Dies ist die Befehlssuche, die beim kostenlosen Hosting-Anbieter OnWorks mit einer unserer zahlreichen kostenlosen Online-Workstations wie Ubuntu Online, Fedora Online, dem Windows-Online-Emulator oder dem MAC OS-Online-Emulator ausgeführt werden kann
PROGRAMM:
NAME/FUNKTION
hunt – Tool zur Überwachung der Netzwerksicherheit.
ZUSAMMENFASSUNG
Jagd [-V] [-v] [-ich Schnittstelle]
BESCHREIBUNG
Diese Handbuchseite dokumentiert kurz die Jagd Befehl. Diese Handbuchseite wurde für die
Debian GNU/Linux-Distribution, weil das Originalprogramm keine Handbuchseite hat.
Stattdessen gibt es eine Dokumentation im GNU-Info-Format. siehe unten.
weiter LESEN ZUERST
Bitte stellen Sie sicher, dass Sie WISSEN, was Sie tun, bevor Sie Hunt verwenden. Es wird empfohlen, dass
Sie sollten das Verhalten bei einigen Testverbindungen testen und es dann sinnvoll einsetzen. Sie können
Ich möchte „Optionen“ und dann „Verbindungsrichtlinieneintrag hinzufügen“ auswählen, da standardmäßig nur Telnet vorhanden ist
Verbindungen werden überwacht.
Überblick
Hunt ist ein Programm zum Eindringen in eine Verbindung, zum Beobachten und Zurücksetzen. Es hat
mehrere Funktionen, die ich bei keinem Produkt wie Juggernaut oder T-Sight gefunden habe
hat mich in meiner Entwicklung inspiriert. Ich fand Juggernaut nicht flexibel genug für weitere Zwecke
Entwicklung, also habe ich bei Null angefangen (siehe FUNKTIONEN und DESIGNÜBERSICHT). Beachten Sie diese Jagd
läuft über Ethernet und eignet sich am besten für Verbindungen, die darüber überwacht werden können.
Es ist jedoch möglich, auch für Hosts in anderen Segmenten oder Hosts, die etwas tun, etwas zu tun
liegen auf geschalteten Ports. Die Suche unterscheidet nicht zwischen lokalen Netzwerkverbindungen und
Verbindungen zum/vom Internet. Es kann alle Verbindungen verarbeiten, die es sieht.
Verbindungs-Hijacking zielt in erster Linie auf den Telnet- oder Rlogin-Verkehr ab, kann aber auch eingesetzt werden
auch für einen anderen Verkehr. Die Funktionen „Reset“, „Watching“, „Arp“ usw. sind allen gemeinsam
Verbindungen.
MERKMALE
Sichere Management
* Legen Sie fest, an welchen Verbindungen Sie interessiert sind.
* Es wird eine laufende Verbindung erkannt (nicht nur SYN gestartet).
* Normales aktives Hijacking mit Erkennung des ACK-Sturms.
* ARP-Spoofing/Normales Hijacking mit der Erkennung eines erfolgreichen ARP-Spoofings.
* Synchronisierung des echten Clients mit dem Server nach dem Hijacking (damit der
Verbindung muss nicht zurückgesetzt werden).
* Verbindung wird zurückgesetzt.
* Verbindung beobachten.
Daemons
* Reset-Daemon zum automatischen Zurücksetzen der Verbindung. * ARP-Spoof/Relay-Daemon für
ARP-Spoofing von Hosts mit der Möglichkeit, alle Pakete von gespooften Hosts weiterzuleiten. *
MAC-Erkennungsdaemon zum Sammeln von MAC-Adressen. * Sniff-Daemon zur Protokollierung von TCP
Traffic mit der Möglichkeit, nach einer bestimmten Zeichenfolge zu suchen.
Gastgeber Lösung
* Verzögerte Hostauflösung durch dedizierte DNS-Hilfsserver.
Paket Motor
* Erweiterbare Paket-Engine zur Überwachung des TCP-, UDP-, ICMP- und ARP-Verkehrs. *
Sammeln von TCP-Verbindungen mit Sequenznummern und der ACK-Sturmerkennung.
Verschiedenes * Bestimmen, welche Hosts aktiv sind.
Geschaltet Arbeitsumfeld
* Hosts an geswitchten Ports können ebenfalls gefälscht, ausgespuckt und gekapert werden.
COMMAND LINE PARAMETER
-V Druckversion
-v Ausführlich (PIDs der erstellten Threads drucken)
-i Schnittstelle Hören Sie auf dieser Schnittstelle. Der Standardwert ist eth0
TECHNISCHE ERLÄUTERUNG
Lassen Sie mich einige technische Themen erläutern, die ich bei der Jagd verwende und die dafür unerlässlich sind
verstehen, wie es funktioniert und was Sie erwarten sollten. Die wichtigen Begriffe sind IP
Spoofing, ARP-Spoofing und ACK-Sturm. Selbst wenn Sie mit ihnen vertraut sind, können Sie sie bekommen
einige neue Informationen.
