Willkommen bei Network & Security     remoteshell-security.com
Partnerseiten
login.php?sid=1776388cb83e5d0a1f1c89fb573d1fc2 profile.php?mode=register&sid=1776388cb83e5d0a1f1c89fb573d1fc2 faq.php?sid=1776388cb83e5d0a1f1c89fb573d1fc2 memberlist.php?sid=1776388cb83e5d0a1f1c89fb573d1fc2 search.php?sid=1776388cb83e5d0a1f1c89fb573d1fc2 index.php?sid=1776388cb83e5d0a1f1c89fb573d1fc2

Foren-Übersicht » Netzwerksicherheit » ettercap auf dem gateway
Neues Thema eröffnen  Neue Antwort erstellen Vorheriges Thema anzeigen :: Nächstes Thema anzeigen 
ettercap auf dem gateway
BeitragVerfasst am: 14.03.2007 00:01 Antworten mit Zitat
p1ngp0ng
Anmeldedatum: 13.03.2007
Beiträge: 4




Hallo,

welche Moeglichkeiten gibt es auf dem Gateway sniffertools wie ettercap laufen zu lassen, um den kompletten Traffic der Clients im LAN, welcher geroutet wird, zu capturen.
Wenn ich ettercap im -unoffensive Mode laufen lasse, captured es dann ebenso alle Pakete die auch geroutet werden?

Z.B der Squid als WebProxy captured ja auch in gewissem Sinne den http-Traffic, ohne dass es direkt fuer ihn bestimmt waer - also muss es doch auch moeglich sein, im beide Richtung auf dem Gateway zu capturen.

Gruss

p1ngp0ng
Benutzer-Profile anzeigen Private Nachricht senden
BeitragVerfasst am: 14.03.2007 12:00 Antworten mit Zitat
BlackLotus
Anmeldedatum: 04.01.2006
Beiträge: 717
Wohnort: www and 127.0.0.1/localhost




Alsooo erstmal willkommen im Forum.
Versteh ich dich richtig?Du willst den kompletten Traffic in deinem lokalen Netz sniffen?!?! Also wenn ja und keine besonderen Sicherheitsmaßnahmen getroffen wurden so ließ dir das TUT von 4lx ist imho brauchbar Wink http://network-and-security.de/viewtopic.php?t=207
Solltest du aus irgendeinem Grund zu der irren idee gekommen sein den gesamten Traffic eines Servers der sich ausserhalb deines Netzes befindet zu sniffe nvergiss es.
Was meinst du mit beiden Richtungen?
Naja ich sehe den Thread mal durch 4lxs TUT gelöst.
Ausserdem ist er falsch eingeordnet.

edit by Cerox:

Kommentar von p1ngp0ng:

p1ngp0ng hat Folgendes geschrieben:
Eine Bridge funktioniert einfach nur als Forwarder wobei eben alles mitgeschnitten wird.
Ein Gateway routet den Traffic.
Kann ein Gateway auch wie eine Bridge funktionieren und den Traffic routen und dabei mitschneiden ?
Denn auf dem Gateway laeuft zum Beispiel auch ein Squid, der ja auch Traffic mitschneidet, naemlich z.B. alles was von ausserhalb von Port 80 kommt ohne jetzt dabei das kernel-routing zu umgehen.

In den manpages von ettercap stand etwas dass es nicht geht, oder ich hab das eben falsch verstanden. Theoretisch muesste man doch aber auch ein virtuelles netzwerkdevice anlegen koennen.

z.B. client -> gatewayNIC-> ettercap -> virtuellesNIC -> WAN-NIC PPPoE

Oder wo ist da mein Denkfehler ?

Gruss

_________________
Eine Kette ist nur so stark wie ihr schwächstes Glied.

Die Welt wird nicht von denen bedroht die böse sind,sondern von denen die das Böse zulassen.
Albert Einstein

Man kommt nicht aus seiner Haut raus.....,
Nur Schlamm kann das Very Happy

http://blackwiki.bl.ohost.de
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden
Nachtrag
BeitragVerfasst am: 14.03.2007 18:50 Antworten mit Zitat
p1ngp0ng
Anmeldedatum: 13.03.2007
Beiträge: 4




Hehe, ich sollte vielleicht noch sagen, dass ich root-Rechte auf dem Gateway habe auf dem ettercap laufen soll.
Benutzer-Profile anzeigen Private Nachricht senden
Re: Nachtrag
BeitragVerfasst am: 14.03.2007 19:11 Antworten mit Zitat
BlackLotus
Anmeldedatum: 04.01.2006
Beiträge: 717
Wohnort: www and 127.0.0.1/localhost




p1ngp0ng hat Folgendes geschrieben:
Hehe, ich sollte vielleicht noch sagen, dass ich root-Rechte auf dem Gateway habe auf dem ettercap laufen soll.

Du hast keine meiner Fragen beantwortet nur neue Fragen aufgegeben.
Was willst du genau?

