Ethereal e lan domestica

[alwaysnew]

Ciao a tutti, a scopo didattico dovrei riuscire a sniffare con ethereal il traffico tra 2 pc collegati ad un router.
Sul primo pc, quello dove gira ethereal sto usando linux(suse 10) mentre sul pc da cui dovrei sniffare il traffico c'è windows xp.
Io ho settato cosi la scheda di rete sul pc linux:

codice:

linux:~ # ifconfig
eth0      Link encap:Ethernet  HWaddr 00:50:8D:E7:0F:6B
          inet addr:192.168.2.37  Bcast:255.255.255.255  Mask:255.255.255.0
          inet6 addr: fe80::250:8dff:fee7:f6b/64 Scope:Link
          UP BROADCAST NOTRAILERS RUNNING ALLMULTI MULTICAST  MTU:1500  Metric:1
          RX packets:280 errors:0 dropped:0 overruns:0 frame:0
          TX packets:285 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:136210 (133.0 Kb)  TX bytes:44221 (43.1 Kb)
          Interrupt:169

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:52 errors:0 dropped:0 overruns:0 frame:0
          TX packets:52 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:3360 (3.2 Kb)  TX bytes:3360 (3.2 Kb)

poi lanciando ethereal selezione eth0 e abilito il promiscuos mode.
Quando pero vado ad analizzare i pacchetti, vedo che dall'interfaccia del pc con windows xp cattura solo i pacchetti broadcast.
Qualcuno puo aiuatarmi a configurare correttamente il programma e\o la scheda di rete??
Grazie

[Habanero]

prova con

ifconfig eth0 promisc

[alwaysnew]

Grazie del consiglio, ho provata gia anche cosi ma nulla da fare...legendo un po di notizie in rete ho capito che il problema sta nel router che "smista" i pacchetti solo sulle interfaccie che li richiedono,ecco perche leggo il traffico broadcast!
Una soluzione sarebbe l'arp spoofing, adesso cerchero di documentarmi meglio...
Grazie

[Habanero]

Per fare quello che chiedi devi usare ovviamente un Hub non uno Switch. Tu usi il router come concentratore e sicuramente i dati sulle sue interfacce lato LAN vengono gestite come uno switch.

Se ti vuoi divertire compra un semplice Hub (verifica che sia proprio un Hub), cosa pochi euro, e collega una delle sue porte al router e le rimanenti ai PC. Solo in questo modo i dati sono gestiti in broadcast sulla rete interna.

Arp spoofing e Arp poisoning sono tecniche più sofisticate. Qui trovi una serie di info.
http://sicurezza.html.it/articoli/ar...&idarticoli=99
http://sicurezza.html.it/articoli/ar...idarticoli=100

A tal proposito prova Ettercap.

[alwaysnew]

Grazie delle info...sempre sulle faq di ethereal ho anche trovato una tecnica di mac overflow, ovviamente il firewall del router mi blocca l'attacco!
Potresti indicarmi dove reperire maggiori info per ettercap, io l'ho usato ieri e sono riuscito a leggere il traffico del pc XP ma ho perso la connessione alla rete internet dello stesso pc!c'è un modo per mantenerla?Posso vedere con ettercap i pacchetti deviati?Grazie

[billiejoex]

Cosa sarebbe un mac overflow?
Dov'è che hai visto questa funzione in ethereal?

Posso vedere con ettercap i pacchetti deviati?

?

[alwaysnew]

Non si trova in ethereal ma una funzione(sarebbe meglio parlare di tecnica) indipendente.Ciao

[b00malek]

[B]

codice:

linux:~ # ifconfig
eth0      Link encap:Ethernet  HWaddr 00:50:8D:E7:0F:6B
          inet addr:192.168.2.37  Bcast:255.255.255.255  Mask:255.255.255.0
          inet6 addr: fe80::250:8dff:fee7:f6b/64 Scope:Link
          UP BROADCAST NOTRAILERS RUNNING ALLMULTI MULTICAST  MTU:1500  Metric:1
          RX packets:280 errors:0 dropped:0 overruns:0 frame:0
          TX packets:285 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:136210 (133.0 Kb)  TX bytes:44221 (43.1 Kb)
          Interrupt:169

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:52 errors:0 dropped:0 overruns:0 frame:0
          TX packets:52 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:3360 (3.2 Kb)  TX bytes:3360 (3.2 Kb)

Inoltre hai il Broadcast settato sbagliato....

[Habanero]

MAC Overflow???

Non è piuttosto CAM overflow?

[alwaysnew]

Forse mi sono espresso male, si tratta di mav flooding


http://wiki.ethereal.com/CaptureSetup/Ethernet#head-0b079c29876e30c54d5ab1e83d46627a47ea49f0

qui è dove ho trovato l'articolo.
Comunque ho risolto tutto usando ettercap...ora funziona alla grande!
Secondo voi è possibile dal traffico catturato durante una conversazione messenger risalire all'ip del compagno??
Buona notte!!