IP Spoofing
Sie legen die Paketquelladresse auf die IP-Adresse des Hosts fest, als den Sie sich ausgeben.
ARP Spoofing
Sie legen die Hardwareadresse der Paketquelle (Quell-MAC-Adresse) auf die Adresse von fest
der Gastgeber, für den du dich ausgibst.
Einfacher Aktives Attacke gegen TCP Verbindungen - It is a Gut bekannt tippe
eines Angriffs, bei dem Sie ein Paket mit gefälschten IP-Adressen versenden und möglicherweise auch
mit gefälschten ARP-Adressen (echte MAC-Adressen von Client und Server – keine gefälschten).
wie weiter unten erläutert). Auf diese Weise können Sie einen Befehl an den Stream erzwingen, aber Sie
werden wahrscheinlich den ACK-Sturm erhalten (wie weiter unten erläutert), es sei denn, das Original
Der Client-Host der Verbindung läuft unter Linux.
ARP Spoofing
Ich verwende diesen Begriff auch, um den Remote-Host dazu zu zwingen, zu glauben, dass es sich um den Host handelt, den ich möchte
Da er eine andere MAC-Adresse hat, sendet der Remote-Host Antworten an diese MAC-Adresse
und der ursprüngliche Client-Host ist nicht in der Lage, sie zu empfangen (aber Hunt beobachtet sie).
sorgfältig und geht mit allen Konsequenzen um) (Erklärung, wie man einen Host auf dem Server zwingt
Netzwerk zu denken, dass der andere Host einen anderen MAC hat, lasse ich als Übung - I
Ich empfehle Ihnen, den Quellcode zu lesen). Bitte beachten Sie, dass ich den Begriff ARP verwende
Spoofing anstelle des Begriffs ARP-Forcing oder so ähnlich. Also sei es nicht
verwirrt, wenn ich ARP-Spoofing sage, meine ich die Verwendung einer MAC-Adresse eines Hosts oder einfach nur
eine gefälschte MAC-Adresse. Beachten Sie, dass ARP-Spoofing (mit meiner Absicht, etwas MAC zu erzwingen)
funktioniert unter Solaris2.5 nicht, da es Ablaufzeitgeber für ARP-Einträge hat
Es ist nicht einfach, Solaris dazu zu zwingen, einen ARP-Eintrag zu löschen. Der Eintrag läuft in der Regel danach ab
20 Minuten oder weniger (Sie haben jedoch die Möglichkeit, dies zu erzwingen, und Hunt unterstützt diesen Modus). Der
Ablauftimer unter Solaris werden eingestellt durch:
ndd -einstellen /dev/ip ip_ire_flush_interval 60000 /* 1 Min. */
ndd -einstellen /dev/arp arp_cleanup_interval 60 /* 1 Min. */
Ich empfehle Ihnen, Ihren Netzadministrator zu bitten, die oben genannten Werte auf allen Solaris-Geräten festzulegen
Maschinen. Win95/NT4sp3, Linux2.0, OSF1 V4.0 und HP-UX10.20 sind nicht geschützt
Auf diese Weise können Sie die beschriebene Technik problemlos auf sie anwenden (tatsächlich haben sie das getan).
Timer, aber sie funktionieren nicht wie in Solaris; Tatsächlich ist nur Solaris das
Ausnahme). Tatsächlich nutzt Hunt diese Technik, um eine Fälschung zu erzwingen
MAC des Servers zum Client und ein gefälschter MAC des Clients zum Server. Dann
Sowohl der Server als auch der Client senden Pakete an diese gefälschten MACs (und können jagen).
natürlich damit umgehen). Es reicht jedoch aus, dass nur ein Host eine Fälschung hat
MAC des anderen Hosts. Der ACK-Sturm kann in dieser Situation auch nicht auftreten. Also du
kann diese Technik auch dann verwenden, wenn ein Ende Solaris ist und das andere nicht. Du wirst
einfach im anderen Host erfolgreich sein und das reicht. Das einzige Problem ist also, wenn die
Die Verbindung besteht zwischen zwei Solaris-Maschinen. Wenn jedoch eine Wurzel vorhanden ist
Wenn die Verbindung besteht, können Sie die oben vorgeschlagenen Befehle problemlos ohne ARP übertragen
Spoofing der Verbindung und Änderung der Ablaufzeit des ARP-Cache.
ACK Sturm
Der ACK-Sturm wird durch die meisten TCP-Stacks verursacht (!!! Linux2.0 ist eine Ausnahme
!!!). Stellen wir uns vor, Sie senden einige Daten an eine laufende Verbindung zum Server
(als ob vom Client gesendet - mit erwarteten Folgenummern, ...). Der Server antwortet
mit der Bestätigung der von Ihnen gesendeten Daten, diese Bestätigung wird jedoch von empfangen
auch der ursprüngliche Kunde. Aber aus Sicht des ursprünglichen Clients hat der Server dies getan
bestätigte Daten, die auf dem Client nicht vorhanden sind. Also geschah etwas Seltsames
und der ursprüngliche Client sendet die „richtige“ Sequenznummer mit ACK an den Server.