_________________
Eine Kette ist nur so stark wie ihr schwächstes Glied.

Die Welt wird nicht von denen bedroht die böse sind,sondern von denen die das Böse zulassen.
Albert Einstein

Man kommt nicht aus seiner Haut raus.....,
Nur Schlamm kann das Very Happy

http://blackwiki.bl.ohost.de
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden
BeitragVerfasst am: 15.03.2007 23:01 Antworten mit Zitat
duddits
Anmeldedatum: 03.01.2006
Beiträge: 569
Wohnort: /proc




Also wenn du nur den Verkehr der über den Gateway geht mitschneiden möchtest brauchst du nicht ettercap.
Ettercap dient eher MIT-Angriffen und dem dann anschließenden sniffen auf IP oder ARP Basis.
Allerdings bin ich auch keine Experte dieses Tools.
Nun wie Blacklotus es schon sagte. Was genau möchtes du?

_________________
Quidquid agis, prudenter agas et respice finem!

Jabber ID: duddits@amessage.info
Webseite: http://www.remoteshell-security.com
Weblog: http://blog.remoteshell-security.com
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden Jabber ID
BeitragVerfasst am: 18.03.2007 18:47 Antworten mit Zitat
p1ngp0ng
Anmeldedatum: 13.03.2007
Beiträge: 4




Genau Duddits, ich moechte den Verkehr der ueber das Gateway laeuft mitschneiden. Dazu moechte ich nicht noch eine extra "Bridge"-Kiste zwischenschalten, noch einen Kiste, die im LAN als MITM fungiert, sondern alles direkt auf dem Gateway sniffen.

Gruß
Benutzer-Profile anzeigen Private Nachricht senden
BeitragVerfasst am: 18.03.2007 21:40 Antworten mit Zitat
Phara0h
Anmeldedatum: 31.12.2005
Beiträge: 357
Wohnort: /dev/RL




Für dieses Vorhaben sollte eigentlich Wireshark[1] vollkommen ausreichen.
Es sei dann, du möchtest SSL-Verbindungen entschlüsselt sniffen...

[1] http://www.wireshark.org/

_________________
Benutzer-Profile anzeigen Private Nachricht senden Jabber ID
BeitragVerfasst am: 18.03.2007 21:56 Antworten mit Zitat
BlackLotus
Anmeldedatum: 04.01.2006
Beiträge: 717
Wohnort: www and 127.0.0.1/localhost




Hmm eigentlichreicht dafür jeder sniffer theoretisch müsste dir selbst tcpdump reichen um den traffic zu sniffen wird aber ne große logdatei ganz am rande

_________________
Eine Kette ist nur so stark wie ihr schwächstes Glied.

Die Welt wird nicht von denen bedroht die böse sind,sondern von denen die das Böse zulassen.
Albert Einstein

Man kommt nicht aus seiner Haut raus.....,
Nur Schlamm kann das Very Happy

http://blackwiki.bl.ohost.de
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden
BeitragVerfasst am: 19.03.2007 12:38 Antworten mit Zitat
Phara0h
Anmeldedatum: 31.12.2005
Beiträge: 357
Wohnort: /dev/RL




Joah... aber wenn man ne 80gb HDD mounted nur für das Logfile...
Oder man schreibt es gleich auf /dev/null Razz

_________________
Benutzer-Profile anzeigen Private Nachricht senden Jabber ID
BeitragVerfasst am: 19.03.2007 19:36 Antworten mit Zitat
p1ngp0ng
Anmeldedatum: 13.03.2007
Beiträge: 4




Ja,

aber wenn ich mit tcpdump sniffe sehe ich immer nur den Anfang der Pakete, nie sehe ich alles komplett. Ich weiss auch nicht was ich falsch mache.

Allerdings gehst mir auch speziell um http-Traffic, und gabs da nicht etwas mit Paketlaengen, dass man da speziell was einstellen muss ?

ettercap hab ich jetzt installiert. Welche Optionen müsste ich denn eurer Meinung nach anwenden, um z.B. den kompletten Http-Traffic inklusive der POST und GETS vom Host 192.168.0.25 zu sniffen.

ettercap -zu /192.168.0.221/80 -V ascii L traffic.dmp
Benutzer-Profile anzeigen Private Nachricht senden
ettercap auf dem gateway
Foren-Übersicht » Netzwerksicherheit
Du kannst keine Beiträge in dieses Forum schreiben.
Du kannst auf Beiträge in diesem Forum nicht antworten.
Du kannst deine Beiträge in diesem Forum nicht bearbeiten.
Du kannst deine Beiträge in diesem Forum nicht löschen.
Du kannst an Umfragen in diesem Forum nicht mitmachen.
Alle Zeiten sind GMT + 1 Stunde  
Seite 1 von 1  

  
  
 Neues Thema eröffnen  Neue Antwort erstellen  


Forensicherheit

Powered by phpBB © 2001-2004 phpBB Group
phpBB Style by Vjacheslav Trushkin
Deutsche Übersetzung von phpBB.de


remoteshell-security.com | Partner | Boardregeln | Impressum