نوشته‌شده در

کالی لینوکس – اتصال به اینترنت به آرامی پس از آپدیت کردن

پس از تمرین کردن arpspoofing خودم اتصال اینترنت من در غیر قابل تحمل کند بیشتر، اما نه تمام دستگاه های من. من همه چیز را تعطیل کردم و دوباره تلاش کردم تا همه چیز را دوباره پرورش دهم، اما هنوز مشکلی مشابه وجود دارد.

این سناریو است:
مهاجم: Kali لینوکس بر روی تمشک من اجرا می شود
قربانی: MacBook Pro من در حال اجرا سیستم عامل مک

من از دستورات در این دستور استفاده کردم:
1.) echo 1> / proc / sys / net / ipv4 / ip_forward
2) cat / proc / sys / net / ipv4 / ip_forward (verified = 1)
3) arpspoof -i wlan0 -t 192.168.1.5 192.168.1.1
4) arpspoof -i wlan0 -t 192.168.1.1 192.168.1.5

پس از عیب یابی و پیدا کردن یک صفحه در اینجا که گفتم باید IPTABLES را اضافه کنم سعی کردم مبادله مراحل 3 و 4 با:

3.) arpspoof – من wlan0 -t 192.168.1.5 -r 192.168.1.1
4) arpspoof -i wlan0 -t 192.168.1.1 192.168.1.5

با این حال، هیچ چیز به طور کامل مشکل را حل نمی کند هر گونه کمک به دانش آموز infosec بسیار سپاسگزارم!

نوشته‌شده در

شبکه – در ARP spoofing دو MAC نقشه برداری به یک آدرس آی پی یا دو IP نقشه برداری به یک آدرس MAC؟

پاسخ درست است. وقتی مسمومیت با ARP اتفاق می افتد، دستگاه مهاجم می گوید "سلام، من 10.20.30.40، MAC من AABBCCDDEEFF" است. و ماشین قربانی می گوید "سلام، من هستم 10.20.30.40، MAC من 112233445566" است.

دو ماشین با همان MAC. چرا؟ این به این دلیل است که در لایه اترنت، IP به معنای چیزی نیست. MAC آدرس مورد استفاده برای مسیر بسته است. و هنگامی که کسی نیاز به ارسال یک بسته به 10.20.30.40، آن آدرس MAC است که تعیین می کند که چه کسی بسته، و نه IP را دریافت خواهد کرد. اگر MAC در حال حاضر در حافظه پنهان شده باشد، بسته به موقع ارسال می شود.

در غیر این صورت، فرستنده درخواست ARP را صادر می کند: چه کسی 10.20.30.40 است؟ 20.20.20.200 ، صاحب IP پاسخ خواهد داد، و 10.20.30.200 ورودی را در جدول پنهان آن قرار می دهد

شما این "آدرس آی پی تکراری را شناسایی کرده اید" زیرا 2 (یا بیشتر) آدرس MAC به همان IP پاسخ می دهند. هنگامی که پیام ARP درخواست: چه کسی است 10.20.30.40؟ گفته می شود که 10.20.20.200 فرستاده می شود، هر دو مهاجم و قربانی می گویند که آنها مالک این IP هستند و آدرس مک خودشان را می دهند.

نوشته‌شده در

nmap – خروجی Zenmap -pf

ما هوشمندانه تمامی ایمیل های ما را از طریق یک شخص ثالث که بایگانی و sanitises همه نامه های ورودی و خروجی ما است.

ما اخیرا یک حمله اسپم داشتیم، جایی که وب پورتال به صندوق پستی کاربران در این حزب 3 توسط یک رمز عبور دامنه ویندوز این حمله از هلند بر اساس آنها صورت گرفت. منبع ip (با توجه به مسیر پیگیری و رابط ردیابی برای e برای ایمیل) 10.32.115.240 است. این در محدوده ما نیست، اگرچه اولین اکتت همان محدوده داخلی ما است. من جدول ARP کلید اصلی ما را بررسی کرده ام – هیچ ورودی وجود ندارد.