Die TCP-Regeln besagen jedoch, dass eine sofortige Bestätigung generiert werden muss
wenn ein Segment außerhalb der Reihenfolge empfangen wird. Diese Bestätigung sollte nicht verzögert werden. Also die
Der Server sendet die Bestätigung nicht vorhandener Daten erneut an den Client. Und das
Client-Antworten, ... Nur wenn der Quellhost der Verbindung Linux ist, dann
ACK-Sturm tritt nicht auf. Beachten Sie, dass bei Verwendung von ARP-Spoofing (Forcing) die ACK
Der Sturm kann nicht kommen, weil ein oder beide Enden Pakete mit gefälschten MACs senden und
Diese Pakete werden von Hunt und nicht vom anderen Host empfangen.
Sichere Zurücksetzen
Mit einem einzigen richtig aufgebauten Paket können Sie die Verbindung zurücksetzen (RST-Flag in
TCP-Header). Natürlich müssen Sie die Sequenznummer kennen, aber es ist keine
Problem für Hunt, der die ganze Zeit zuschaut. Sie können Server, Client oder zurücksetzen
beide. Wenn Sie nur ein Ende zurücksetzen, wird das andere Ende zurückgesetzt, wenn es versucht, Daten zu senden
an den ersten Host, der aufgrund des Verbindungsresets mit RST antwortet
es.
Sichere schnüffeln/beobachten
Das Einfachste, was Sie tun können, ist, still in Ihrem Stuhl zu sitzen und die Jagdergebnisse zu beobachten
über jede Verbindung, die Sie aus der Liste auswählen.
Sichere Synchronisation
Nun, das ist eines der Hauptmerkmale von Hunt. Wenn Sie einige Daten an das TCP senden
Stream (durch einfachen aktiven Angriff oder ARP-Spoofing) desynchronisieren Sie den Stream
aus Sicht des Servers/ursprünglichen Clients. Nachdem einige Arbeiten daran durchgeführt wurden
Verbindung herstellen, können Sie sie einfach zurücksetzen oder versuchen, beide ursprünglichen Enden zu synchronisieren
wieder. Das ist keine leichte Aufgabe. Der Benutzer auf dem Client wird aufgefordert, etwas einzugeben
Zeichen und einige Zeichen werden an den Client und Server gesendet. Das Hauptziel aller Dinge
besteht darin, die Sequenznummern auf Client und Server erneut zu synchronisieren.
Wechseln/Segmentieren der Verkehr Umleitung
Mit ARP-Spoofing können Sie sogar einen Wechsel erzwingen, sodass der Datenverkehr an Sie gesendet wird
für Hosts an einem anderen Segment/Switched-Port. Das liegt daran, dass ein Schalter denken wird
dass der MAC zu Ihrem Port gehört. Seien Sie vorsichtig, wenn Ihr Switch über eine gewisse Sicherheit verfügt
Richtlinien und MACs wurden explizit pro Port eingerichtet – aber tatsächlich habe ich
Ich sehe eine solche Konfiguration nie in einem „normalen“ Netzwerk.
ARP-Relais Daemon
Seien Sie nicht verwirrt. Ich verwende diesen Begriff für den Jagd-Daemon, der dafür verantwortlich ist
Einfügen von Paketen in das Netzwerk (Umleitung) aller von ARP empfangenen Daten
gefälschte Hosts.
Geschaltet Umwelt
Nun ist die Jagd in der Lage, eingeschaltete Hosts zu überwachen und zu kapern
Häfen. Im Allgemeinen können Sie den Host-Verkehr auf geschalteten Ports nicht überwachen, aber wenn Sie
Zuerst können Sie sich die ARP-Spoof-Dateien ansehen (mit dem ARP-Spoof-Daemon-Menü).
Verbindungen, die zwischen diesen Hosts bestehen. Zuerst machen Sie Arp-Spoof und die Hosts werden es tun
Ihnen den Datenverkehr senden und von diesem Zeitpunkt an können Sie die Verbindungen zwischen ihnen auflisten,
dann kannst du sie beobachten und kapern. Es ist allgemein anerkannt, dass die Schalter
Schützen Sie Ihre Verbindungen vor Eindringlingen und Spoofern. Nun, das ist immer noch so
Gilt für sorgfältig eingerichtete Schalter. Die Switches, die an das LAN angeschlossen sind
ohne jegliche Port-Sicherheitskonfiguration sind für den Schutz Ihres LAN nutzlos.
