Hacking Tool - 4g8, sniffare il traffico in una rete LAN switched

In questo articolo volevo parlarvi di un modo per riuscire a sniffare il traffico in una rete ethernet switched usando un tool di linux chiamato 4g8, lo potete installare digitando “apt-get install 4g8” oppure scaricarlo direttamente dal link: http://www.intrusense.com/software/forgate/

Il tool in questione permette di compiere un attacco “Main in the middle“, se non sapete cosa sia, pensate a due utenti che si scambiano del traffico su una rete LAN e immaginate che un terzo individuo si frappone tra loro ed intercetti tutto il traffico, provvedendo a smistarlo modificandone il contenuto o semplicemente leggendo le informazioni che transitano. Immaginate adesso che al posto di un utente, vi spacciate per il default gateway e quindi tutto il traffico in uscita dalla vostra Lan (che passa tramite un default gateway) passi nella vostra macchina per arrivare in fine al gateway, in questo caso riuscirete ad intercettare tutto il traffico anche se siete in una rete switched. Apro una parentesi per quelli che non sanno che differenza ci sia tra una rete switched ed una a bus condiviso.

Nelle reti switched solo le interfaccie di rete degli host interessati ricevono il traffico, perché vi è uno switch (un apparatato di livello 2 ) che inoltra il traffico solamente ad un determinato host, quindi se usassimo uno sniffer gli unici pacchetti che vedremmo sarebbero quelli di Broadcast.

- Immaginatevi uno switch che crea una topologia a stella tra i vari host e ad ogni interfaccia dello stesso è attaccato un host diverso, quindi se un host A deve comunicare con un host B, il traffico passerà prima attraverso uno switch che provvederà ad inoltrarlo sull’interfaccia più opportuna.

In una rete a bus condiviso tutte le interfaccie di tutti gli host presenti sulla lan ricevono i pacchetti e poi è la NIC (scheda di rete) a scartare quelli non rivolti ad essa (ecco spiegato il perchè se voi in una rete a bus condiviso ponete la vostra scheda in modalità promiscua riuscite ad intercettare tutto il traffico)

Spero che l’immagine chiarisca le idee.

Quindi in una rete a bus condiviso basta settare la propria scheda di rete in promiscuos mode e sniffare il traffico con uno qualsiasi degli analizzatori di rete, mentre per una rete switched utilizzeremo questa tecnica che può essere riassunta nei seguenti passi:

- troviamo l’ip del nostro target

- ci spacciamo per il default gateway (vedremo di seguito come poterlo fare)

- sniffiamo il traffico che l’host target invia al default gateway

- ridirigiamo il traffico dell’host target verso il default gateway

Scenario

Per riuscire a fare quello che abbiamo elencato nei punti precedenti possiamo procedere nel seguente modo:

- digitiamo arp -n (verifichiamo che nella cache arp della nostra macchina vi sia l’indirizzo

e il MAC ADRESS del nostro host target, altrimenti pingiamo sul nostro target per popolare

la nostra arp cache con la sua entry, vedi Fig 1.1)

- 4g8-i eth0 -g <gateway_IP_che_vogliamo_impersonare> -G <indirizzo_IP_gateway>

-s <host_target_IP> -S < MAC_ADRESS_host_target>

- avviate il vostro fido analizzatore di rete ed intercettate il traffico

Immagine riepilogativa di quello che abbiamo detto:

Adesso non vi rimane altro che divertirvi nel vostro laboratorio di casa.

Happy Hacking

Invia articolo ad un amico