ISP ما هیچ ترافیکی از این IP را تایید نمیکند. من نمیتوانم پینگ کنم و به این IP متصل نباشم. من همچنین می دانم که این یک محدوده IP داخلی است و بر روی اینترنت قابل رویت نیست. من این IP را به یک VM تست، با ماسک کلاس A و B دادم، و به عنوان انتظار می رفت که نمی توانستم از GW پیش فرض پاسخ بگیرم، بجز اینکه از هر چیز دیگری خارج شد – من با 8.8.8.8

انجام دادم اسکن مخفی با zenmap، 5060 tcp و 2000tcp باز است، 1 hop و latency 0.0022s

اگر من به این دستگاه ترافیك كنم، من رزولوشن ip (اصطلاح صحیح – من می توانم آدرس های IP را ببینم) حداقل برای اولین بار 3 hop.

آیا این خروجی از zenmap بهترین حدس و استفاده از مقادیر از دستگاه دروازه به طور پیش فرض است؟ همانطور که می دانم، خروجی nmap می تواند گمراه کننده باشد، اگر "حدس زدن" – یا این می تواند نوعی از چیزهای گنگ گمراه کننده باشد؟

با تشکر !!

نوشته‌شده در

مرد در وسط – در MITM جایی که ترافیک مشتری به سرور است؟

من می خواهم یک MTIM را در من LAN بگذارم فقط برای سرگرمی. و من از arpspoofing استفاده می کنم که از قبل در لینوکس نصب شده است. اما مشکل این است که می توانم ترافیک را به سرور به مشتری بدهم. اما ترافیک مشتری را به سرور نمی بینم

در اینجا چیزی است که در MITM استفاده می شود.

حمله یار: – 192.168.0.4
قربانی (تلفن من): – 192.168.0.2
دروازه: – 192.168.0.1

مرحله: 1 فعال سازی IP-Forwarded در دستگاه نوشتاری من با استفاده از این دستور 

  echo 1> / proc / sys / net / ipv4 / ip_forward

مرحله: 2 حالا از دستور arpspoof برای ساختن رایانه به عنوان روتر استفاده می کنم. 

 arpsoof -i eth0 -t victimip gatewayip

گام: فرمان دوم آرپسپوف 

 arpspoof -i eth0 -t gatewayip victimip

مرحله 4: حالا Wireshark را برای ضبط تمام ترافیک شروع کردم، اما مشکل اصلی این است که می توانم ترافیک را از سرور به سرویس گیرنده ببینم اما می توانم ترافیک را از Client به سرور ببینم.

بنابراین چه چیزی از اینجا گم شده ام؟

نوشته‌شده در

فایروال ها – برای یک کاربر مخرب ممکن است آدرس آی پی LAN یک دستگاه بی نظیر را تغییر دهد

اساسا من یک شبکه محلی و یک IPCam (با ذخیره سازی خودم) در آن دارم. با توجه به برخی محدودیت های عملی، من نمی توانم از فن آوری هایی مانند انزوای AP یا VLAN برای جداسازی دستگاه های کم صدا و یکپارچه استفاده کنم.

در شبکه Wifi برخی کاربران مخرب وجود دارند (فرض کنید برخی از آنها وجود دارد) و من هستم با توجه به امنیت IPCam من

آنچه که من می خواهم انجام شود این است:

(1) ثابت آدرس آی پی IPCam؛

(2) تمام ترافیک ورودی را به IPCam IP (زمانی که مدیریت لازم است، من قصد دارم این قانون را به طور موقت غیر فعال کنم.)

بنابراین برای اولین گام، همانطور که می دانم، دو راه برای انجام آن وجود دارد:

(1) یک آدرس IP ثابت در داشبورد IPCam؛

(2) از سرویس DHCP روتر استفاده کنید و به طور ایستا IP را به IPCam (با آدرس MAC خود) اختصاص دهید.

شخصا من دو روش را ترجیح می دهم چون مدیریت متمرکز می شود (با توجه به اینکه من IPCams بسیاری). با این حال، برای روش دو، من فکر می کنم که مشتریان مخرب ممکن است IPCam (یا کل شبکه محلی) IPCam (چیزی که مربوط به ARP است) را جعل کند (یا هر ترتیبی که باید باشد).

بنابراین سوالات عبارتند از: آیا می توان آن را تحت روش دو انجام داد؟ در مورد روش اول چطور؟ آیا روش یکی امن تر است؟

اگر کل طرح خوب نیست، آیا راه حل های بهتر از خرید روترهای جدید / فایروال های که پشتیبانی از انزوا AP / VLAN وجود دارد؟

با تشکر