Esta es la búsqueda de comandos que se puede ejecutar en el proveedor de alojamiento gratuito de OnWorks utilizando una de nuestras múltiples estaciones de trabajo en línea gratuitas, como Ubuntu Online, Fedora Online, emulador en línea de Windows o emulador en línea de MAC OS.
PROGRAMA:
NOMBRE
hunt: herramienta de auditoría de seguridad de la red.
SINOPSIS
Caza [-V] [-v] [-I interfaz]
DESCRIPCIÓN
Esta página de manual documenta brevemente la Caza mando. Esta página de manual fue escrita para
Distribución Debian GNU / Linux porque el programa original no tiene una página de manual.
En cambio, tiene documentación en formato GNU Info; vea abajo.
LEER FIRST
Asegúrese de SABER lo que está haciendo antes de usar hunt. Se recomienda que
debe probar cómo se comporta en algunas conexiones de prueba y luego usarlo sabiamente. Puedes
desea seleccionar "opciones" y luego "agregar entrada de política de conexión", ya que de forma predeterminada solo telnet
las conexiones son monitoreadas.
Visión general
Hunt es un programa para entrometerse en una conexión, verla y restablecerla. Tiene
varias características, que no encontré en ningún producto como Juggernaut o T-sight que
me inspiró en mi desarrollo. Encontré que Juggernaut no era lo suficientemente flexible para más
desarrollo, así que comencé desde cero (ver CARACTERÍSTICAS y DESCRIPCIÓN GENERAL DEL DISEÑO). Tenga en cuenta que cazar
funciona en Ethernet y se utiliza mejor para conexiones que se pueden ver a través de él.
Sin embargo, es posible hacer algo incluso para hosts en otros segmentos o hosts que
están en puertos conmutados. La búsqueda no distingue entre conexiones de red local y
conexiones que van hacia / desde Internet. Puede manejar todas las conexiones que ve.
El secuestro de conexión está dirigido principalmente al tráfico de telnet o rlogin, pero se puede utilizar
para otro tráfico también. Las funciones reset, watch, arp, ... son comunes a todos
conexiones.
CATEGORIAS
Conexión Administración
* Establecer las conexiones que le interesan.
* Detectando una conexión en curso (no solo SYN iniciado).
* Secuestro activo normal con la detección de la tormenta ACK.
* ARP falsificado / Secuestro normal con la detección de ARP falso con éxito.
* Sincronización del cliente real con el servidor después del secuestro (para que el
no es necesario restablecer la conexión).
* Restableciendo la conexión.
* Observando la conexión.
Demonios
* Restablecer demonio para restablecimiento automático de la conexión. * Demonio ARP spoof / retransmisor para
Suplantación de ARP de hosts con la capacidad de retransmitir todos los paquetes desde hosts falsificados. *
Demonio de descubrimiento de MAC para recopilar direcciones MAC. * Demonio de rastreo para el registro de TCP
tráfico con la capacidad de buscar una cadena en particular.
Anfitrión Resolver
* Resolución de host diferido a través de servidores auxiliares DNS dedicados.
Paquete Motor
* Motor de paquetes extensible para observar el tráfico TCP, UDP, ICMP y ARP. *
Recopilación de conexiones TCP con números de secuencia y detección de tormentas ACK.
Miscelánea * Determinar qué hosts están activos.
Switched Entorno
* Los hosts en puertos conmutados también se pueden falsificar, rastrear y secuestrar.
COMANDO LÍNEA PARÁMETROS
-V Versión impresa
-v Verbose (imprimir pids de hilos creados)
-i interfaz. Escuche en esta interfaz. El valor predeterminado es eth0
TÉCNICA EXPLICACIÓN
Permítanme explicar algunos problemas técnicos que utilizo en la caza y que son esenciales para
comprender cómo funciona y qué debe esperar. Los términos importantes son PI
suplantación de identidad, suplantación de identidad ARP y tormenta ACK. Incluso si está familiarizado con ellos, puede obtener
alguna información nueva.
IP spoofing
Establece la dirección de origen del paquete en la dirección IP del host que pretende ser.
ARP spoofing
Establece la dirección de hardware de origen del paquete (dirección MAC de origen) en la dirección de
el anfitrión que pretendes ser.
sencillos Active Ataque en contra TCP personales - It is a bien conocido tipo
de ataque en el que envía un paquete con direcciones IP falsificadas y posiblemente también
con direcciones ARP falsificadas (direcciones MAC verdaderas del cliente y del servidor, no falsas
como se explica más adelante). De esta forma, puede forzar un comando a la secuencia, pero
es probable que reciban la tormenta ACK (como se explica más adelante) a menos que el original
el host cliente de la conexión está ejecutando Linux.