DESIGN Überblick
Das Entwicklungsmodell basiert auf einer Paket-Engine (hunt.c), die in einem eigenen Thread läuft
und erfasst Pakete aus dem Netzwerk. Die Paket-Engine sammelt Informationen von TCP
Verbindungen/Start/Beendigung, Sequenznummern und MAC-Adressen. Es sammelt die
MACs und seq. Zahlen aus Serversicht und separate MACs und seq. Zahlen
aus Sicht des Kunden. Es ist also auf eine Entführung vorbereitet. Diese Informationen (seq.
Num., MAC,
Module können Funktionen bei der Paket-Engine registrieren, die dann aufgerufen werden, wenn sie neu sind
Pakete werden empfangen. Eine Modulfunktion bestimmt, ob das Modul an einem Paket interessiert ist
oder nicht und kann das Paket in eine modulspezifische Paketliste einfügen. Eine Modulfunktion
kann auch einige Pakete an das Netzwerk senden, wenn dies sehr schnell erfolgen soll. Der
Modul (normalerweise in einem anderen Thread, daher muss die Ausführung geplant werden) wird dann abgerufen
holt Pakete aus der Liste und analysiert sie. Auf diese Weise können Sie ganz einfach Module entwickeln, die
verschiedene Aktivitäten durchführen.
Pakete, die als Antwort an das Netzwerk gesendet werden sollen, werden durch Strukturen beschrieben, sodass Sie dies nicht tun
Sie müssen sich um einige Standardfelder oder Prüfsummen kümmern. Derzeit Funktionen für TCP, ICMP
und ARP-Verkehr sind bereits vorbereitet. (UDP fehlt, da ich es in keinem verwende
Module)
Für die Hostauflösung (DNS) wird ein separater Satz von Daemons verwendet. Das liegt daran, dass die
Die Funktion gethostbyname/gethostbyname_r ist durch Mutex geschützt (soweit ich weiß, war es so
vor zwei Jahren - ich habe es jetzt nicht ausprobiert), daher kann man es nicht wirklich parallel in einem Multithread ausführen
Umfeld. Daher besteht die häufig verwendete Problemumgehung darin, einige Hilfsdämonen zu starten
durch den Fork, der gethostbyname ausführt.
USER
Nun, die Benutzerumgebung ist nicht grafisch, aber ich glaube, dass sie Ihnen gefallen wird.
Im Titel aller Menüs finden Sie einige Statusinformationen zur Jagd. Erstens gibt es eine
Anzeige, mit welchem Menü Sie arbeiten. Zweitens die Anzahl der von Hunt empfangenen Pakete
wird gezeigt. Hunt weist einige Puffer für Pakete vorab zu; den Status „Frei“ und „Zugeteilt“.
buffers wird als dritter Wert angezeigt. Die Anzahl der freien Puffer ist für einen hohen Wert gering
überlastetes Netzwerk oder der ACK-Sturm oder wenn Sie über schlechte Hardware verfügen. In meinem Fall zum Beispiel das
Normalerweise wurden die Nummern 63/64 angegeben, was bedeutet, dass nur ein Puffer verwendet wurde, aber nach dem
ACK-Sturm, ich habe so etwas wie 322/323. Beachten Sie, dass die einmal zugewiesenen Puffer nicht mehr vorhanden sind
befreit. Die geringe Anzahl freier Puffer kann auch auf einen Fehler bei der Suche hinweisen, aber ich glaube, das ist der Fall
Alle Module wurden sorgfältig auf Fehler dieser Art getestet. Der letzte Indikator meldet welche
Daemons (eigentlich Threads) laufen. Dies sind: R – Reset-Daemon, Y – Arp-Relayer, S –
Sniffer, M – MAC-Entdecker. Wenn Sie die ausführliche Option aktivieren, erhalten Sie zusätzliche Informationen
Informationen darüber, wie viele Pakete verworfen wurden – es handelte sich um Fragmente (siehe Fehler) oder
fehlerhaft waren und wie viele Pakete zu anderen Protokollen als TCP, UDP, ICMP usw. gehören
ARP. In der Eingabeaufforderung für die Benutzereingabe befindet sich ein Indikator, der Sie durch das Zeichen „*“ darüber informiert
Hunt hat seit der letzten Verbindungsüberwachung neue Verbindungen zur Verbindungsliste hinzugefügt.
Allgemeines Schnittstelle
In allen Menüs fungiert die x-Taste als Escape-Taste. Die Netzwerkmaske wird mit bezeichnet
IP-Adresse/Masken-Notation, wobei Maske die Anzahl der Einsen auf der linken Seite ist
Netzwerkmaske. Beispielsweise bedeutet 0.0.0.0/0 alles und 192.168.32.10/32 bedeutet
nur dieser Gastgeber.
