Arquivo da categoria ‘rede’

Usando msn shadow e dsniff para capturar conversas de msn, icq etc…

Lógica do sniffing para capturar conversar em rede:

Tem alguém na sua rede, batendo papo no msn com outra pessoa, daí você usa o arpspoof para avisar todos computadores da rede, que o seu computador está como servidor, Sendo assim, tudo que entrar ou sair da rede terá que passar pelo seu computador(tipo um proxy transparente).

Daí, entra a tarefa do msn shadow que capturará todas as conversas.

Vamos la, para voce entender melhor o tutorial…

A ferramenta MSN Shadow possui a funcao de capturar as mensagens instantaneas que trafega pela rede com protocolos como MSN, Yahoo messenger, jabber. A ferramenta pode ser usada tanto com rede sem fio como em rede com fio, bastando simplesmente selecionar a interface de rede na qual encontra-se ligado.

O MSN Shadow permite visualizar em tempo real as mensagens instantaneas que trafegam pela rede, e tambem existe a possibilidade de capturar as conversas que ocorrem por meio de video conferencia podendo ser salvo em formato de video.

Para que o ataque seja realizado com sucesso, primeiro devemos ativar o encaminhamento de pacotes IP para que o tráfego da rede chegue aos destinos predefinidos.

O dsnif auxilia o MSN Shadow na captura dos pacotes com a ferramenta arpspoof. O arpspoof é executado contra o gateway da rede, fazendo com que todos os pacotes tenham que passar primeiro pela maquina do investigador, fazendo isso todo o trafego da rede passa primeiro pela maquina que está sendo executado o MSN Shadow.

Ativaçao do encaminhamento de pacotes IP:

#echo 1 > /proc/sys/net/ipv4/ip_forward

Execuçao do comando arpspoof que enviará pacotes de broadcast, avisando toda a rede que os ip’s possuem o endereço Mac da maquina atacante:

#arpspoof [endereco Ip do gateway]

#arpspoof [endereco IP da vitima]

OBS: Si você não quiser e/ou não saber usar o arpspoof, basta usar o caim e abel que eu já ensinei em um tutorial antes.

Programas Descrições
Aggressor Um dos melhores Nukes
Assault Um nuke simples que da a opçao da porta nukada
CyberKit Varias opções ping, finger ….
Blood Lust Com esse nuke vc poderar escolher a porta menssagem etc.
Fake IP Pega Informações do Ip da Vitima
Divine Um poderoso nuke, detona o Lammer
DosNuke Nuke em sistema DOS
Freakzoid Bom nuke. Com a opção de ver se o ip foi desconectado realmente
Flooder Mande flooder nos Bate – Papos
Nuke IT Nunca usei mais dizem que é bom
Nuke 2.3 Bom nuke com várias opções
LorNuke Um dos melhores nukes na minha opnião



Suponha que você seja o segurança de rede da sua empresa, e todos os usuários reclamam que a conexão com a internet toda hora cai… Você, talvez como quase todos os gerentes de segurança em rede irá tentar resetar o modem da empresa. Porem, depois de resetar o modem, acontece novamente o problema dos usuários reclamarem… Daí, vem a pergunta… Como identificar uma possível DDOS( denial of service – negação de serviço)?

Existem muitas ferramentas que ajudam a voce identificar esse ataque.. Vou dar um belo exemplo usando o wireshark(Ethereal).

O Wireshark é uma ferramenta que verifica os pacotes transmitidos pelo dispositivo de comunicação (placa de rede, placa de fax modem, etc) do computador. O objetivo deste software, também conhecido como sniffer, é detectar problemas de rede, conexões suspeitas, auxiliar no desenvolvimento de aplicativos e qualquer outra atividade relacionada a rede.

Você pode baixa-lo no link abaixo:

http://www.baixaki.com.br/download/wireshark.htm

Abra o wireshark e ative o capturador de pacotes

1

Depois disso, basta começar a ver os pacotes trafegando na rede. No caso, do teste onde eu mesmo estava manejando duas maquinas.