ARP spoofing
También utilizo este término para obligar al host remoto a pensar que el host que quiero
tener una dirección MAC diferente, por lo que el host remoto envía respuestas a esa dirección MAC
y el host del cliente original no puede recibirlos (pero Hunt está mirando
con cuidado y maneja todas las consecuencias) (Explicar cómo forzar un host en el
red para pensar que el otro host tiene un MAC diferente, lo dejo como ejercicio:
animarle a leer el código fuente). Tenga en cuenta que utilizo el término ARP
spoofing en lugar del término ARP forcing o algo así. Así que no seas
confundido, si digo suplantación de ARP, me refiero a usar alguna dirección MAC de un host o simplemente
alguna dirección MAC falsa. Tenga en cuenta que la suplantación de ARP (con mi intención de forzar algunos MAC)
no funciona en Solaris2.5 porque tiene temporizadores de vencimiento en las entradas ARP, por lo que
no puede obligar fácilmente a Solaris a eliminar una entrada ARP. La entrada normalmente expira después
20 minutos o menos (pero tienes la posibilidad de forzarlo y la caza admite este modo). los
Los temporizadores de caducidad en Solaris se establecen mediante:
ndd -conjunto / dev / ip ip_ire_flush_interval 60000 /* 1 min */
ndd -conjunto / dev / arp arp_cleanup_interval 60 /* 1 min */
Le animo a que le pida a su netadmin que establezca los valores anteriores en todos los sistemas Solaris.
máquinas. Win95 / NT4sp3, Linux2.0, OSF1 V4.0, HP-UX10.20 no están protegidos en
de esta manera para que pueda usar fácilmente la técnica descrita en ellos (en realidad, tienen
temporizadores, pero no funcionan como en Solaris; de hecho, solo Solaris es el
excepción). En realidad, Hunt usa esta técnica de tal manera que quiere forzar una falsificación.
MAC del servidor al cliente y una MAC falsa del cliente al servidor. Entonces
tanto el servidor como el cliente están enviando paquetes a esos MAC falsos (y la búsqueda puede
por supuesto manejarlos). Sin embargo, es suficiente que solo un host tenga una
MAC del otro host. La tormenta ACK tampoco puede ocurrir en esta situación. Vos tambien
Puede utilizar esta técnica incluso si un extremo es Solaris y el otro no. Vas a
sólo tiene éxito en el otro host y eso es suficiente. Así que el único problema es cuando
La conexión es entre dos máquinas Solaris. Sin embargo, si hay alguna raíz
conexión en curso, puede presionar fácilmente los comandos sugeridos anteriormente sin ARP
suplantar la conexión y alterar los temporizadores de vencimiento de la caché ARP.
ACK Storm
La tormenta ACK es causada por la mayoría de las pilas de TCP (!!! Linux2.0 es una excepción
!!!). Imaginemos que envía algunos datos a una conexión en curso al servidor
(como enviado por el cliente - con números de secuencia esperados, ...). El servidor responde
con el acuse de recibo de los datos que envió, pero este acuse de recibo es recibido por
el cliente original también. Pero desde el punto de vista del cliente original, el servidor tiene
datos reconocidos que no existen en el cliente. Entonces sucedió algo extraño
y el cliente original envía el número de secuencia "correcto" con ACK al servidor.
Pero las reglas de TCP dicen que se requiere generar un reconocimiento inmediato
cuando se recibe un segmento fuera de servicio. Este ACK no debe retrasarse. Entonces el
El servidor envía el acuse de recibo de los datos inexistentes al cliente nuevamente. Y el
respuestas del cliente, ... Sólo si el host de origen de la conexión es Linux, entonces el
La tormenta ACK no ocurre. Tenga en cuenta que si usa ARP spoofing (forcing), el ACK
la tormenta no puede venir porque uno o ambos extremos enviarán paquetes con MAC falsos y
esos paquetes son recibidos por Hunt en lugar de por el otro host.
