Detección de un sniffer en red con switch

Axelko 17 agosto 2003 12:44

⋮

El mes pasado asistí a la Euskal Party 2003 (típica LAN Party), con 2048 participantes. Se que al menos un script kiddie estubo haciendo sniffing utilizando la técnica de ARP Poisoning con ethercap. El tío evidentemente se puso las botas, consiguiendo unas 300 claves de mail y casi otro tanto de web en su segmento de red (unas 90 personas).

El elemento de conexión para ese segmento de red era un Cisco Catalyst 4500.

Olvidandonos de protocolos seguros como solución, me gustaría saber si es posible detectar un sniffer en una red de este estilo (switch y y sniffer haciendo arp poisoning), y que se puede hacer con el tío aparte de ir a su puesto y cojerle de las orejas. No tengo demasiada idea sobre ataques, aunq he leído que se podría hacer un ataque DoS o de desbordamiento de buffer. Salu2 y gracias.

Este tema está cerrado a nuevas respuestas. Abre un nuevo tema para retomar la conversación.

Stendall 17 agosto 2003 14:45

⋮

Con el ettercap.
Ademas de servir para hacer ARP poisoning, m-i-t-m etc..., tambien sirve para buscar en un red a los que estan falseando el arp para llevar a cabo estos ataques.

Un saludo.

✖

Axelko 17 agosto 2003 15:56

⋮

Gracias Stendall. De todas formas, ya sabes que no soy muy amigo de Linux, y preferiría una solución Windows. Pero menos es nada 8-) . Como supongo q el año q viene llevaremos un servidor con Linux, podría valer. Salu2.

✖

Stendall 17 agosto 2003 16:22

⋮

¿Una solución con que...?

Si bueno, la solución en windows es no enchufar tu ordenador a la red, no bajarte el correo, no usar los programas de mensajeria instantanea etc...

No es por crear polemica, pero en estos temas (redes), con Windows estás vendido de antemano, no conozco de ningun programa para Windows que sirva para detectar envenenamientos de ARP o DNS en una red, que no quiere decir que no los haya, sí los conozco para Windows para hacer el envenenamiento, el man in the midle etc.., pero no se puede decir que funcionen muy bien.

Si la party se celebró en una red con switch, supongo que el ataque lo habran llevado a cabo mandando paquetes de actualizacion de ARP a todos los ordenadores, falseando la mac de el gateway de salida hacia internet que tuviese la organización, para que todo el trafico se dirigiese hacia el ordenador de el que estaba realizando el ataque.

Una manera de evitar esto, es actualizar la cache de ARP de tu ordenador, de manera que con mucha mas frecuencia de lo que lo hace el soft de el envenenador, tu mismo cambies la mac de el gateway, a la mac real, que deberias de conseguir de antemano, esto se puede hacer con un script de un par de lineas, si consigues hacer eso en windows, te puedes dar con un canto en los dientes.

Un saludo.

✖

Axelko 17 agosto 2003 17:29 ✎

⋮

Si elimino la entrada del gateway de la tabla arp de forma periódica, al crearse de nuevo la entrada quien responderá a la petición arp: el gateway real o el equipo con el sniffer? Pq si responde el gateway la solución es sencillisima. Salu2.

P.D.: Creo q probaré cosas de estas en la red de casa, a ver que ocurre.

P.D.2: ya se que para ti Windows sucks, pero tb recordarás que no me gusta demasiado Linux. Cada uno tiene sus gustos, y en serio, aun no he visto algo que no se pueda hacer en Windows y sí en Linux.

✖

Stendall 17 agosto 2003 18:29

⋮

✖

Axelko 17 agosto 2003 22:09

⋮

✖

FreeBSD 17 agosto 2003 22:36

⋮

✖

Axelko 17 agosto 2003 23:21

⋮

✖

FreeBSD 18 agosto 2003 02:36

⋮

anthrax 18 agosto 2003 11:22 ✎

⋮

Stendall 18 agosto 2003 17:41

⋮

FreeBSD 17 agosto 2003 22:41

⋮

✖

semeolvido 17 agosto 2003 23:52

⋮

✖

FreeBSD 18 agosto 2003 02:37

⋮

anthrax 17 agosto 2003 16:08 ✎

⋮

8)
Ya que estamos me podrias pasar aquel enlace que te pase sobre man in the middle, es que mis favoritos pasaron a mejor vida ... :P

Axelko, no es precisamente lo que pides, pero hay un programita que "peta" los switch y los convierte en hubs ... ademas esta para hasefroch.

Saludos

✖

Stendall 17 agosto 2003 16:28 ✎

⋮

¿Te acuerdas de algo de el link, el servidor, o lo que fuese?, es que tengo unos cuantos links, solo de el tema de seguridad unos cientos, y ahora mismo no lo encuentro, pero seguire buscando.

Por cierto, calor, lo que se dice calor, ha hecho, pero lo que mas jode es la humedad, pero creo que tengais vosotros mucha mas humedad que aqui.

Un saludo.

Editado.

Hubo suerte:

www.arp-sk.org/

✖

anthrax 17 agosto 2003 17:07

⋮

ese era el peaso de links, asias

Respecto a lo de la humedad, por aqui tenemos un respectable 70% de humedad, que no esta nada mal para no ser un pais caribeño ... :P

Saludos

✖

Stendall 17 agosto 2003 18:32

⋮

okahei 19 agosto 2003 00:53 ✎

⋮

AiNuRzZz 6 septiembre 2003 11:05 ✎

⋮

Respeto que te guste Windows más que Linux, libertad de opinión. Pero por eso mismo, me gusta linux, pq es libre y po me hace sentir libre.
Mucha gente no entiende esto, o le da igual, pero en windows no eres tu el maneja el ordenador, en linux si....
Kernel, modulos... los scripts.. ! ME PONE!

AiNuRsSs

✖

Stendall 6 septiembre 2003 15:01

⋮

Eso nada mas lo puede entender quien haya visto la luz :), yo tampoco cambio la libertad que me da Linux por nada del mundo, es mas si mañana windows fuera gratis y linux u otros sistemas abiertos fuera de pago, preferiria pagar por seguir usando linux o bsd que usar windows gratis.

Un saludo.