1º Maquina é o atacante

2º Maquina do segurança

Na maquina do atacante deu um broatcast em toda rede, fazendo com que a mesma fique lenta e  conseqüentemente perderia a conexão com a internet de todos os computadores da rede.

Na maquina do segurança, eu usei o wireshark para identificar quem era o autor de toda aquela bagunça.

Veja na imagem:

broadcast

Na hora que eu comecei a capturar pacotes com o wireshark, então percebi que o ip 192.168.1.3 estava mandando pacotes para toda a rede(broadcast).

Repare que na ultima coluna chamada “Info”, tem algumas informações…

Who hás 192.168.1.45?  tell 192.168.1.3

O ip que está depois da palavra “tell” é o atacante(192.168.1.3) e o ip que esta depois do “Who hás” é o alvo.

Neste caso, todas as maquinas estavam sendo os alvos… repare que todas as linhas tem um ip diferente, Neste caso o atacante está atacando toda a rede, por isso que a internet de todos esta caindo.

Para acabar com este problema de broadcast, basta você adquirir um roteador ou switch gerenciável, e configurá-lo para recusar broadcast em excesso em toda a rede.

Depois de descobrir o ip do autor de quem está fazendo a zona na rede, basta ir ao individuo de bater na cara dele e depois cuspir no computador dele…kkkkkkkkkkkkkk

Brincadeira… Tome as decisões de acordo com a política de segurança da empresa onde você trabalha.

Clique aqui e veja nosso novo site

O que é vpn,

Como criar uma VPN (Rede Virtual Pivada) no windows XP

Como funciona uma VPN e para que serve?

Uma VPN é o fato de alguém fazer conexão entre dois computadores, “sem o acesso de outros que não foram chamados ou mal intencionados”. E esta conexão é  criptografad! assim colocando dois computadores em locais distantes da rede, ou ainda interligando duas redes que estão distantes uma da outra. um exemplo seria: Você tem a rede do seu trabalho está de licença em casa porém quer pegar um arquivo lá da rede pra continuar o trabalho em casa. Esse problema pode ser resolvido com a VPN. Ou por exemplo, você tem uma empresa com 4 filiais espalhadas pelo Rio de Janeiro e quer interligar todas elas para o compartilhamento de dados, esse caso você também poderia usar uma VPN.

Mas como funciona uma rede virtual privada (vpn)?

nela você encontra um protocolo para tunelamento e outro para a critografia.

assim criando um túnel criptografado entre os dois hosts.

Temos dois protocolos para fazer uma VPN, o PPTP e o L2TP/IPsec.

O protocolo PPTP (point-to-point tunneling protocol) é o mais utilizado por ser compatível com a maioria dos sistemas operacionais existente no mercado, ele é suportado desde o Windows 95, além de ser um protocolo de tunelamento o PPTP possui criptolografia MPPE (Microsoft Point-to-Point Encryption), que criptografa os dados em chaves de 40, 56 ou 128 Bits.

O protocolo L2TP ( Layer 2 tunneling protocol) foi feito pela IETF do qual combina caracteristicas do PPTP e do L2F (Layer 2 Forwarding) desenvolvido pela Cisco. O L2TP utiliza o IPSec para criptografia dos dados. É considerado, juntamente com o PPTP um protocolo de tunelamento que opera na camada 2 (Enlace de dados) do modelo OSI. O IPSec é um protocolo que opera na camada 3. O L2TP/IPsec é o mais nova e completa possibilitando criptografia e autenticação de usuário com acesso remoto.

Então vamos começar a configurar nossa VPN

Primeiramente temos que fazer o servidor, vamos lá.

Configurando o servidor VPN:

1- Clique em Iniciar>Todos os Programas>Acessórios>Comunicações>Assistente para novas conexões

ou vá em conexões de rede e clique no mesmo.

2- Assim que abrir a janela do Assistente clique em avançar nas telas de boas vindas e na próxima tela escolha a opção “Configurar uma Conexão avançada” e clique em avançar

3- “Selecione o Tipo de Conexão”, escolha “Aceitar conexões de entrada” e clique em avançar

4- “Dispositivo para conexão de entrada”, nessa parte você verá uma porta serial e um modem (caso tenha). Aqui você pode ignorar e clicar em avançar.