Conexión Reanudar
Con un solo paquete construido correctamente puede restablecer la conexión (bandera RST en
Encabezado TCP). Por supuesto, debe conocer el número de secuencia, pero no es un
problema para la caza que está mirando todo el tiempo. Puede restablecer el servidor, el cliente o
ambos. Cuando restablece solo un extremo, el otro extremo se restablece cuando intenta enviar datos
al primer host que responderá con RST debido al restablecimiento de la conexión en
él.
Conexión olfatear / mirar
Lo más simple que puede hacer es sentarse en silencio en su silla y ver la salida de la caza.
sobre cualquier conexión que elija de la lista.
Conexión Sincronización
Bueno, esa es una de las principales características de Hunt. Si pones algunos datos al TCP
flujo (a través de un ataque activo simple o suplantación de ARP), desincroniza el flujo
desde el punto de vista del servidor / cliente original. Después de un poco de trabajo hecho en eso
conexión, simplemente puede restablecerla o puede intentar sincronizar ambos extremos originales
de nuevo. Ésa no es una tarea fácil. Se solicita al usuario del cliente que escriba algunos
Los caracteres y algunos caracteres se envían al cliente y al servidor. El objetivo principal de todas las cosas.
es volver a sincronizar los números de secuencia tanto en el cliente como en el servidor.
Interruptor / segmento tráfico reencaminamiento
Con la suplantación de ARP, incluso puede forzar el cambio para que le envíe el tráfico
para hosts en otro segmento / puerto conmutado. Esto se debe a que un interruptor pensará
que el MAC pertenece a su puerto. Tenga cuidado si su interruptor tiene algo de seguridad
La política y los MAC se han configurado explícitamente por puerto, pero de hecho
nunca vea una configuración de este tipo en una red "ordinaria".
Relé ARP demonio
No se confunda. Utilizo este término para hunt daemon que es responsable de
insertar paquetes en la red (redireccionamiento) de todos los datos que recibe de ARP
hosts falsificados.
Switched entorno
Bueno, la búsqueda ahora es capaz de observar y secuestrar hosts que están encendidos
puertos. En común, no puede ver el tráfico de hosts en puertos conmutados, pero si
primera suplantación de ARP (con el menú del demonio de suplantación de ARP) puede ver el
conexiones que hay entre esos hosts. Primero haces arp spoof y los hosts
enviarle el tráfico y desde ese momento puede enumerar las conexiones entre ellos,
entonces puedes mirarlos y secuestrarlos. Se acepta comúnmente que los interruptores
proteja sus conexiones de nuevo dentro de intrusos y falsificadores. Bueno, eso sigue siendo
cierto para interruptores cuidadosamente colocados. Los conmutadores que están conectados a la LAN
sin ninguna configuración de seguridad de puerto son inútiles en el trabajo de proteger su LAN.
DISEÑO Visión general
El modelo de desarrollo se basa en un motor de paquetes (hunt.c) que se ejecuta en su propio hilo
y captura paquetes de la red. El motor de paquetes recopila información de TCP
conexiones / inicio / terminación, números de secuencia y direcciones MAC. Recoge el
MAC y seq. números desde el punto de vista del servidor y MAC separados y seq. números
desde el punto de vista del cliente. Por lo que está preparado para el secuestro. Esta información (seq.
núm., MAC,
Los módulos pueden registrar funciones con el motor de paquetes que luego se invocan cuando son nuevas
se reciben paquetes. Una función de módulo determina si el módulo está interesado en un paquete
o no y puede colocar el paquete en una lista de paquetes específica del módulo. Una función de módulo
También puede enviar algún paquete a la red si se desea hacerlo muy rápido. los
módulo (generalmente en algún otro hilo, por lo que debe programarse para su ejecución) luego se obtiene
paquetes de la lista y los analiza. De esta forma, puede desarrollar fácilmente módulos que
realizar diversas actividades.
Los paquetes que se envían como respuesta a la red se describen mediante estructuras, por lo que no
tiene que preocuparse por algunos campos predeterminados o sumas de verificación. En este momento, funciones para TCP, ICMP
y el tráfico ARP ya están preparados. (Falta UDP porque no lo uso en ninguna
módulo)
Se utiliza un conjunto separado de demonios para la resolución de host (DNS). Eso es porque el
La función gethostbyname / gethostbyname_r está protegida por mutex (hasta donde yo sé, fue así
hace dos años, no lo probé ahora), por lo que no puede ejecutarlo realmente en paralelo en un multiproceso
medio ambiente. Por lo tanto, la solución alternativa más utilizada es activar algunos demonios auxiliares.
a través de la bifurcación que ejecutará gethostbyname.
