Sniffing

[DeMoN3]

Spero di aver aperto il thread nella sezione giusta...

Allora,ecco il problema:dovrei effettuare dello sniffing da un pc con installato windows2000server...ho provato wireshark(ex ethereal),ma quest'ultimo crea le percentuali del tipo (icmp tot%,tcp tot%,udp tot%,etc...),mentre io vorrei che "snocciolasse" il traffico tcp,ovver che mi dasse qualcosa del tipo pop3 tot%,imap tot%,ftp tot% etc...conoscete qualche software che fa al caso mio?!?

[BTS]

con wireshark arrivi ad ogni bit... non capisco quale sia la tua limitazione.

filtra meglio lo sniffing

[DeMoN3]

Si,hai ragione,ero io che non avevo esplorato abbastanza wireshark...se faccio la visuale gerarchica dei protocolli elenca tutto...

Domanda:io sto eseguendo lo sniffing da un pc collegato direttamente allo switch,quindi rilevo solamente il traffico proveniente e indirizzato a questo pc(un server in realtà),giusto?!?Quindi non faccio veramente uno sniffing della rete,ma solamente di ciò che interessa il server...c'è un modo x vedere tutto il traffico??Per esempio,tutto il traffico è costretto a passare attraverso un firewall,è possibile fare uno sniffing(dal server) di ciò che passa sulla porta del firewall??come?

[BTS]

spiega meglio cosa devi fare... dove lo devi fare e perchè....

[DeMoN3]

Allora...io sto facendo uno stage organizzato dalla scuola all'interno di un'azienda...gli obiettivi erano ricreare la topologia(fatto)e fare statistiche sul traffico della rete...quindi mi son detto "facile,basta che piazzo uno sniffer e sto a posto"...poi oggi mi è venuto in mente di fare una domanda al tutor,ovvero se i pc erano direttamente connessi ad uno switch,e purtroppo la risposta è stata affermativa...quindi vuol dire che se io sniffo la porta del server(il pc che ho a disposizione),vedrò solamente il traffico diretto e/o proveniente da lui,anche se metto l'interfaccia in modalità promisqua...l'unico per per cui passa tutto il traffico è il firewall...dovrei quindi fare lo sniffing dalla sulla porta del firewall,ma lì è impossibile accedere...naturalmente ho parlato di tutto ciò col tutor,ma anche lui non sà che pesci prendere...

non preoccuparti,non devo tirar giù la rete dell'azienda :P

[hmetal]

[quote=DeMoN3;21278839] giusto?!? QUOTE]

si è esatto.

Esistono degli switch (tipo i Cisco) che hanno una modalità (per i Cisco si chiama SPAN) con il quale setti una porta in modo tale che mandi fuori tutto il traffico che gli arriva su tutte le porte. Questo è un sitema.

Alternativamente attacchi un hub e ci attacchi te e il server.

Alternativamente metti 2 schede di rete e ti metti tra lo switch e il server.

ciao

[hmetal]

Quote:

l'unico per per cui passa tutto il traffico è il firewall

non è vero. Passa solo quello diretto a lui o in uscita se fà da gateway.

[DeMoN3]

[quote=hmetal;21280585]

Quote:

Originariamente inviato da DeMoN3

giusto?!? QUOTE]

si è esatto.

Esistono degli switch (tipo i Cisco) che hanno una modalità (per i Cisco si chiama SPAN) con il quale setti una porta in modo tale che mandi fuori tutto il traffico che gli arriva su tutte le porte. Questo è un sitema.

Alternativamente attacchi un hub e ci attacchi te e il server.

Alternativamente metti 2 schede di rete e ti metti tra lo switch e il server.

ciao

Allora...gli switch sono dei "Allied telesyn",ma cmq non posso configurarli...l'hub non posso montarlo,e cmq,dove lo monterei??Al posto dello switch??non se ne parla proprio,non posso fare una simile modifica alla rete...ed è inutile anche l'ultimo suggerimento,in quanto non voglio vedere ciò che arriva a quel singolo server,ma tutto il traffico che gira sulla rete,come se non vi fossero switch...