Für die meisten Module wird verwendet:
l) Listenelemente
a) Artikel hinzufügen
m) Artikel ändern
d) Item löschen
Sie werden in diesem Text als l) a) m) d) bezeichnet
Auflisten/Beobachten/Zurücksetzen Verbindung
Sie können die Liste der von der Hunt Packet Engine verfolgten Verbindungen abrufen. Welche
Welche Verbindungen verfolgt werden, wird im Optionsmenü festgelegt. Sie können interaktiv
Beobachten oder setzen Sie diese Verbindungen zurück. Sie können sie auch entführen (nächste zwei).
Menüpunkte).
ARP/Einfach entführen
ARP/Simple Hijack bietet Ihnen eine interaktive Schnittstelle zum Einfügen von Daten
die ausgewählte Verbindung. Sie können ARP-Spoofing für beide Verbindungsenden durchführen, z
nur ein Ende, sonst kann man es gar nicht machen. Wenn Sie kein ARP-Spoofing betreiben, dann tun Sie es
Ich erhalte wahrscheinlich den ACK-Sturm, nachdem ich das erste Zeichen eingegeben habe. Wenn Sie ARP machen
Beim Spoofing wird geprüft, ob es gelingt. Wenn nicht, werden Sie gefragt, ob Sie dies wünschen
Warten Sie, bis es erfolgreich ist (Sie können dieses Warten natürlich durch STRG-C unterbrechen).
Nachdem Sie einige Daten in die Verbindung eingegeben haben, geben Sie STRG-] ein und schon können Sie loslegen
Synchronisieren oder Zurücksetzen der Verbindung. Wenn Sie die Synchronisierung wählen, ist der Benutzer
aufgefordert, einige Zeichen einzugeben, und danach wird die Verbindung hergestellt
synchroner Zustand. Sie können den Synchronisierungsvorgang mit STRG-C und unterbrechen
Dann können Sie die Verbindung zurücksetzen. Beachten Sie, dass STRG-C häufig zum Unterbrechen verwendet wird
ein fortlaufender Prozess. Die STRG-]-Taste (wie Telnet) wird zum Beenden der Interaktion verwendet
Einfügen von Daten in die Verbindung. Der ARP/Simple-Hijack erfolgt nicht automatisch
Setzen Sie die Verbindung zurück, nachdem der ACK-Sturm erkannt wurde, sodass Sie dies selbst tun müssen.
Beachten Sie auch, dass ARP/Simple Hijack mit dem ARP-Relayer funktioniert (wie weiter unten beschrieben).
damit andere Verbindungen nicht beeinträchtigt werden. Normalerweise, wenn Sie ARP-Spoofing auf zwei Servern durchführen
dann verarbeitet der ARP/Simple-Hijack nur eine ausgewählte Verbindung zwischen diesen beiden
Hosts, aber andere Verbindungen zwischen diesen beiden Hosts scheinen einzufrieren. Wenn du
Starten Sie den ARP-Relayer, dann werden diese anderen Verbindungen verarbeitet und umgeleitet
durch. Andere Verbindungen von einem gefälschten Host zum anderen sind also nicht betroffen
überhaupt. Es wird empfohlen, den ARP-Relayer auszuführen, wenn Sie ARP-Hijacking von zwei durchführen
Server. Beachten Sie, dass, wenn Sie ARP-Spoofing (erzwingen) einen Client-MAC an den Server senden, dies der Fall ist
Es sind nur Verbindungen betroffen, die vom Server zu diesem Client führen. Andere
Verbindungen vom Server zu anderen Maschinen bleiben unberührt.
Einfacher entführen
Durch den einfachen Hijack können Sie einen Befehl in den Datenstrom der Verbindung einfügen.
Wenn Sie den Befehl einfügen, wartet Hunt bis zu einem bestimmten Timeout auf dessen Abschluss
und wenn der ACK-Sturm nicht auftritt, werden Sie zur Eingabe des nächsten Befehls aufgefordert. Nach
Damit können Sie die Verbindung synchronisieren oder zurücksetzen. Beachten Sie, dass Sie die verwenden können
interaktive Schnittstelle zu Simple Hijack, wenn Sie ARP/Simple Hijack ohne ARP verwenden
Spoofing, aber wenn Sie die vollständige interaktive Schnittstelle von ARP/einfachen Hijack ohne ARP verwenden
Beim Spoofing erhalten Sie wahrscheinlich sofort nach der ersten Eingabe den ACK-Sturm
verkohlen. Daher ist dieser Hijacking-Modus nützlich, wenn Sie mit dem ACK-Sturm zu kämpfen haben
weil es Ihre Daten in einem einzigen Paket an die Verbindung sendet. Wenn der ACK-Sturm
Ist in Bearbeitung, ist es sehr schwierig, andere Pakete von Hunt an den Server zu übermitteln, da
Das Netzwerk und der Server sind überlastet.