USUARIO MEDIO AMBIENTE
Bueno, el entorno de usuario no es gráfico, pero creo que te gustará.
En el título de todos los menús hay información sobre el estado de la caza. Primero, hay un
indicación con qué menú está trabajando. En segundo lugar, la cantidad de paquetes recibidos por hunt
se muestra. Hunt asigna previamente algunos búferes para paquetes; el estado de libre y asignado
búferes se muestra como el tercer valor. El número de búferes libres es bajo para un alto
red cargada o la tormenta ACK o si tiene un hardware deficiente. En mi caso, por ejemplo, el
Los números 63/64 normalmente se indicaron, lo que significa que solo se usó un búfer, pero después de la
ACK storm, tengo algo como 322/323. Tenga en cuenta que los búferes una vez asignados no se
liberado. El bajo número de búferes gratuitos también puede significar algún error en la búsqueda, pero creo que
depuró cuidadosamente todos los módulos para este tipo de error. El último indicador informa qué
Los demonios (en realidad, subprocesos) se están ejecutando. Son: R - demonio de reinicio, Y - relé arp, S -
sniffer, M - Descubridor de MAC. Si activa la opción detallada, obtendrá más
información sobre cuántos paquetes se eliminaron: eran fragmentos (consulte los errores) o
estaban mal formados, y cuántos paquetes pertenecen a otros protocolos además de TCP, UDP, ICMP y
ARP. En la solicitud de entrada del usuario hay un indicador que le dirá a través del carácter '*' que
hunt agregó nuevas conexiones a la lista de conexiones desde la última conexión que escuchó.
General interfaz.
En todos los menús, la tecla x funciona como escape. La máscara de red está indicada por la
notación ip_address / mask donde máscara es el número de unos en el lado izquierdo del
máscara de red. Por ejemplo, 0.0.0.0/0 significa todo y 192.168.32.10/32 significa
solo ese anfitrión.
Para la mayoría de los módulos se utiliza:
l) elementos de la lista
a) añadir artículo
m) modificar artículo
d) Eliminar elemento
En este texto se hará referencia a ellos como l) a) m) d)
Lista / Ver / Restablecer conexión
Puede obtener la lista de conexiones rastreadas por el motor de paquetes de búsqueda. Cuales
las conexiones se rastrean se especifica en el menú de opciones. Puedes interactivamente
mire o restablezca estas conexiones. También puedes secuestrarlos (los dos siguientes
elementos de menú).
ARP / simple secuestrar
ARP / Simple secuestro le ofrece una interfaz interactiva para la inserción de datos en
la conexión seleccionada. Puede realizar la suplantación de ARP para ambos extremos de la conexión, para
solo un extremo o no puedes hacerlo en absoluto. Si no hace suplantación de ARP, entonces
probablemente reciba la tormenta ACK después de escribir el primer carácter. Cuando haces ARP
suplantación de identidad, se comprueba si tiene éxito. De lo contrario, se le preguntará si desea
espere hasta que tenga éxito (puede interrumpir esta espera a través de CTRL-C, por supuesto).
Después de insertar algunos datos en la conexión, escribe CTRL-] y luego puede
sincronizar o restablecer la conexión. Si elige la sincronización, el usuario es
se le pedirá que escriba algunos caracteres y, después de hacerlo, la conexión estará en el
estado sincrónico. Puede interrumpir el proceso de sincronización con CTRL-C y
entonces puede restablecer la conexión. Tenga en cuenta que CTRL-C se usa ampliamente para interrumpir
un proceso continuo. El CTRL-] (como telnet) se utiliza para finalizar el interactivo
inserción de datos a la conexión. El secuestro ARP / Simple no automáticamente
restablezca la conexión después de que detecte la tormenta ACK, por lo que debe hacerlo usted mismo.
Tenga en cuenta también que ARP / Simple secuestro funciona con el relé ARP (como se describe más adelante)
para que otras conexiones no se vean afectadas. Normalmente, si ARP falsifica dos servidores
entonces el secuestro ARP / Simple maneja solo una conexión seleccionada entre estos dos
hosts, pero parece que otras conexiones entre estos dos hosts se congelan. Si tu
iniciar el relé ARP, luego estas otras conexiones se manejan y se desvían
mediante. Por lo tanto, otras conexiones de un host falsificado a otro no se ven afectadas
en absoluto. Se recomienda ejecutar el relé ARP si realiza un secuestro de ARP de dos
servidores. Tenga en cuenta que si ARP falsifica (fuerza) algún cliente MAC al servidor, entonces
sólo se ven afectadas las conexiones que van del servidor a ese cliente. Otro
las conexiones del servidor a otras máquinas están intactas.
sencillos secuestrar
El secuestro simple le permite insertar un comando en el flujo de datos de la conexión.