[DeMoN3]

Leggemdo un pò in giro avevo letto delle tecniche di MAC Floodding,ma come stavo provando a farle(un pò a tentoni,a dir la verità,con etercap),è venuto il tutor x sapere cosa stavo facendo,xkè l'antivirus mi rilevava come tentativo di intrusione :P

[hmetal]

Quote:

l'hub non posso montarlo,e cmq,dove lo monterei??Al posto dello switch

prendi una porta dello switch. Ci attacchi una porta dell'hub. Sullo stesso hub ci attacchi il pc e il server. In questo modo a te arriva sia il traffico destinato a te sia quello del server.

Se vuoi fare il monitoraggio della rete, è fondamentale attacarsi su un nodo ben specifico di tale rete. Altrimenti avrai dati parziali, come tu giustamente avevi dedotto nel tuo primo post, e che implica anche da parte tua una certa conoscenza del meccanismo delle reti.

Non mi risultano esserci altri modi. Non ho capito la storia del mac flooding, che è un sistema per popolare i database cam (tabelle di routing degli switch di livello 2).

ciao

[DeMoN3]

è un modo per far crashare la CAM e quindi fare in modo che lo switch "riparti da zero",quindi inviando e imparando da tutte le porte...praticamente per un pò dovrebbe comportarsi tipo hub...

No,forse non hai capito...io non devo vedere il traffico x il server(posso benissimo far partire lo sniffer sul server,ho accesso sia ad un client che al server),ma vedere tutto il traffico di rete...il problema è che non esiste un nodo creato con un hub,ma tutti con swtich,quindi diventa un bel casino...dici che non sia possibile,quindi,fare una rilevazione "globale" ?!?

[hmetal]

Quote:

dici che non sia possibile,quindi,fare una rilevazione "globale" ?!?

diciamo che è sbagliata la domanda. Nel senso che sarebbe assolutamente inutile fare un monitoring della rete globale perche poi ci metteresti 1 anno a scartabellarti i log di un giorno (poi dipende da quante macchine hai...).

Di solito si fanno delle statistiche sui gateway sul traffico in uscita/ingresso, ma non di tutto il traffico interno.

In ogni caso teoricamente piazzandosi su diversi nodi "strategici" dovresti avere la visione del traffico globale.

ciao

[Devil!]

Quote:

Originariamente inviato da hmetal

Non mi risultano esserci altri modi

ci sarebbe l'ARP spoofing/poisoning...

[DeMoN3]

Quote:

Originariamente inviato da hmetal

diciamo che è sbagliata la domanda. Nel senso che sarebbe assolutamente inutile fare un monitoring della rete globale perche poi ci metteresti 1 anno a scartabellarti i log di un giorno (poi dipende da quante macchine hai...).

Di solito si fanno delle statistiche sui gateway sul traffico in uscita/ingresso, ma non di tutto il traffico interno.

In ogni caso teoricamente piazzandosi su diversi nodi "strategici" dovresti avere la visione del traffico globale.

ciao

purtroppo non ci sono nodi "strategici",in quanto è una configurazione a stella con il firewall in mezzo...oppure non ho capito bene io dove dovrei piazzarmi...

[hmetal]

Quote:

ci sarebbe l'ARP spoofing/poisoning...

ma parlate per dati di fatto (cioè perche l'avete usato), o per sentito dire?

mi pare un po eccessivo piantare uno switch (con la tecnica del mac flood) per fare il monintoraggio. cos'è lo tengo sempre in fail open per monitorarmi la rete? utilizzo un sistema di hacking (perche l'arp spoof e il mac flodding sono tecnice di hacking) per monitorare la mia rete? Mi sembra un pochino poco applicabile per i miei gusti. Fermo restando che una cosa del genere ti fà crollare le prestazioni dello switch in maniera drammatica.

Se mi chiedete un metodo applicabile ad un azienda per monitorare il traffico interno, vi dico quanto detto sopra: o vi comprate uno switch che hanno funzionalità tipo lo span, oppure vi mettete in nodi dove il traffico passa tutto, tipo sulle dorsali.