5- “Conexão de rede virtual privada (VPN) de entrada”, simplesmente escolha a opção “Permitir conexões virtuais de entrada” e clique em avançar.

6- “Permissões de usuário”, Agora escolha qual usuário vai poder se conectar a sua VPN, escolha um usuário ou crie um. Em seguida clique em avançar.

7- “Software de Rede”, Aqui você pode deixar tudo como está mesmo e clicar em avançar

Agora clique em Concluir e pronto seu servidor VPN já está pronto para aceitar conexões. Se você quiser que os clientes acessem sua rede local fassa o seguinte,

Vá em “Painel de controle”>”Conexões de rede”

Clique com o botão direito em conexão de entrada e clique em propriedades, vá na aba “Rede” e vá em propriedades do protocolo TCP/IP

Marque a opção “Permitir que chamadores acessem a rede local”, Aqui você pode também configurar a faixa de ip e a quantidade de usuários que vão poder se conectar simultaneamente a sua vpn. Lembrando que os ip’s só podem ser inválidos como 10.0.0.1 ou 192.168.0.1.

Agora que configuramos nosso servidor vamos a configuração do cliente

Configuração do Cliente VPN:

1- Vá novamente em “Assistente para novas conexões” clique em avançar na tela de boas vindas.

2- Escolha a opção “Conectar-me a uma rede em meu local de trabalho” e clique em avançar.

3- “Tipo de conexão”, escolha “Conexão VPN (rede virtual privada)” e clique em avançar

4- Coloque o nome da conexão ou o “Nome da Empresa” 😉

5- Escolha a conexão da qual a VPN vai utilizar e clique em avançar.

6- Coloque o nome do servidor ou o IP. Caso o ip seja dinâmico você terá que ter sempre o ip atual ou você pode utilizar um domínio de nome para seu servidor (um dns).

7- Agora clique em Concluir e coloque seu usuário e senha, lembrando que tem que ser o usuário que foi escolhido na sessão nº 6 na configuração do servidor.

Pronto!

Agora é só conectar e fazer o que bem quiser e entender.

Créditos: Ale-Spy

Fonte: invasão.com

Criei este tutorial para as pessoas que gostariam saber sobre o dsniff, pois sao poucos os
que escrevem sobre o dsniff… E é um pouco dificil achar tutoriais sobre o mesmo.
Entao vamos ao que intereça…

INSTALANDO O DSNIFF e usando pacotes do dsniff
OBS: exemplo feito com Ubuntu…

Voce pode baixar o pacote do dsniff no site: http://monkey.org/~dugsong/dsniff/
ou tambem pode baixar e instalar atraves do console:

apt-get install dsniff

TODOS ELES SAO MUITO SIMPLES DE USAR”,porem um pouco complexo de entender…
———-
O QUE É DSNIFF || QUAIS OS PACOTES DSNIFF || PARA QUE SERVEM?

arpspoof -> Serve para redirecionar pacotes a partir de um host-alvo (ou todos os hosts).
esta é uma forma extremamente eficaz de sniffing tráfego em um interruptor.
kernel encaminhamento IP (ou um programa que realiza Userland
o mesmo)
arpspoof => No arp poisoning, o micro do atacante envia pacotes com respostas forjadas
para requisiçoes ARP de outros micros da rede. Como eu já criou um tutorial falando do ARP,
todos já sabem que o ARP é utilizado para descobrir os endereços MAC dos demais computadores
da rede,  pois o switches nao entendem endereços ip. Esses pacotes forjados fazem com que os outros micros passem a enviar seus pacotes para o micro do atacante, que é configurado para  capturar as transmissões e retransmitir os pacotes originais para os destinatários corretos.
arpspoof -i eth0 192.168.1.1
Com isso, o arpspoof passará a enviar pacotes de broadcast para toda a rede, avisando todos os micros que o novo endereço MAC do “192.168.1.1” é o endereço da sua máquina. Isso fará com que ela passe a receber o tráfego destinado a ele, permitindo que você o capture.