Cuando inserta el comando, Hunt espera a que se complete hasta un cierto tiempo de espera
y si la tormenta ACK no ocurre, se le solicitará el siguiente comando. Después
eso, puede sincronizar o restablecer la conexión. Tenga en cuenta que puede utilizar el
interfaz interactiva para secuestro simple cuando usa ARP / secuestro simple sin ARP
suplantación de identidad, pero si utiliza la interfaz interactiva completa de ARP / secuestro simple sin ARP
spoofing, es probable que obtenga la tormenta ACK inmediatamente después de escribir la primera
carbonizarse. Entonces, este modo de secuestro es útil cuando tienes que lidiar con la tormenta ACK
porque envía sus datos a la conexión en un solo paquete. Cuando la tormenta ACK
está en progreso, es muy difícil entregar otros paquetes de Hunt al servidor como
la red y el servidor están congestionados.
DEMONIOS
Los llamo demonios, pero en realidad son hilos. Todos los demonios se pueden iniciar y
encorvado. No se sorprenda cuando inserte o modifique alguna regla en un demonio y lo hace
nada. El demonio no se está ejecutando, debe iniciarlo. Todos los demonios son por defecto
detenido a pesar de que puede modificar la configuración. Comandos comunes en el menú de demonios
son:
s) iniciar el demonio
k) Detén al demonio
l) listar elementos de configuración
a) agregar config. artículo
m) modificar config. artículo
d) eliminar config. artículo
Reanudar demonio
Este demonio se puede utilizar para realizar restablecimientos automáticos de conexiones en curso que
la caza puede ver. Puede describir qué conexiones deben terminarse dando
src / dst host / mask y src / dst ports. La bandera SYN desactivada significa que todos los especificados
las conexiones deben terminarse (incluso en curso). La bandera SYN activada significa que solo
las conexiones recién iniciadas se restablecen. Entonces las conexiones que están en progreso son
no afectado. No olvide iniciar el demonio.
ARP demonio
Aquí puede realizar la suplantación de hosts ARP. Ingresa las direcciones src y dst y desea
srcMAC. Luego, el dst se ve obligado a pensar que src tiene srcMAC. Puedes usar algo falso
MAC o mejor MAC del host que actualmente está inactivo. Solo quieres que los anfitriones
enviarle todos los datos (para que incluso pueda ver los paquetes que están en una
segmento o puerto conmutado que normalmente no verá) El módulo ARP parece
con cuidado para los paquetes que romperán la suplantación de ARP de hosts y los manejarán, pero
incluso puede especificar el intervalo de actualización para la suplantación de ARP, pero no es necesario
para hacerlo. Establezca el intervalo de actualización solo si tiene experiencia con algún problema
comportamiento extraño de hosts falsificados. También existe la posibilidad de probar los hosts.
para una parodia exitosa con la capacidad de forzar esa parodia, se recomienda
probar la suplantación de ARP si algo parece que está mal o la computadora no envía
el tráfico a la caza. La opción de forzar es muy útil si los primeros paquetes de suplantación de identidad
se descartan con switch, por lo que si está ejecutando Hunt contra hosts en switch
puertos puede intentar ejecutar el modo de fuerza por ejemplo durante 10 segundos y luego romperlo con
CTRL-C si la suplantación continúa fallando. El demonio del relé de ARP se utiliza para realizar
Retransmisión ARP de conexiones ARP falsificadas. Cuando inserta alguna suplantación de ARP de hosts
¡La suplantación de ARP se realiza inmediatamente incluso si el relé no está funcionando! Pero
si la suplantación de ARP tiene éxito, las conexiones parecerán congeladas. Para
reencaminando (¡no enrutamiento IP!) Estas conexiones a través de su búsqueda necesita comenzar
el relé ARP. El relé funciona bien con ARP / secuestro simple, por lo que una vez que tenga
hosts ARP falsificados con retransmisión ARP, puede realizar fácilmente ARP / secuestro simple que
detectar que los hosts ya están falsificados por ARP y se hace cargo de la conexión
inmediatamente. Con esta técnica puedes convertirte fácilmente en un hombre en el medio desde el
inicio de la conexión aunque su host con hunt no sea una puerta de enlace IP. I
animarle a escribir otros controladores de protocolo específicos de la aplicación para el hombre en
el ataque medio, ya que es realmente simple con este marco.