Liberi di smentirmi, ma con cose che avete messo in produzione, non su esperimenti piu o meno teorici.

Gli esperimenti sulle situazioni di produzione non esistono, è là la cosa difficile.

ciao

[DeMoN3]

Quote:

Originariamente inviato da hmetal

ma parlate per dati di fatto (cioè perche l'avete usato), o per sentito dire?

mi pare un po eccessivo piantare uno switch (con la tecnica del mac flood) per fare il monintoraggio. cos'è lo tengo sempre in fail open per monitorarmi la rete? utilizzo un sistema di hacking (perche l'arp spoof e il mac flodding sono tecnice di hacking) per monitorare la mia rete? Mi sembra un pochino poco applicabile per i miei gusti. Fermo restando che una cosa del genere ti fà crollare le prestazioni dello switch in maniera drammatica.

Se mi chiedete un metodo applicabile ad un azienda per monitorare il traffico interno, vi dico quanto detto sopra: o vi comprate uno switch che hanno funzionalità tipo lo span, oppure vi mettete in nodi dove il traffico passa tutto, tipo sulle dorsali.

Liberi di smentirmi, ma con cose che avete messo in produzione, non su esperimenti piu o meno teorici.

Gli esperimenti sulle situazioni di produzione non esistono, è là la cosa difficile.

ciao

Che son tecniche di hacking l'avevo capito anche da solo,ed effettivamente mi sembrava un metodo un pochino drastico...purtroppo le dorsali sono in fibra,quindi inserirsi in mezzo risulta abbastanza difficile...e comprare lo switch non posso,non son neanche dipendente,figurati se mi fanno sostituire un dispositivo...

[DeMoN3]

Purtroppo ti dicono "vai e fai questo"(il prof che ti manda a far lo stage),ma poi sul campo non hai nessuno che lo sa fare e da cui potresti imparare...

[Devil!]

Quote:

Originariamente inviato da hmetal

ma parlate per dati di fatto (cioè perche l'avete usato), o per sentito dire?

mi pare un po eccessivo piantare uno switch (con la tecnica del mac flood) per fare il monintoraggio. cos'è lo tengo sempre in fail open per monitorarmi la rete? utilizzo un sistema di hacking (perche l'arp spoof e il mac flodding sono tecnice di hacking) per monitorare la mia rete? Mi sembra un pochino poco applicabile per i miei gusti. Fermo restando che una cosa del genere ti fà crollare le prestazioni dello switch in maniera drammatica.

Se mi chiedete un metodo applicabile ad un azienda per monitorare il traffico interno, vi dico quanto detto sopra: o vi comprate uno switch che hanno funzionalità tipo lo span, oppure vi mettete in nodi dove il traffico passa tutto, tipo sulle dorsali.

Liberi di smentirmi, ma con cose che avete messo in produzione, non su esperimenti piu o meno teorici.

Gli esperimenti sulle situazioni di produzione non esistono, è là la cosa difficile.

ciao

Concordo, io però ho solo accennato la possibilità tecnica, non ho detto che sia consigliabile agire in tal modo.
Il problema in questione è mal posto: risorse a disposizione e richieste non si conciliano e non è quindi questo il contesto il cui di solito si cerca di sviluppare una soluzione in ambito aziendale.

[DeMoN3]

Quote:

Originariamente inviato da Devil!

Concordo, io però ho solo accennato la possibilità tecnica, non ho detto che sia consigliabile agire in tal modo.
Il problema in questione è mal posto: risorse a disposizione e richieste non si conciliano e non è quindi questo il contesto il cui di solito si cerca di sviluppare una soluzione in ambito aziendale.

Il fatto è che la rete è gia fatta,e probabilmente il mio prof non ha tenuto conto di come fosse strutturata x affidarmi quell'obiettivo...

[hmetal]

Quote:

risorse a disposizione e richieste non si conciliano e non è quindi questo il contesto il cui di solito si cerca di sviluppare una soluzione in ambito aziendale.

Assolutamente daccordo con te.

ciao