Olfateando el sniffer

3

A huele B mientras que B está olfateando C .

  • ¿Cuál es el tráfico en A ? ¿ A captura el tráfico de B y C o solo el de B ?
pregunta pferor 17.12.2011 - 00:46
fuente

3 respuestas

8

Depende de cómo esté configurada la red y de cómo están olfateando.

Red de transmisión - Pasiva

Con la detección pasiva en una red de transmisión, todo el mundo lo ve todo. En particular, si B está haciendo un sniff bastante estándar (por ejemplo, la configuración predeterminada en tcpdump), A no solo ve todo el tráfico de B y C, sino que puede detectar que B está olfateando las solicitudes de DNS "filtradas".

Red conmutada - Arp Cache Envenenamiento

Si se cambia la red, la detección es un poco más difícil. Suponiendo que el interruptor es vulnerable al envenenamiento de caché arp (falsificación de arp), y que A y B no tienen privilegios, entonces podría ser difícil para A envenenar confiablemente el caché para B mientras que B hace lo mismo con C. Es probable que ninguno de A, B o C podrán enviar o recibir de forma confiable.

Red conmutada - Reflejo

Por otro lado, si A es un administrador que está olfateando a través de un espejo del puerto de B, entonces A verá todo el tráfico que B está recibiendo, lo que significa que A también verá el tráfico de C. Y será obvio para A que B está realizando un ataque.

Mezclado

También puedes combinar estos escenarios. Suponga que A y B están en un dominio de difusión compartido y C está en un puerto de conmutador diferente. Si B envenena la memoria caché para recibir el tráfico de C, entonces A puede ver todo ese tráfico. Y nuevamente, el ataque probablemente sea obvio para A. (Este escenario específico es probablemente poco probable, pero he visto algunas configuraciones extrañas).

También puede ser posible que B sea el administrador y pierda inadvertidamente un puerto monitoreado de manera que A pueda olfatearlo.

    
respondido por el bstpierre 17.12.2011 - 04:30
fuente
2

Aún estarías en la misma red.

A solo obtendría B a menos que estuvieras envenenando toda la subred.

Si estuvieras usando metasploit quizás, podrías usar B como un pivote para cualquier cosa que hagas a C ...

Le sugeriría que aprendiera los fundamentos de las redes antes de saltar a sniffers y subredes porque, si se realiza ilegalmente, no sería difícil atraparlo.

    
respondido por el AnswerMan 17.12.2011 - 01:36
fuente

Lea otras preguntas en las etiquetas