[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[port139:00773] Re: スイッチとスニフィング

To: port139@xxxxxxxxxxxxx
Subject: [port139:00773] Re: スイッチとスニフィング
From: DANNA <danna@xxxxxxxxxxx>
Date: Thu, 08 Nov 2001 11:56:29 +0900

今日は日本酒が嫌いなダンナ＠サポセンです。(謎

> で、これをやった場合にはすぐわかるよ～んというお話を
> DANNA さんがその後の飲み会でおっしゃっていた気がしま
> すが、なんでわかるんでしたっけ？(^^;;

去年に実験君したときのメモが残ってました。下に付けておきますけど、なん
か意味不明のメモになってるなぁ。

L2でMITMやった場合、snifferが仕掛けられているホストがL2スイッチみたいな
動きをしてセッション乗っ取ります。で、そのホストが動いてるうちは幸せだ
けど、とうぜんホストが止まればarpキャッシュの有効期間内は、盗聴されてる
ホストが送るパケットは止まってるホストに対して送りつづけられるので、「
通信障害だぁ！」って騒ぎまくって、よくよく調べてみたらMITMだったとかっ
て気づいてくれるとうれしいかなぁ。

と言ってたような。酔っ払ってたから良く覚えてないけど。

～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～

流行のdsniffのdnsspoofと、ここんとこ話題のsshスニファであるsshmitmをち
ょっと使ってみました。


dnsspoof
        forge replies to arbitrary DNS address / pointer queries on
        the LAN. this is useful in bypassing hostname-based access
        controls, or in implementing a variety of man-in-the-middle
        attacks (HTTP, HTTPS, SSH, Kerberos, etc).

sshmitm
        SSH monkey-in-the-middle. proxies and sniffs SSH traffic
        redirected by dnsspoof(8), capturing SSH password logins, and
        optionally hijacking interactive sessions. only SSH protocol
        version 1 is (or ever will be) supported - this program is far
        too evil already.

dnsspoofは、dnsサーバのローカルとか騙したいクライアントのローカルとか
に置いとけば効果バッチリです。クライアントのキャッシュがクリアされな
い限り復旧してくれません。さっき間違って＊＊ネットで動かしてしまったの
で、何人か被害にあってるはずです。googleとかdouleclickをテストパターン
に入れてしまいました....。

[root@VooDoo lib]# dnsspoof -f dnsspoof.hosts
dnsspoof: listening on eth0 [udp dst port 53 and not src xxx.xx.175.137]
xxx.xx.175.250.53 > 202.12.27.33.53:  28516+ A? www.hawkeye.ac
xxx.xx.175.250.53 > 202.12.27.33.53:  28516+ A? www.hawkeye.ac

[a6m5c@VooDoo a6m5c]$ nslookup www.hawkeye.ac
Server:  ns.xxxx.xxxx.xx.jp
Address:  xxx.xx.175.250

Non-authoritative answer:
Name:    www.hawkeye.ac
Address:  xxx.xx.175.137


sshmitmの方は自身がsshのプロクシとして動作して、アカウント情報のみを
抽出してくれるもので、それ自身にsshで接続してこないかぎりは当然ですが
用を足しません。でも、上記のdnsspoofと組合わせれば良いワケですよね。

[root@VooDoo dsniff-2.3]# sshmitm -p 22 xxx.xx.175.140 22
sshmitm: relaying to xxx.xx.175.140


>--------- みっきーのネットワーク研究所 ---------<
>  DANNA @ SAPOSEN                               <
>  MAIL : danna@xxxxxxxxxxx                      <
>  HP   : http://www.hawkeye.ac/micky            <
>  PGP  : http://www.hawkeye.ac/micky/micky.pub  <
>------------------------------------------------<

Follow-Ups:
- [port139:00774] Re: スイッチとスニフィング
  - From: Hideaki Ihara
- [port139:00775] Re: スイッチとスニフィング
  - From: Kunikata Tamaki

References:
- [port139:00769] Re: スイッチとスニフィング
  - From: Hideaki Ihara
- [port139:00772] Re: スイッチとスニフィング
  - From: Hideaki Ihara

Prev by Date: [port139:00772] Re: スイッチとスニフィング
Next by Date: [port139:00774] Re: スイッチとスニフィング
Previous by thread: [port139:00772] Re: スイッチとスニフィング
Next by thread: [port139:00774] Re: スイッチとスニフィング
Index(es):
- Date
- Thread