Oler demonio
El propósito del demonio sniff es registrar paquetes específicos. El demonio sniff puede
también busque un patrón simple (cadena) en el flujo de datos (vea los errores
sección). Puede especificar en qué conexión está interesado, dónde buscar
(src, dst, ambos), qué desea buscar, cuántos bytes desea registrar, desde
en qué dirección (src, dst, ambos) y en qué archivo debe escribir el demonio. Todos
Los archivos registrados se almacenan en el directorio .sniff. El nombre de archivo predeterminado para el registro
se compone de o, 0t (ashnew-linesoor asmhex num.). submenú de opciones puede configurar cómo
registrar nuevas líneas
dirección MAC descubrimiento demonio
Este demonio se utiliza para recopilar direcciones MAC correspondientes a la IP especificada
distancia. Puede ingresar el tiempo después del cual el demonio intentará recolectar nuevamente
(el valor predeterminado es 5 minutos).
Anfitrión up MENÚ
El módulo de host determina qué hosts están activos (con pila TCP / IP). Tu solo
especifique el rango de IP y luego se buscará ese espacio para los hosts en ejecución. Está
capaz de determinar qué hosts tienen interfaz de red en modo promiscuo. los
El modo promiscuo generalmente muestra que el host está ejecutando algún tipo de
analizador de redes / sniffer.
Opciones MENÚ
En el menú de opciones puedes ajustar diferentes cosas:
l) a) m) d)
Lista / Agregar / Mod / Del Conexión Educativa Entrada
En primer lugar, puede seleccionar qué conexiones se deben rastrear. El valor por defecto
la configuración es mirar las conexiones telnet de todos los hosts, pero puede ajustar esto
comportamiento mediante la especificación de los pares de puertos src / dst address / mask src / dst. Con
comandos: l) a) m) d) establece lo que le interesa.
c) Conexión Escucha Activa Propiedades
Puede establecer si los números de secuencia y MAC de las conexiones en curso serán
visualizado durante la escucha de la conexión.
h) Anfitrión Resolver
Puede activar la resolución de hosts a sus nombres. Como la resolución se aplaza,
no obtenga los nombres de los hosts de inmediato. Intente enumerar varias conexiones
veces y verá los nombres de los hosts. (Usé este enfoque diferido porque
no quería ningún retraso en la interfaz que pueda causar la resolución).
r) Reanudar ACK Storm Tiempo de espera
Este tiempo de espera se utiliza en un secuestro simple para restablecer automáticamente la conexión después de
se detecta la tormenta ACK. Tenga en cuenta que puede recibir la tormenta ACK incluso en
arp / simple secuestro en caso de que no realice la suplantación de ACK de ningún host.
s) sencillos Secuestrar Tiempo de espera Siguiente cmd
El secuestro simple no tiene una interfaz de conexión interactiva. Eso significa que escribes el
comando completo que se insertará en el flujo de datos de conexión. Si no hay datos
transferido a través de la conexión hasta este tiempo de espera, se le solicitará la
siguiente comando.
q) ARP Solicitar / Responder Paquetes
Número de paquetes de solicitud o respuesta que Hunt enviará cuando esté haciendo suplantación de arp.
t) ARP SOLICITUD Parodia A través de esta formación, el personal docente y administrativo de escuelas y universidades estará preparado para manejar los recursos disponibles que derivan de la diversidad cultural de sus estudiantes. Además, un mejor y mayor entendimiento sobre estas diferencias y similitudes culturales permitirá alcanzar los objetivos de inclusión previstos. SOLICITUD
Opción de si Hunt enviará una solicitud de suplantación de ARP o una respuesta de suplantación de ARP cuando la reciba
Solicitud de ARP emitida que romperá la suplantación de ARP.
w) Switched Entorno
Alguna optimización para entornos conmutados. Funciona perfectamente para no conmutados.
medio ambiente también.
y) ARP Parodia Con My dirección MAC
Establecer la dirección MAC de origen del ARP falsificado enviado a mi MAC ethernet (de búsqueda) -
a veces ayuda en entornos cambiados.
