Corso di Reti di Accesso

{Filename?} Fwd: Domanda su ARP


Cronologico Percorso di conversazione 
  • From: "Fabrizio De Santis" < >
  • To:
  • Subject: {Filename?} Fwd: Domanda su ARP
  • Date: Tue, 9 Jan 2007 21:16:31 +0100
  • Domainkey-signature: a=rsa-sha1; q=dns; c=nofws; s=beta; d=gmail.com; h=received:message-id:date:from:to:subject:in-reply-to:mime-version:content-type:references; b=Iouu+xAv5VDRjlg+io/0P7mKRBdwcyNHGjR1fCRUPFkAvjMIrSk58QBECGe0l3Bre95iN74euJj/mnwvLTX1bvjdNUQj0TkwV5tm9yHP6+i9vKaaP5VWGxAIqL30fNCcrQM2wzg6HYptbSKXX0nZztMokiJSCBdHJP7IsVKoHdQ=


---------- Forwarded message ----------
From: Fabrizio De Santis < "> >
Date: 9-gen-2007 18.48
Subject: Re: Domanda su ARP
To: Giuseppe Bianchi < "> >

Salve a tutti....diciamo che ho effettuato un MITM a casa mia tra un fisso, un portatile e un router: l'attaccante è il portatile ( MailScanner warning: numerical links are often malicious: 192.168.1.2), il fisso è MailScanner warning: numerical links are often malicious: 192.168.1.3 e il router è MailScanner warning: numerical links are often malicious: 192.168.1.1.
A parte eclatanti errori l'attacco dovrebbe essere riuscito, anche se confrontando la traccia con quella del professore mi pare che nella mia ci sia un traffico molto maggiore di ARP (anche dopo che le tabelle arp delle vittime sono state corrotte...).... Premetto che ho usato ethereal su entrambi i pc mentre effettuavo l'attacco, ed il numero di pacchetti catturati risulta uguale ( quindi ho pensato che fosse riuscito il tutto ) però poi ho pensato che nella traccia attaccante dovrebbero essere quasi il doppio i pacchetti, in quanto sono segnalati anche quelli che reinvio alle vittime ( e questo mi ha fatto tornare a dubitare ).
 
Che ne dite voi?
 
 
P.S. visto che ci stò, volevo anche sapere se conoscete il modo per decriptare (e sopratutto dove trovare) le informazioni che contengono i pacchetti (mentre i computer erano sotto attacco ho provato ad accedere ad un sito inserendo un nome utente e una password, e volevo capire (se e) da dove si vedono all'interno della traccia queste informazioni).
 
grazie

This is a message from the MailScanner E-Mail Virus Protection Service
----------------------------------------------------------------------
The original e-mail attachment "mitm attacker.cab"
is on the list of unacceptable attachments for this site and has been
replaced by this warning message.

If you wish to receive a copy of the original attachment, please
e-mail helpdesk and include the whole of this message
in your request. Alternatively, you can call them, with
the contents of this message to hand when you call.

At Tue Jan  9 21:16:52 2007 the virus scanner said:
   Cabinet files may hide viruses (mitm attacker.cab)

Note to Help Desk: Look on the MailScanner in 
/usr/local/spool/MailScanner/quarantine/20070109 (message l09KGLIe010235).
-- 
Postmaster
Universita' degli Studi di Roma Tor Vergata
www.uniroma2.it

MailScanner thanks transtec Computers for their support

Attachment: mitm victim.pcap
Description: Binary data


Archivio con motore MhonArc 2.6.16.

§