Dämonen
Ich nenne sie Daemons, aber in Wirklichkeit sind sie Threads. Alle Daemons können gestartet werden und
gebeugt. Seien Sie nicht überrascht, wenn Sie eine Regel in einen Daemon einfügen oder ändern und dies auch der Fall ist
Nichts. Der Daemon läuft nicht – Sie müssen ihn starten. Alle Dämonen sind standardmäßig vorhanden
gestoppt, obwohl Sie die Konfiguration ändern können. Allgemeine Befehle im Dämonenmenü
sind:
s) Starten Sie den Daemon
k) Stoppen Sie den Dämon
l) Konfigurationselemente auflisten
a) Konfiguration hinzufügen. Artikel
m) Konfiguration ändern. Artikel
d) Konfiguration löschen. Artikel
Zurücksetzen Daemon
Dieser Daemon kann zum automatischen Zurücksetzen laufender Verbindungen verwendet werden
Hunt kann sehen. Durch Angabe können Sie beschreiben, welche Verbindungen beendet werden sollen
src/dst-Host/Maske und src/dst-Ports. Das Ausschalten des SYN-Flags bedeutet, dass alles angegeben ist
Verbindungen sollten beendet werden (auch laufende). Das aktivierte SYN-Flag bedeutet nur das
Neu gestartete Verbindungen werden zurückgesetzt. So sind die Verbindungen, die im Gange sind
nicht betroffen. Vergessen Sie nicht, den Daemon zu starten.
ARP Daemon
Hier können Sie ARP-Spoofing von Hosts durchführen. Sie geben Quell- und Zieladressen sowie die gewünschten ein
srcMAC. Der dst wird dann gezwungen zu denken, dass src srcMAC hat. Sie können eine Fälschung verwenden
MAC oder besser MAC des Hosts, der derzeit ausgefallen ist. Sie wollen nur, dass die Gastgeber es tun
Senden Sie Ihnen alle Daten (damit Sie sogar Pakete anzeigen können, die sich auf einem anderen Server befinden).
(Segment oder geschalteter Port, den Sie normalerweise nicht sehen) Das ARP-Modul sieht aus
Achten Sie sorgfältig auf Pakete, die das ARP-Spoofing von Hosts unterbrechen, und behandeln Sie diese jedoch
Sie können sogar das Aktualisierungsintervall für ARP-Spoofing angeben, dies ist jedoch nicht erforderlich
es zu tun. Stellen Sie das Aktualisierungsintervall nur ein, wenn bei Ihnen Probleme auftreten oder Probleme auftreten
seltsames Verhalten gefälschter Hosts. Außerdem besteht die Möglichkeit, die Hosts zu testen
Für eine erfolgreiche Täuschung mit der Möglichkeit, diese Täuschung zu erzwingen, wird dies empfohlen
Testen Sie den ARP-Spoof, wenn etwas nicht stimmt oder der Computer nicht sendet
der Verkehr zur Jagd. Die Force-Option ist hilfreich, wenn die ersten Pakete gefälscht werden
werden mit dem Schalter verworfen, wenn Sie also die Jagd gegen Hosts mit eingeschaltetem Schalter ausführen
Ports können Sie versuchen, den Force-Modus beispielsweise 10 Sekunden lang auszuführen und ihn dann zu unterbrechen
STRG-C, wenn der Spoof weiterhin fehlschlägt. Für die Ausführung wird der ARP-Relayer-Daemon verwendet
ARP-Relay von ARP-gefälschten Verbindungen. Wenn Sie eine ARP-Parodie von Hosts einfügen
Das ARP-Spoofing wird sofort durchgeführt, auch wenn der Relayer nicht läuft!!! Aber
Wenn das ARP-Spoofing erfolgreich ist, sehen die Verbindungen so aus, als ob sie einfrieren würden. Für
Um diese Verbindungen über Ihre Suche umzuleiten (kein IP-Routing!), müssen Sie beginnen
der ARP-Relayer. Der Relayer funktioniert gut mit ARP/Simple Hijack, also sobald Sie es haben
Hosts, die ARP mit ARP-Relaying gefälscht haben, können Sie ganz einfach ARP/Simple Hijack durchführen, was funktioniert
erkennt, dass die Hosts bereits ARP-gefälscht sind und übernimmt die Verbindung
sofort. Mit dieser Technik können Sie ganz einfach zum Mann in der Mitte werden
Beginn der Verbindung, obwohl Ihr Host mit Hunt kein IP-Gateway ist. ICH
Ermutigen Sie Sie, andere anwendungsspezifische Protokollhandler für den Mann zu schreiben
der mittlere Angriff, da es mit diesem Framework wirklich einfach ist.
Schnüffeln Daemon
Der Zweck des Sniff-Daemons besteht darin, bestimmte Pakete zu protokollieren. Der Sniff-Daemon kann
Suchen Sie auch nach einem einfachen Muster (String) im Datenstrom (siehe Fehler).
Abschnitt). Sie können angeben, an welcher Verbindung Sie interessiert sind und wo gesucht werden soll
(src, dst, beide), was möchten Sie durchsuchen, wie viele Bytes möchten Sie protokollieren?