e) Aprender dirección MAC Desde IP Tráfico
Puede habilitar que las direcciones MAC se aprendan de todo el tráfico IP, no solo de
ARP.
p) Número de líneas impresas por página al escuchar
Autoexplicativo
v) Verboso encendido / apagado
Autoexplicativo
HÁGASE LA PRUEBA MEDIO AMBIENTE
CAZAR programa requisitos:
* Linux> = 2.2
* Glibc con linuxthreads
* Ethernet
probado Hospedadores:
Linux 2.0, Linux 2.1, Linux 2.2, Solaris 2.5.1, NT4sp3 / 4, Win95, OSF V4.0D, HPUX 10.20,
IRIX 6.2
probado del sistema, equipo:
BayNetworks 28115, 28200, 300 conmutadores 3Com SuperStack II 3000, 1000 conmutadores
SEGURIDAD NOTAS
Tenga en cuenta la verdad ya conocida de que telnet y programas similares que envían contraseñas
en texto claro son vulnerables a los ataques descritos. Programas que utilizan contraseñas de un solo uso
también se atacan fácilmente y, de hecho, son inútiles si alguien puede ejecutar un programa como
cazar. Solo el tráfico cifrado completo no es vulnerable a estos ataques, pero tenga en cuenta que puede
conviértase en un hombre intermedio si usa ARP spoofing (forcing) sin la tormenta ACK y
puede intentar hacer algo. Además, el interruptor no configurado no lo protege de olfatear o
secuestro. Es necesario configurar cuidadosamente la seguridad del puerto en los conmutadores para
para proteger las computadoras en los puertos conmutados.
Detectar ataques no es una tarea sencilla. Para la suplantación de ARP, existen herramientas que pueden detectar
eso. La tormenta ACK es detectable por algunos analizadores de red sofisticados (puede detectar
el patrón de la tormenta ACK o las estadísticas de ACK sin datos). Si corres a cazar
su red puede detectar la tormenta ACK porque la caza puede detectar la tormenta ACK
patrón.
ACTUACIÓN NOTA
Asegúrese de que está ejecutando Hunt en una máquina inactiva con suficiente energía (utilicé PII-233 con
128 MB de RAM) y sin ningún otro analizador de paquetes porque si usa funciones avanzadas como
arp spoofing o secuestro hunt necesita responder rápido con sus propios paquetes insertados en el
tráfico en la red.
DESCARGA
Este software se puede encontrar en http://www.gncz.cz/kra/index.html
o en
ftp://ftp.gncz.cz/pub/linux/hunt/
CONOCIDO LOCO
* Algunas estructuras están mal bloqueadas a través de mutex.
* Si observa la conexión, algunas secuencias de escape de esa conexión pueden influir
su terminal. Tenga en cuenta que su terminal se llama "Linux" ("xterm" - si lo ejecuta desde X,
...) pero las secuencias de escape son para la terminal del lado del cliente que puede o no ser
Linux para que puedas ensuciarte un poco.
* sniff no es capaz de buscar un patrón que cruza el límite del paquete. Ese
significa que no puede buscar un patrón de la entrada escrita por el usuario, ya que esta entrada suele ser
transferido con paquetes de datos de 1B.
* hunt no admite la desfragmentación, por lo que los fragmentos de IP deben descartarse.
INSECTO ARREGLOS, SUGERENCIAS
Envíe descripciones de errores, parches, sugerencias, nuevos módulos o historias de éxito a
[email protected]
AGRADECIMIENTOS
Me gustaría agradecer a Sven Ubik [email protected] > por su invaluable contribución y
realimentación.
transcripciones WORD
Tenga en cuenta que este software fue escrito solo para mi diversión en mi tiempo libre y fue un gran
Ejercicio de protocolos TCP / IP. Ahora estoy familiarizado con la seq. números, ACK, tiempos de espera, MAC,
sumas de comprobación, ... al nivel más fino. Como tengo algunos antecedentes bastante buenos, esta "caza"
El desafío me hizo pensar que no había conocido TCP / IP tan bien como pensaba. Usted está
Bienvenido a leer el código fuente e intentar modificarlo o escribir sus propios módulos.
DEBIAN
Esta página de manual fue convertida de la documentación interna por Jon marler < [email protected]
> para el sistema operativo Debian GNU / Linux.
CAZAR(1)
Use Hunt en línea usando los servicios de onworks.net
