC của A2,....,A10 trong bảng ARP của Router đều giống nhau và giống A2
Mỗi địa chỉ MAC của một thiết bị là duy nhất,tạo sao router lại có thể có MAC Table như vậy?
Mong các bác giải thích?
[Up] [Print Copy]
  [Question]   Re: Sniffing For Dummies 20/07/2008 14:16:21 (+0700) | #50 | 142438
thaovn
Elite Member
[Minus]    0    [Plus]
Joined: 21/08/2003 21:10:57
Messages: 16
Offline
[Profile] [PM]
Nguồn tổng hợp:

Bài viết này Lovelinux đưa ra chỉ để các quản trị viên tham khảo, vì Lovelinux đã từng là 1 tay sniffer cách đây khá lâu rồi và hồi đó gặp nhiều cao thủ quá - nên tắt điện - ngủ đông luôn. Có một số cách phòng thủ mà Lovelinux hiểu (các cao thủ nào biết rồi thì xin góp ý cho)

1. Tay admin vào command (shell của linux) gõ:
Code:
arp -a



nó sẽ hiện ra các máy có MAC Address trùng với Mac của Gateway hay modem.
Khi đó họ chỉ cần sử dụng phần mềm tìm Mac 1 phát
ví dụ tớ sử dụng lanlook http://www.snapfiles.com/get/lanlook.html
thế là phát hiện ra kẻ tấn công, sợ wé :eek:.

Cách chống lại "cách phòng thủ trên": Đơn giản nhưng hiệu nghiệm
A. Cài vmwave, sử dụng hệ điều hành này để sniff smilie
B. MAC Flooding: Sử dụng đa hệ thống - send khoảng 20.000 cái Mac - máy này giả mac máy này, máy kia giả mac gate, máy nọ giả mác máy ... mình smilie. Cho dữ liệu chạy loạn lên smilie). Cách này có tác dụng làm ... đơ luôn mạng và nếu máy bạn không quá mạnh - cũng đơ luôn smilie. (có thể dùng http://www.oxid.it/downloads/ca_setup.exe để tấn công Flood).
C. Remote vào 1 thằng nào đó sau đó tấn công smilie - Xóa log. - Hữu hiệu nhất và rất khó phát hiện smilie.

2. Tắt ARP đi - disable ARP
Trong linux sử dụng:
Code:
ifconfig eth0 -ARP

để disable ARP protocol trên interface eth0
Trên Windows sử dụng:
Code:
arp -d inet- addr
Thí dụ: arp -d 192.168.1.60 00-AA-00-26-09-B5


hoặc:
To disable gratuitous ARPs after applying this hotfix:
1. Click Start, click Run, type regedt32, and then click OK.
2. On the Windows menu, click HKEY_LOCAL_ MACHINE on Local Machine.
3. Click the \System\CurrentControlSet\Services\TcpIp\Parameters folder.
4. Double-click the ArpRetryCount value, type 0, (for Windows 2000, type 1) and then click OK.
5. Quit Registry Editor, and then restart the computer.
(nếu ko có key này thì add thêm vào).


3. ARP Static - Đặt ARP tĩnh cho máy cần bảo vệ (personal)

Linux:
Code:
arp -a
để liệt kê các entries có sắn,
Code:
arp -d 192.168.X.X
để delete lần lượt các entries tìm thấy
sau đó thêm vào các arp entries bằng tay:
Code:
sudo arp -s 192.168.1.60 XXXXXXXXXX

hiện tại chỉ cần add vào một số entries cần thiết nhất như của Gateway chẳng hạn hoặc citrix smilie

4. Sử dụng 1 số tool sau:
a. Nhận biết & chống MAC Flooding: Cách này dễ nhận biết.
MACManipulator: tool này cho phép thiết lập 1 phiên MAC Flood, giúp admin test xem switch có chịu nổi khi bị flood hay không. MAC Flooding chỉ có tác dụng đối với các loại switch rẻ tiền (ít port).
b. Chống ARP Spoofing: hơi khó do khi đó network traffic không có biến đổi gì nhiều. Một dấu hiệu là khi 1 host bị spoof thì máy attack sẽ có MAC giống với máy đó. Vì vậy admin chỉ cần query MAC từ các host trong network, nếu có 2 MAC giống nhau thì coi như network under attack.
Các tool ARP analyzer:
Công cụ http://www.securityfocus.com/tools/3517 có chức năng phát hiện ARP Spoofing trên windows
tools dùng cho Linux: http://linux.softpedia.com/get/System/Networking/ARPSpoofDetector-29291.shtml, https://www.arp-guard.com/index.epl.en?set=1, http://sguil.sourceforge.net/index.php?page=download, ARP Watch cho hệ thống company (tuy nhiên ko phù hợp khi sử dụng DHCP).