EM TODOS OS PACOTES DO DSNIFF, PARA SABER COMO USAR OS PACOTES BASTA DIGITAR A OPÇAO “-h”, sem aspas, é logico né!
EXEMPLO…:
root@beast-desktop:~# arpspoof -h
Version: 2.4
Usage: arpspoof [-i interface] [-t target] host
//Basta escolher a opçao desejada… E tome cuidado com isso
——————————————————————-

dnsspoof -> Forjar respostas para arbitrário endereço DNS / ponteiro consultas sobre
da LAN. isto é útil em contorneando hostname baseados em acesso
de controle, ou na execução de uma variedade de man-in-the-middle
ataques (HTTP, HTTPS, SSH, Kerberos, etc.)
dnsspoof => É utilizado para forjar respostas a solicitaçoes DNS em uma LAN. É util para contornar regras de acesso baseadas no nome do host ou para implementar diversos ataques tipo main-inthe-middle baseados em DNS

root@beast-desktop:~# dnsspoof -h
Version: 2.4
Usage: dnsspoof [-i interface] [-f hostsfile] [expression]
//Basta escolher a opçao desejada… E tome cuidado com isso
————————————————————————

dsniff -> Sniffer senha. puxadores FTP, Telnet, SMTP, HTTP, POP,
poppass, NNTP, IMAP, SNMP, LDAP, rlogin, RIP, OSPF, PPTP
MS-CHAP, NFS, VRRP, YP / NIS, SOCKS, X11, CVS, IRC, AIM, ICQ,
Napster, PostgreSQL, Meeting Maker, Citrix ICA, Symantec
pcAnywhere, NAI Sniffer, Microsoft SMB, Oracle SQL * Net, Sybase
e Microsoft SQL auth info(Captura praticamente tudo de dados configenciais).
Dsniff detecta automaticamente e minimamente analisa cada
protocolo de aplicaçao, e só salva os interessante bits, apenas registrando
autenticação única tentativas. completa o TCP/IP remontagem é
fornecidos pela libnids

root@beast-desktop:~# dsniff -h
Version: 2.4
Usage: dsniff [-cdmn] [-i interface | -p pcapfile] [-s snaplen]
[-f services] [-t trigger[,…]] [-r|-w savefile]
[expression]
//Basta escolher a opçao desejada… E tome cuidado com isso
———————————————————————————

filesnarf -> Salva arquivos selecionados a partir de NFS inalado tráfego na actual
directório de trabalho.

Copia na maquina do hacker os arquivos trafegando em uma conexao NFS (network file system) entre dois outros computadores.
root@beast-desktop:~# filesnarf -h
Version: 2.4
Usage: filesnarf [-i interface | -p pcapfile] [[-v] pattern [expression]]
//Basta escolher a opçao desejada… E tome cuidado com isso
———————————————————————–

macof -> Inundar a rede local com aleatória endereços MAC (causando
algumas chaves para não abrir em modo de repetição.
Como switches que travam nao sao uma boa propaganda, os fabricantes normalmente utilizam a segunda opçao
, o que faz com que a maioria dos switches baratos e quase todos os hub-switches sejam vulneraveis a esse tipo de ataque…

um exemplo para utilizar o macof:
macof -i eth0 -n 100000
A maioria dos hub-switches sao capazes de armazenar entre 1000 e 8000 endereços MAC na memoria, de forma que bombardeando o hub-switche com 100000 endereços MAC diferentes(o que demora cercca de um minuto e meio em uma rede de 100 megabits) voce consegue chavear qualquer aparelho vulneravel para modo failopen.

root@beast-desktop:~# macof -h
Version: 2.4
Usage: macof [-s src] [-d dst] [-e tha] [-x sport] [-y dport]
[-i interface] [-n times]
//Basta escolher a opçao desejada… E tome cuidado com isso
—————————————————————————-
mailsnarf -> Uma maneira rápida e fácil violar as comunicações electrónicas
Privacy Act de 1986 (18 USC 2701-2711), Capturar emails.

