Svenska ElektronikForumet

TomasL:

Ööööh. Jo... Det funkar visst...
http://en.wikipedia.org/wiki/Man-in-the-middle_attack


Nu stämmer ju inte namnen, men jag hoppas du förstår ändå.

Tanken är ju att du kopplar in Victim till nätverkskort nummer ett i Attacker.
Sedan Web server i nätverkskort nummer två i Attacker.

Slutresultat -> Datan flödar mellan Victim och Web Server, och du Attacker i mitten kan sniffa allt.


sodjan:
Jag tycker det blir enklare i alla fall.
Det är ju lättare att komma över ett extra nätverkskort än en hub.

Snälla, vad har det med saken att göra.
En hub och Wireshark är ju per natur det allra enklaste sättet om man vill lyssna på den lokala nodens trafik.
Varför i jösse namn måste man krångla till det sådär?
Dessutom voill man i dessa lägen lyssna på trafiken utan att störa den, för att detektera överföringsproblem, och då är ditt exempel tämligen oanvändbart, på samma sätt som en avancerad nätverksswitch, även om den kan kopiera paket till specifika portar är menislös.
Man vill naturligt vis se trafiken helt oförvanskad, vilket en hub tillåter..
btw, det heter Wirechark numera, Ethercap är ett gammalt och numera ej använt namn.

Sorry, jag läste ditt inlägg som att man skulle lyssna passivt på kabeln. Ej aktivt med dator emellan.
Just detta MiM tror jag ärligt talat i princip är en hypotetisk grej, man har definitivt större problem än datasäkerhet om någon skulle lyckas med något dyligt.

Det går att göra som Electricman säger.

En fördel är att man t.ex kan vänta med att släppa paket och se vad som orsakar vad

Annars får man väl plocka rätt på två OP-amp:ar som klarar 35 MHz bandbredd och +/- 1V (MLT-3) så man kan dela upp signalen. 1000Base-T (PAM-5) är värre

Naturligtvis, dock ger det som sagt vad ingen förbättring, jämfört med en hub, snarare försämring.

10 Mbps hub är lite väl slött.

100 Mbps hub är svårt att få tag på..

Ulf skrev:

H.O skrev:

dhcp är simpelt men bättre då att implementera en färdig stack typ Adam Dunkels uIP för du lär ändå landa i en dylik men sämre implementation om och när du lyckas

Inte säker på att jag hänger med.... Jag HAR ju en TCP/IP-stack, den ligger i W5100-chipet och stödjer TCP, UDP, IPv4, ICMP, ARP, IGMP och PPPoE. Så varför ska jag implementera ytterligare en TCP/IP stack?

Nej det behövs absolut inte, eftersom du redan har stacken. Du bygger bara en klient eller server som hanterar ett visst protokoll uppe på tcp/ip.

I stand corrected. Precis som jag själv anade så var jag lite för snabb och för dåligt påläst i tråden. Glöm vad jag skrev när det gäller DHCP i detta sammanhang. Fick uppfattningen att man bara hade Ethernet men förstår nu att det handlar om Wiznet som ju har allt integrerat.

Lite dokument om man inte hittar en lämplig HUB
http://www.infosecwriters.com/hhworld/hh9/roc/roc.html
snort.org har också en del info

Notera att en hub alltid går i halv duplex medan en "riktig" miljö med switchar i 99.9% av fallen förhandlar sig till full duplex så att stoppa in en gamal hubb för att sniffa är inte 100% ekvivalent med ett riktigt driftfall.

En TAP är däremot helt transparent.

Enda nackdelen med en passiv TAP är att den lastar ned linan, vilket i sig kan orsaka störningar.

grottan skrev:Notera att en hub alltid går i halv duplex medan en "riktig" miljö med switchar i 99.9% av fallen förhandlar sig till full duplex så att stoppa in en gamal hubb för att sniffa är inte 100% ekvivalent med ett riktigt driftfall.

En TAP är däremot helt transparent.

Inte helt, men räcker troligen i de flesta fall för ha koll på meddelandena som går.
Men det finns swichar (inte de enklare) där man kan "tappa" valda portars trafik till en viss port och till denna kopplar man WS.

Problemet är att alla switchar (i stort sett) filtrerar paket, och kastar de som är skadade på ett eller annat sätt, vilket gör det i princip omöjligt att använda en switch vid felsökning (gäller även hanterade (i brist på bättre ord) switchar som kan spegla trafiken).

Det står lite mer om dessa problem på wirecharks hemsida.

TomasL:

Snälla, vad har det med saken att göra.
Vad har vad med saken att göra?


En hub och Wireshark är ju per natur det allra enklaste sättet om man vill lyssna på den lokala nodens trafik.
Om man inte har en hub då? Hubbar är ju stenålderssaker. Jag har aldrig ägt en.


Dessutom voill man i dessa lägen lyssna på trafiken utan att störa den, för att detektera överföringsproblem, och då är ditt exempel tämligen oanvändbart, på samma sätt som en avancerad nätverksswitch, även om den kan kopiera paket till specifika portar är menislös.
Du är helt säker på att denna metod "stör"?
Nyss lät det ju som om du inte att denna metod fanns...


btw, det heter Wirechark numera, Ethercap är ett gammalt och numera ej använt namn.
Det stämmer inte alls.
Ettercap är en helt annan sak än Wireshark. (Wireshark har däremot hetat Etherreal eller liknande.)
Se länken jag skrev några inlägg bak om ettercap. ( http://ettercap.sourceforge.net/ )


Just detta MiM tror jag ärligt talat i princip är en hypotetisk grej, man har definitivt större problem än datasäkerhet om någon skulle lyckas med något dyligt.
Det är knappast en "hypotetisk grej"... Det är inte svårt att lyckas med en MITM attack på ett LAN. Passa dig för WLAN.
Tanka hem ettercap och testa.

Det är knappast en "hypotetisk grej"... Det är inte svårt att lyckas med en MITM attack på ett LAN. Passa dig för WLAN.
Tanka hem ettercap och testa.

Eftersom det kräver fysisk åtkomst till nätverket, så har man garanterat större problem.
WLAN menar du då WiFi eller menar du "Internet", typ.
Tja WiFi, då får man skylla sig själv om man inte kör skyddat, och lyssna på BackBonen är omöjligt, på samma sätt som man inte kan koppla in sig på en befintlig ADSL-Line eller fiber utan att det märks.

Sorry, blandade ihop de två projekten.

Med en OP-amp så kan man lyssna utan att lasta ner linjen nämnvärt.

Reflektioner (TDR) kan också strula om man har en "stub".

Kanske det, men inte helt enkelt att designa, då frekvenserna är rätt höga.