Diferència entre revisions de la pàgina «Captura de paquets en xarxa local»

De Cacauet Wiki
Salta a la navegació Salta a la cerca
(Es crea la pàgina amb « == Introducció == La eina més coneguda és Wireshark, però n'hi ha moltes més. <br> == Ethernet cablejada == Una ethernet cablejada és fàcil d'esnifar si teni...».)
 
 
(Hi ha 6 revisions intermèdies del mateix usuari que no es mostren)
Línia 1: Línia 1:
  
 
== Introducció ==
 
== Introducció ==
 +
La captura de paquets en xarxa local pot tenir molts objectius, però els més importants són:
 +
* Monitorització per a la millora dels serveis de xarxa.
 +
* Atacs als usuaris per intervenir informació confidencial.
 +
 
La eina més coneguda és Wireshark, però n'hi ha moltes més.
 
La eina més coneguda és Wireshark, però n'hi ha moltes més.
 +
 +
Referències:
 +
* https://lifehacker.com/how-to-tap-your-network-and-see-everything-that-happens-1649292940
 +
* ...
 +
 +
<br>
 +
 +
== Escanejar IPs ==
 +
Molts cops el què necessitem és [https://askubuntu.com/questions/82480/how-to-see-all-computers-connected-to-a-network cercar tots els dispositius presents a la xarxa]. Resumint, les comandes interessants per fer-ho son:
 +
* sudo arp-scan -l --interface=wlan0
 +
* arp-scan --localnet
 +
* nmap -sP 192.168.0.1/24
  
 
<br>
 
<br>
Línia 8: Línia 24:
 
Una ethernet cablejada és fàcil d'esnifar si tenim un dels antics ''hubs'' enlloc d'un ''switch''. Però la majoria de dispositius actuals actuen com a ''switch''.
 
Una ethernet cablejada és fàcil d'esnifar si tenim un dels antics ''hubs'' enlloc d'un ''switch''. Però la majoria de dispositius actuals actuen com a ''switch''.
  
Hi ha diversos sistemes de facilitar el poder llegir els paquets de la xarxa:
+
En principi, si tenim un dispositiu tipus ''hub'', només cal que posem la nostra '''interfície de xarxa local en mode promiscu''' perquè capturi tots les paquets que circulen, i Wireshark ens els mostrarà.
* Utilitzar un hub
+
 
* Tap
+
Hi ha diversos sistemes de facilitar el poder llegir els paquets d'una xarxa:
* MAC flood
+
* Utilitzar un ''hub'' físic.
 +
* Utilitzar Wireshark sobre la màquina que volem controlar.
 +
* TAP (Test Access Point): dispositiu físic que intercepta el trànsit de xarxa.
 +
* MAC flood: atacar el ''switch'' perquè degradi el seu comportament al de ''hub''.
  
 
Aquest article aclareix tots aquests conceptes:
 
Aquest article aclareix tots aquests conceptes:
  https://wiki.wireshark.org/CaptureSetup/Ethernet#Switched_Ethernet
+
  https://wiki.wireshark.org/CaptureSetup/Ethernet
  
 
<br>
 
<br>
  
 
== Wifi ==
 
== Wifi ==
Malgrat els diversos sistemes de seguretat implementats, és més fàcil intervenir una Wifi. Per fer-ho caldrà:
+
Al contrari que l'antic sistema de seguretat WEP, els actuals com WPA o WPA2 dificulten la possible captura de paquets simulant una comunicació amb ''switch''. És per aquest motiu que el mode promiscu no ens facilitarà res, ja que no serem capaços de desencriptar els paquets que van a un altre host.
 +
 
 +
Tot i així, podem capturar els paquets de control de la xarxa que no venen protegits (beacon, etc.)
  
 
# Posar la nostra interfície de xarxa en mode monitor
 
# Posar la nostra interfície de xarxa en mode monitor
Línia 28: Línia 49:
 
##: https://ubuntuforums.org/showthread.php?t=1644160
 
##: https://ubuntuforums.org/showthread.php?t=1644160
 
# Utilitza Wireshark
 
# Utilitza Wireshark
 +
##

Revisió de 17:56, 28 des 2017

Introducció[modifica]

La captura de paquets en xarxa local pot tenir molts objectius, però els més importants són:

  • Monitorització per a la millora dels serveis de xarxa.
  • Atacs als usuaris per intervenir informació confidencial.

La eina més coneguda és Wireshark, però n'hi ha moltes més.

Referències:


Escanejar IPs[modifica]

Molts cops el què necessitem és cercar tots els dispositius presents a la xarxa. Resumint, les comandes interessants per fer-ho son:

  • sudo arp-scan -l --interface=wlan0
  • arp-scan --localnet
  • nmap -sP 192.168.0.1/24


Ethernet cablejada[modifica]

Una ethernet cablejada és fàcil d'esnifar si tenim un dels antics hubs enlloc d'un switch. Però la majoria de dispositius actuals actuen com a switch.

En principi, si tenim un dispositiu tipus hub, només cal que posem la nostra interfície de xarxa local en mode promiscu perquè capturi tots les paquets que circulen, i Wireshark ens els mostrarà.

Hi ha diversos sistemes de facilitar el poder llegir els paquets d'una xarxa:

  • Utilitzar un hub físic.
  • Utilitzar Wireshark sobre la màquina que volem controlar.
  • TAP (Test Access Point): dispositiu físic que intercepta el trànsit de xarxa.
  • MAC flood: atacar el switch perquè degradi el seu comportament al de hub.

Aquest article aclareix tots aquests conceptes:

https://wiki.wireshark.org/CaptureSetup/Ethernet


Wifi[modifica]

Al contrari que l'antic sistema de seguretat WEP, els actuals com WPA o WPA2 dificulten la possible captura de paquets simulant una comunicació amb switch. És per aquest motiu que el mode promiscu no ens facilitarà res, ja que no serem capaços de desencriptar els paquets que van a un altre host.

Tot i així, podem capturar els paquets de control de la xarxa que no venen protegits (beacon, etc.)

  1. Posar la nostra interfície de xarxa en mode monitor
    1. Desactiva el network-manager
    2. Configura la wlan amb l'arxiu /etc/network/interfaces
      https://askubuntu.com/questions/168687/wireless-configuration-using-etc-network-interfaces-documentation
    3. Passa a mode monitor
      https://ubuntuforums.org/showthread.php?t=1644160
  2. Utilitza Wireshark