Reproduz na maquina invasora mensagens de email sendo transmitidas por POP ou SMTP. com modificaçoes no codigo do programa, é possivel ler tambem mensagens IMAP e UUCP. As mensagens sao armazenadas em formato mailbox – legivel por praticamente todos os programas de email existentes.

root@beast-desktop:~# mailsnarf -h
Version: 2.4
Usage: mailsnarf [-i interface | -p pcapfile] [[-v] pattern [expression]]
//Basta escolher a opçao desejada… E tome cuidado com isso
————————————————————————–

msgsnarf -> Gravar as mensagens selecionadas AOL, Messenger,
2000 ICQ, IRC, Yahoo! Messenger, chat, sessões…

Registra toda a conversaçao entre duas pessoas que estejam usando os serviços de mensagem instantanea.
root@beast-desktop:~# msgsnarf -h
Version: 2.4
Usage: msgsnarf [-i interface | -p pcapfile] [[-v] pattern [expression]]
//Basta escolher a opçao desejada… E tome cuidado com isso
————————————————————————-
sshmitm -> SSH main-in-the-middle. proxies e sniffs SSH tráfego
redirecionada por dnsspoof, capturando SSH senha logins, e
opcionalmente seqüestro sessões interativas. Só protocolo SSH
versão 1 é (nem nunca será) suportada – este programa é bem
perigoso, pois as pessoas caem neste truque sem querer.

Age como um intermediário(uma especie de proxy) para conexoes SSH. Uma vez desviada a conexao(com ferramentas como, por exemplo, o dnspoof), o sshmitm pode farejar o trafego a procura de logins e senhas e mesmo capturar a sessao. Aporçao mitm do nome significa man-in-the-middle.

root@beast-desktop:~# sshmitm -h
Version: 2.4
Usage: sshmitm [-d] [-I] [-p port] host [port]
//Basta escolher a opçao desejada… E tome cuidado com isso
————————————————————————–
sshow -> SSH ferramenta de análise de tráfego. analisa criptografado SSH-1 e SSH-2
tráfego, identificando autenticação, os comprimentos de
senhas entrou em sessões interativas, e linha de comando
comprimentos.

root@beast-desktop:~# sshow -h
Usage: sshow [-d] [-i interface | -p pcapfile]

//Basta escolher a opçao desejada… E tome cuidado com isso
————————————————————————-
tcpkill -> Mata conexões TCP em andamento (útil para libnids baseado em aplicações
que requerem um completo TCP 3-PMS para Criação TCB).
SERVE PARA DERRUBAR CONEXOES.. BASTA SELECIONAR A CONEXAO.

root@beast-desktop:~# tcpkill -h
Version: 2.4
Usage: tcpkill [-i interface] [-1..9] expression
//Basta escolher a opçao desejada… E tome cuidado com isso
————————————————————————-

tcpnice -> Controla a velocidade da conexao entre dois nós sem prejudicar
o restante da rede. É interessante para reduzir a velocidade de
uma conexao e, com isso, monitora-la “ao vivo”

root@beast-desktop:~# tcpnice -h
Version: 2.4
Usage: tcpnice [-A] [-I] [-M] [-i interface] expression
//Basta escolher a opçao desejada… E tome cuidado com isso
————————————————————————-

urlsnarf -> Fareja requisiçoes HTTP e as apresenta no formato common log Format ou CLE

root@beast-desktop:~# urlsnarf -h
Version: 2.4
Usage: urlsnarf [-n] [-i interface | -p pcapfile] [[-v] pattern [expression]]
//Basta escolher a opçao desejada… E tome cuidado com isso
————————————————————————-

webmitm -> HTTP / HTTPS main-in-the-middle. age tambem como intermediario, desta vez para
conexoes HTTP/HTTPS. Util para conseguir senhas de acesso a sites e informaçoes
normalmente inseridas em formularios como numeros de cartoes de credito e informaçoes
“criptografadas”.

