Sniffing - jak zasymulować atak

[ttpj]

Witam, dostałem na uczelni projekt zasymulowania ataku sniffingu i sposobów wykrywania tego typu ataków poprzez IDS.
Zamierzałem stworzyć sieć LAN pomiędzy hostem, a maszyną wirtualną. Na hoście zainstalować Snorta, który będzie spełniał rolę IDS. Poszukuję teraz rady jak zasymulować atak i jak go wykryć. Myślałem o wykorzystaniu być może jakiegoś exploita. Czy możecie coś polecić?

[TQM]

Nie wiem czy uzywajac maszyn wirtualnych dasz rade zasymulowac atak... sniffing dziala lub nie (albo dzialal lepiej lub gorzej) w zaleznosci od tego jak zbudowana jest siec na warstwie sprzetowej - masz switcha, huba, polaczenie bezposrednio kabelkiem, switch niezarzadzalny czy zarzadzalny, czy ma dodatkowe opcje, gdzie wpiety jest IDS itd...

IMHO nie ma czego testowac na maszynie wirtualnej...

[ttpj]

A jeśli użyję switcha i dwóch hostów, jaki program do podsłuchu polecasz żeby zasymulować atak?

[TQM]

tcpdump - nic wiecej nie potrzebujesz do sluchania... do analizy tego co tcpdump zlapie mozesz pozniej uzyc wiresharka jesli chcesz gui lub tshark'a jesli pracujesz w konsoli

[ttpj]

Sniffowanie na hubie mam już mniej więcej opanowane. Teraz starałem się to zrobić na switchu, niestety 2 aplikacje jakie próbowałem użyć WinArpSpoof i Ettercap wyłączają się zaraz po uruchomieniu (windows 7 - być może to jest problem? - chociaż próbowałem też winarpspoof na xp i też sie wykrzacza). Orientujesz się jak skonfigurować snorta, aby ten wykrywał sniffing? Może być tylko na hubie, jeśli uda się na hubie, to potem na switchu już tylko dla własnej satysfakcji będę próbował

[TQM]

Sniffing pasywny (hub) nie wykryjesz programem... snort bedzie slepy bo sniffujacy nic nie wysyla... na switchu L2 trzeba robic arp-spoofing i wtedy mozna cokolwiek wykryc...

[ttpj]

Witam ponownie, udało mi sie zrobić ARP - spoofing za pomocą ettercapa spod linuxa. Może w takim razie lepiej jest zrobić metodę wykrywania ARP - Spoofingu, skoro to już udało mi się zrobić Jak wykryć snortem arp spoofing?

[lojciecdyrektor]

Witam,

na dzień dobry wypadałoby zrozumieć sam mechanizm arp spoofingu...

Możesz podczas ataku odpalić sniffer i podejrzeć ramki i pogooglowac trochę.

Co do Snort'a to jeśli się nie mylę jest sekcja dotycząca arp spoofingu, ale o tym w manualu

pozdrawiam

[agilob]

Metody wykrywania sniffingu:
1. Test ARP-spoofing
2. Test ARP-cache
3. Test ICMP (jak w 1., tyle że inny protokół. Wysyłamy do sieci ICMP echo request, w nagłówku ze sfałszowanym adresem MAC, karta sieciowa w trybie promiscuous odbierze ten pakiet, a nawet odpowie na niego pakietem ICMP echo reply)
4. Test DNS (wysyłasz do sieci datagram UDP ze sfałszowanym adresem IP i nasłuchujesz czy w sieci pojawi się datagram UDP skierowany do serwera DNS ze słafszowaym adresem IP - niektóre sniffery nie są całkowicie pasywne w swoim działaniu, dlatego można je wykryć)
5. Wykrywanie podsłuchu przez pomiar czasu odpowiedzi (niektóre sniffery obciążają karty sieciowe przez co czas ich reakcji na zapytania jest dłuższy - metoda wadliwa bo przecież użytkownik może mieć włączone kilka programów sieciowych aktywnych)
6. Obrona przed sniffingiem przez statyczne tablice ARP
7. Reflektometr (czasem sniffer zwiększa ruch w sieci LAN)

Możesz odpisać na którą metodę reflektujesz to opisze Ci ją dokładniej.

Źródło: 101 zabezpieczeń przez atakami.

[ttpj]

Dzięki za odpowiedź. Przeczytałem wszystkie scenriusze z tej książki, ale jednak temat projektu się zmienił w instalacje i konfiguracje Snorta, i pod Snortem wykrywanie arp-spoofing. I tu pojawia się kłopot. Arp-spoofing już udało się zrobić za pomocą ettercapa. Snorta zainstalowałem na WinXP, generalnie postępowałem zgodnie z instrukcją ze strony: Install a MASTER Windows Intrusion Detection System (WinIDS) - BASE Console / Apache Webserver / MySQL Database :: WINSNORT.com :: Home of the Windows Intrusion Detection System!. Wszystko udało się zrobić, w pliku konfiguracyjnym snort.conf zmieniłem linijki odpowiedzialne za arp spoof prepocessor tak jak napisano w manualu (podałem tam adres ip bramy i jego mac), a pomimo tego mam problem z otrzymaniem alertu że ktoś sniffuje w sieci. Czy macie może jakieś porady?