In welche Richtung (src, dst, beide) und in welche Datei soll der Dämon schreiben. Alle
Protokollierte Dateien werden im Verzeichnis .sniff gespeichert. Der Standarddateiname für die Protokollierung
besteht aus o,0t(ashnew-linesoor asmhex num.). Im Untermenü „Optionen“ können Sie festlegen, wie Sie vorgehen möchten
Neue Zeilen protokollieren (
MAC Entdeckung Daemon
Dieser Daemon wird verwendet, um MAC-Adressen zu sammeln, die der angegebenen IP entsprechen
Reichweite. Sie können die Zeit eingeben, nach der der Daemon erneut versucht, Daten zu sammeln
(Standard ist 5 Minuten).
Gastgeber up menu
Das Host-Up-Modul bestimmt, welche Hosts aktiv sind (mit TCP/IP-Stack). Sie gerade
Geben Sie den IP-Bereich an und dieser Bereich wird dann nach laufenden Hosts durchsucht. Es ist
Kann feststellen, welche Hosts über eine Netzwerkschnittstelle im Promiscuous-Modus verfügen. Der
Der Promiscuous-Modus zeigt normalerweise an, dass auf dem Host etwas ausgeführt wird
Sniffer/Netzwerkanalysator.
Optionen menu
Im Optionsmenü können Sie verschiedene Dinge einstellen:
l) a) m) d)
Auflisten/Hinzufügen/Ändern/Löschen Sichere Rückgabepolitik Eintrag
Zunächst können Sie auswählen, welche Verbindungen verfolgt werden sollen. Der Standard
Die Einstellung besteht darin, Telnet-Verbindungen von allen Hosts zu prüfen, aber Sie können dies anpassen
Verhalten durch die Angabe von src/dst-Adresse/Maske src/dst-Portpaaren. Mit
Befehle: l) a) m) d) Sie legen fest, woran Sie interessiert sind.
c) Sichere Hören Ferienhäuser
Sie können festlegen, ob die Sequenznummern und MACs laufender Verbindungen angezeigt werden
wird während des Verbindungshörens angezeigt.
h) Gastgeber Lösung
Sie können die Auflösung von Hosts nach ihren Namen aktivieren. Da die Lösung Ihnen aufgeschoben wird
Erhalten Sie nicht sofort die Namen der Hosts. Versuchen Sie einfach, mehrere Verbindungen aufzulisten
mal und Sie sehen die Namen der Hosts. (Ich habe diesen verzögerten Ansatz verwendet, weil ich
Ich wollte keine Verzögerung der Schnittstelle, die durch die Auflösung verursacht werden kann.
r) Zurücksetzen ACK Sturm Timeout
Dieses Timeout wird bei einem einfachen Hijack verwendet, um die Verbindung danach automatisch zurückzusetzen
Der ACK-Sturm wird erkannt. Beachten Sie, dass Sie den ACK-Sturm auch in empfangen können
arp/simple hijack, falls Sie kein ACK-Spoofing eines Hosts durchführen.
s) Einfacher Entführung Timeout Aussichten für Weiter cmd
Simple Hijack verfügt über keine interaktive Verbindungsschnittstelle. Das heißt, Sie schreiben das
vollständiger Befehl, der in den Verbindungsdatenstrom eingefügt wird. Wenn keine Daten vorhanden sind
bis zu diesem Timeout über die Verbindung übertragen wurden, werden Sie zur Eingabe aufgefordert
nächster Befehl.
q) ARP Anfrage/Antwort Pakete
Anzahl der Anfrage- oder Antwortpakete, die Hunt sendet, wenn es Arp-Spoofing durchführt.
t) ARP PREISANFRAGE (Request) Parodie Durch PREISANFRAGE (Request)
Option, ob Hunt beim Empfang eine ARP-Spoof-Anfrage oder eine ARP-Spoof-Antwort sendet
gesendete ARP-Anfrage, die den ARP-Spoof unterbricht.
w) Geschaltet Arbeitsumfeld
Einige Optimierungen für wechselnde Umgebungen. Es funktioniert perfekt für nicht geschaltete
Umgebung auch.
y) ARP Parodie Mit der My MAC
Legen Sie die ursprüngliche MAC-Adresse des gesendeten gefälschten ARP auf meinen (Jagd-)Ethernet-MAC fest –
Hilft manchmal in veränderter Umgebung.
e) Lernen Sie MAC Aus IP Traffic
Sie können aktivieren, dass MAC-Adressen aus dem gesamten IP-Verkehr und nicht nur aus dem gesamten IP-Verkehr gelernt werden
ARP.