root@beast-desktop:~# webmitm -h
Version: 2.4
Usage: webmitm [-d] [host]
//Basta escolher a opçao desejada… E tome cuidado com isso
————————————————————————-
webspy -> envia URLs inalado a partir de um cliente para o seu local Netscape,
navegador para exibir em tempo real (como o alvo surfa, o navegador
surfa com eles, automaticamente)”Muito divertido”.

root@beast-desktop:~# webspy -h
Version: 2.4
Usage: webspy [-i interface | -p pcapfile] host
//Basta escolher a opçao desejada… E tome cuidado com isso
——————————————————————–

Veja mais em…:
http://www.dicas-l.com.br/print/20080109.html
http://www.gdhpress.com.br/redes/leia/index.php?p=cap5-17

Muitas vezes pessoas navegam na internet sem saber o que é http e muito menos https, por isso resolvi criar este post e dizer a segurança do https.

HTTP: Significa: hyper text transfer protocol   > http é protocolo de transferencia de hipertexto. É um protocolo de comunicaçao ( na camada de aplicaçao, a partir do modelo OSI ). É usado para transferir dados por intranet/extranets e pela World Wide Web. Normalmente, este protocolo é utiliza o porta 80 e é usado para a comunicação de sites, comunicando na linguagem HTML. Contudo, para haver comunicação com o servidor dos sites é necessário utilizar comandos adequados, que não estão em linguagem HTML.

HTTPS (HyperText Transfer Protocol Secure), é uma implementação do protocolo HTTP sobre uma camada SSL ou do TLS. Essa camada adicional permite que os dados sejam transmitidos com segurança (através de criptografias) e que se verifique a autenticidade do servidor e do cliente através de certificados digitais. A porta TCP usada por norma para o protocolo HTTPS é a 443. O protocolo HTTPS é utilizado, em regra, quando se deseja evitar que a informação transmitida entre o cliente e o servidor seja visualizada por terceiros, como por exemplo no caso de compras online. A existência na barra de tarefas (normalmente do lado direito) de um cadeado demonstra a certificação de página segura (SSL). Nas URLs dos sites o início ficaria ‘https://’. Geralmente os navegadores mais atuais indicam um site seguro, geralmente atráves das barras de endereço que ficam verde. Consulte a ajuda do seu navegador para mais informações de como ele avisa sobre sites seguros.

Conclusao:

O protocolo http é usado para transferir dados por intranet/extranet -> e pela World Wide Web.

O HTTPS é o protocolo ou conjunto de regras e códigos com uma camada de segurança (SSL)que torna a navegação mais segura. Assim ficando com o nome HTTPS.

O HTTP não oferece a mesma segurança do HTTPS porque as informações navegam na rede de uma forma muito parecida com a apresentada na tela ou digitadas pelo usuário. Por exemplo, se o usuário digita um login “xxx” e uma senha “1234″, isso é colocado dentro de pacotes de dados que são enviados da mesma maneira pela rede. Alguém pode interceptar esses dados no meio do caminho, contendo exatamente o digitado. Com essas informações, o interceptador pode acessar um site na internet.

O HTTP tem vulnerabilidades que acabam por prejudicar os usuários. O HTTP não oferece certeza absoluta de que o site acessado é realmente quem diz ser. Um cracker pode interceptar os dados que trafegam e criar um falso sítio de destino, respondendo às requisições do navegador na web. Por exemplo, o usuário pode pensar que está navegando numa loja virtual, mas está, na verdade, interagindo com uma quadrilha que roubará seus dados pessoais, como senhas e números de cartão de crédito.

O uso de criptografia aumenta sua segurança, mas diminui a performance de navegação.

OBS:Por opção padrão, a maioria dos navegadores geram um aviso de segurança quando você muda de uma conexão HTTP (não segura) para uma conexão HTTPS (segura), e vice-versa. Embora úteis, estes avisos podem incomodar. Entretanto, você pode configurar seu browser para que eles não apareçam mais.

PELO AMOR DE DEUS NAO CONFUNDAO HTML COM HTTP!

Vou criar outro tutorial ensinando burlar o certificado do HTTPS(SSL), E pegar dados pessoais de alguém.

Fonte: antispam.br, cartilha.cert.br