5.> Cách khác
> OS x has a patch y which helps preventing ARP spoofing (like antidote)
> or
> -OS x in version y has a small built in ARP prevention (like SunOS)
> or
> -Firewall/IDS x is able to prevent/detect ARP spoofing

tham khảo một số nguồn:
/hvaonline/posts/list/20575.html
http://securitylabs.websense.com/content/Blogs/2885.aspx
http://www.issociate.de/board/post/271242/Defending_ARP_Spoofing.html
http://www.derkeiler.com/Newsgroups/comp.os.ms-windows.nt.admin.security/2005-11/0005.html
http://support.microsoft.com/kb/219374
http://www.issociate.de/board/post/271242/Defending_ARP_Spoofing.html
http://www.acsac.org/2003/papers/111.pdf
http://hackingart.com/bao_mat_tren_centos/109-sniff_server_how_prevent_arp_poison_arp_spoofing_mac_flooding.html
[Up] [Print Copy]
  [Question]   Re: Sniffing For Dummies 08/09/2008 03:39:52 (+0700) | #51 | 150203
hoangm
Member
[Minus]    0    [Plus]
Joined: 01/05/2008 17:01:06
Messages: 3
Offline
[Profile] [PM]
Cho em hỏi 2 trường hợp này.
PC Sniff - Switch 8ports - Switch 24ports - Modem & PC Sniffed
PC Sniff - Switch 24ports - Modem & PC Sniffed

Trường hợp nối qua 2 switch em sniff lúc được lúc không. Trường hợp còn lại thì sniff rất tốt.

Mấy huynh có thể giúp em hiểu tại sao không ạh?
[Up] [Print Copy]
  [Question]   Re: Sniffing For Dummies 23/09/2008 21:18:56 (+0700) | #52 | 152608
dmr
Member
[Minus]    0    [Plus]
Joined: 20/09/2008 03:23:57
Messages: 14
Offline
[Profile] [PM]
Em tò mò muốn biết trên Wireless có thể sniff được k nhỉ?và nếu được thì nó sẽ dựa trên nguyên tắc như thế nào?
[Up] [Print Copy]
  [Question]   Re: Sniffing For Dummies 25/09/2008 18:46:41 (+0700) | #53 | 152946
[Avatar]
 conmale
Administrator
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

dmr wrote:
Em tò mò muốn biết trên Wireless có thể sniff được k nhỉ?và nếu được thì nó sẽ dựa trên nguyên tắc như thế nào? 


Tìm thử thông tin trên diễn đàn chưa?
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Question]   Sniffing For Dummies 18/02/2009 02:25:28 (+0700) | #54 | 169801
lagger
Member
[Minus]    0    [Plus]
Joined: 05/09/2005 08:23:44
Messages: 7
Offline
[Profile] [PM]

zeno wrote:
Wellcome HVA come back again! smilie)
=========================================

[root@localhost]# macof

77:6b:e1:6e:5e:8c 93:2d:ed:45:f9:e3 0.0.0.0.45702 > 0.0.0.0.11000: S 1847390231:1847390231(0) win 512 84:a4:d3:57:ef:8 12:56:52:42:dc:95 0.0.0.0.16630 > 0.0.0.0.3031: S 1484147693:1484147693(0) win 512 88:f0:9:3f:18:89 d:86:53:53:d7:f8 0.0.0.0.15535 > 0.0.0.0.7466: S 293820390:293820390(0) win 512
 


Trong khi chúng ta chạy macof thì cái switch cũng như cái hub mà thôi Lúc này chúng ta dễ dàng sniff trong mạng đó.
------------------------------------
zeno  

Cho tôi hỏi: Macro này chạy trên UNIX/LINUX còn nếu để chạy trên WindowsXP thì phải làm thế nào ??? smilie
[Up] [Print Copy]
  [Question]   Sniffing For Dummies 07/05/2010 20:07:15 (+0700) | #55 | 210502
nhkhanh90
Member
[Minus]    0    [Plus]
Joined: 27/11/2009 18:48:12
Messages: 27
Offline
[Profile] [PM]
sao mình thử nghiệm phần mềm CAIN nó sniff và đọc được pass dạng plaintext khi đăng nhập HVA bằng https mà không đọc được mã hoá của gmail và yahoo !!!

An tâm hơn khi check mail !!!

Nhưng sao thấy nhiều bạn post bằng chứng sniff đựoc pass yahoo và gmail dưới dạng plaintext. !
Không biết hư thực ra sao ¿

Nên mạo mụi bon chen 1 comment.

[Up] [Print Copy]
  [Question]   Sniffing For Dummies 29/07/2010 00:07:28 (+0700) | #56 | 216676
ailoan
Member
[Minus]    0    [Plus]
Joined: 08/07/2010 11:05:43
Messages: 1
Offline
[Profile] [PM]
thanks so much !!! Em đang tìm hiểu về spoofing và Sniffing. Các bác có thể giới thiệu thêm về Spoofing được ko zạ ??
Em cảm ơn các bác nhiều
[Up] [Print Copy]
Go to Page:  First Page Page 1
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|