p) Anzahl der gedruckten Zeilen pro Seite beim Hören
Selbsterklärend
v) Ausführlich ein/aus
Selbsterklärend
GETESTET
JAGD Programm Anforderungen:
* Linux >= 2.2
* Glibc mit Linuxthreads
* Ethernet
Geprüft Gastgeber:
Linux 2.0, Linux 2.1, Linux 2.2, Solaris 2.5.1, NT4sp3/4, Win95, OSF V4.0D, HPUX 10.20,
IRIX 6.2
Geprüft Netzwerk Ausrüstung:
BayNetworks 28115, 28200, 300 Switches 3Com SuperStack II 3000, 1000 Switches
SICHERHEIT ANMERKUNG
Bitte beachten Sie die bereits bekannte Wahrheit, dass Telnet und ähnliche Programme Passwörter versenden
im Klartext sind anfällig für die beschriebenen Angriffe. Programme, die Einmalpasswörter verwenden
sind ebenfalls leicht angreifbar und in der Tat nutzlos, wenn jemand ein solches Programm ausführen kann
Jagd. Nur vollständig verschlüsselter Datenverkehr ist für diese Angriffe nicht anfällig, aber beachten Sie, dass dies möglich ist
Werden Sie zum Mann in der Mitte, wenn Sie ARP-Spoofing (Forcing) ohne den ACK-Sturm und Sie verwenden
kann versuchen, etwas zu tun. Auch ein unkonfigurierter Schalter schützt Sie nicht vor Sniffing oder
Entführung. Es ist notwendig, die Portsicherheit auf den Switches sorgfältig zu konfigurieren
um die Computer an den geswitchten Ports zu schützen.
Angriffe zu erkennen ist keine leichte Aufgabe. Für ARP-Spoofing gibt es Tools, die es erkennen können
Es. Der ACK-Sturm ist von einigen hochentwickelten Netzwerkanalysatoren erkennbar (Sie können erkennen).
das Muster des ACK-Sturms oder die Statistiken von ACKs ohne Daten). Wenn Sie auf die Jagd gehen
In Ihrem Netzwerk können Sie den ACK-Sturm erkennen, da die Jagd den ACK-Sturm erkennen kann
Muster.
LEISTUNG HINWEIS
Stellen Sie sicher, dass Sie die Maschine im Leerlauf mit ausreichender Leistung betreiben (ich habe PII-233 mit verwendet).
128 MB RAM) und ohne einen anderen Paketanalysator, denn wenn Sie erweiterte Funktionen wie verwenden
ARP-Spoofing oder Hijacking-Jagd muss schnell mit seinen eigenen Paketen antworten, die in das eingefügt werden
Verkehr im Netzwerk.
HERUNTERLADEN
Diese Software finden Sie unter http://www.gncz.cz/kra/index.html
oder
ftp://ftp.gncz.cz/pub/linux/hunt/
BEKANNT Fehler
* Einige Strukturen sind durch Mutexe schlecht gesperrt
* Wenn Sie die Verbindung beobachten, können einige Escape-Sequenzen dieser Verbindung Einfluss haben
Ihr Terminal. Beachten Sie, dass Ihr Terminal den Namen „Linux“ („xterm“ – wenn Sie es unter X ausführen,
...), aber die Escape-Sequenzen gelten für das clientseitige Terminal, was möglicherweise der Fall ist
Linux, damit Sie etwas Chaos anrichten können.
* Sniff ist nicht in der Lage, nach einem Muster zu suchen, das die Paketgrenze überschreitet. Das
bedeutet, dass nicht nach einem Muster der vom Benutzer eingegebenen Eingabe gesucht werden kann, wie dies normalerweise der Fall ist
mit 1B Daten langen Paketen übertragen.
* Hunt unterstützt keine Defragmentierung, daher müssen die IP-Fragmente gelöscht werden.
FEHLER BEHEBUNGEN, VORSCHLÄGE
Bitte senden Sie Fehlerbeschreibungen, Patches, Vorschläge, neue Module oder Erfolgsgeschichten an
[E-Mail geschützt]
Danksagung
Ich möchte mich bei Sven Ubik bedanken [E-Mail geschützt] > für seinen unschätzbaren Beitrag und
Feedback.
FINAL WORD
Beachten Sie, dass diese Software nur zu meinem Spaß in meiner Freizeit geschrieben wurde und großartig war
Anwendung von TCP/IP-Protokollen. Ich bin jetzt mit seq vertraut. Zahlen, ACKs, Timeouts, MACs,
Prüfsummen, ... auf höchstem Niveau. Da ich über einige ziemlich gute Hintergrundinformationen zu dieser „Jagd“ verfüge
Herausforderung ließ mich denken, dass ich TCP/IP nicht so gut kannte, wie ich gedacht hatte. Du bist
Gerne können Sie den Quellcode lesen und versuchen, ihn zu ändern oder eigene Module zu schreiben.
DEBIANISCH
Diese Manpage wurde aus der internen Dokumentation von konvertiert Jon marler < [E-Mail geschützt]
> für das Debian GNU/Linux-Betriebssystem.
JAGD(1)
Nutzen Sie die Online-Jagd mithilfe der Dienste von onworks.net
