Re: {Filename?} Fwd: Domanda su ARP

["ZioPRoTo (Saverio Proto)" < >]

Ciao,

ho dato uno sguardo alle tracce.
aprendo mitm attacker.pcap vedo che non hai poisonato bene

non c'è nemmeno un pacchetto IP dove il sorgente è MailScanner warning: numerical links are often malicious: 
192.168.1.3 (la vittima).
Quindi con il poisoning hai fregato solo il GW. Vedi solo il
traffico dal GW verso la vittima. In altre parole vedi solo "il
download" della vittima.

La password non la vedi, perchè viaggia
"nel traffico in upload della vittima". Ovviamente è la vittima che
manda la password verso il sito web, e non il contrario.

Inoltre, vedendo mitm victim.pcap, ho visto che hai fatto un login con un cookie, quindi cmq non mandi la password.

guarda, frame 1 , 4 e 5 sono il threeway handshake del TCP, che fai con il sito web.
i
frame 2 e 3 sono l'ARP request e reply con i quali il tuo GW impara il
tuo MAC (evidentemente tu avevi gia il MAC del GW in cache)

Nel frame 6 c'è il primo comando HTTP che mandi verso il
server web, è un POST, e mandi un cookie ad una pagina php per
autenticarti.

Ottimo lavoro! Prova ancora! :)

Saverio

2007/1/9, Fabrizio De Santis < "> >:

---------- Forwarded message ----------
From: Fabrizio De Santis < " target="_blank" > >
Date: 9-gen-2007 18.48
Subject: Re: Domanda su ARP
To: Giuseppe Bianchi < " target="_blank" > >

Salve a tutti....diciamo che ho effettuato un MITM a casa mia tra un fisso, un portatile e un router: l'attaccante è il portatile ( MailScanner has detected a possible fraud attempt from "192.168.1.2" claiming to be MailScanner warning: numerical links are often malicious: 192.168.1.2), il fisso è MailScanner has detected a possible fraud attempt from "192.168.1.3" claiming to be MailScanner warning: numerical links are often malicious: 192.168.1.3 e il router è MailScanner has detected a possible fraud attempt from "192.168.1.1" claiming to be MailScanner warning: numerical links are often malicious: 192.168.1.1 .

A parte eclatanti errori l'attacco dovrebbe essere riuscito, anche se confrontando la traccia con quella del professore mi pare che nella mia ci sia un traffico molto maggiore di ARP (anche dopo che le tabelle arp delle vittime sono state corrotte...).... Premetto che ho usato ethereal su entrambi i pc mentre effettuavo l'attacco, ed il numero di pacchetti catturati risulta uguale ( quindi ho pensato che fosse riuscito il tutto ) però poi ho pensato che nella traccia attaccante dovrebbero essere quasi il doppio i pacchetti, in quanto sono segnalati anche quelli che reinvio alle vittime ( e questo mi ha fatto tornare a dubitare ).

 

Che ne dite voi?

 

 

P.S. visto che ci stò, volevo anche sapere se conoscete il modo per decriptare (e sopratutto dove trovare) le informazioni che contengono i pacchetti (mentre i computer erano sotto attacco ho provato ad accedere ad un sito inserendo un nome utente e una password, e volevo capire (se e) da dove si vedono all'interno della traccia queste informazioni).

 

grazie