it-swarm-eu.dev

C'è un modo per sniffare i pacchetti di un indirizzo IP remoto?

Vorrei sapere se è possibile sniffare i pacchetti di un indirizzo IP remoto, in caso affermativo vorrei sapere:

  • qual è la percentuale di successo, intendo la percentuale di pacchetti che vorresti acquisire?
  • Quali sono i vantaggi di proteggere la LAN locale se qualcuno può acquisire tutti i pacchetti da quella LAN semplicemente annusando la connessione WAN?
  • Quali sono i modi per impedirlo, e se esiste un modo per impedire all'attaccante di conoscere le mie domande DNS e da quello sapere a quali siti web sto navigando.
9
Hanan N.

Se si ha il controllo sulla rete, è possibile sniffare il traffico in remoto utilizzando un vlan come destinazione per una porta span e quindi trunking quello dove serve. Puoi farlo anche su reti instradate usando tunnel GRE ma devi controllare la rete.

1) Se hai il controllo della rete dovresti essere in grado di catturare il 100%

2) È possibile crittografare WAN connessioni utilizzando IPSec dall'host all'host o ai router che si connettono al fornitore di servizi per impedire al fornitore di servizi di visualizzare i dati.

3) Sembra più che tu sia preoccupato per lo spyware sulla tua workstation. Se hai malware sulla scatola, in realtà non importa cos'altro fai. Devi pulire la scatola.

7
Paul Ackerman

L'IP è un meccanismo di indirizzamento che si trova al livello 3 del modello OSI. Per definizione, l'unico modo per "fiutare" questi pacchetti è se ti trovi sul percorso del router stesso.

Quindi puoi sniffare con successo i pacchetti sulla tua LAN fintanto che sei su un supporto di trasmissione come determinate topologie Ethernet o wifi senza capacità direzionali di sicurezza. A meno che tu non sia seduto su un router centrale in una struttura di telecomunicazione o introduci con successo rotte in Internet , non hai alcuna possibilità di acquisire pacchetti casuali su più reti.

La storia collegata qui è interessante in quanto mostra quanto siano dinamici questi percorsi. Si suppone che Internet sia tollerante nei confronti del fallimento, quindi si sposta costantemente. Esiste la possibilità di creare accidentalmente o in modo pericoloso una route principale. In sostanza, è possibile acquisire il 100% del traffico che fluisce su tale percorso, il che non equivale a catturare il 100% del flusso di pacchetti specifico. I singoli pacchetti IP possono arrivare lungo percorsi diversi. Una volta che i pacchetti lasciano il computer, vengono sottoposti ai capricci dei router intermedi.

Utilizzare sempre protocolli di crittografia come SSL/TLS quando viene fornita l'opzione.

6
logicalscope

Un modo per catturare il traffico remoto su Internet, quando non ci si trova sulla stessa LAN del destinatario o del mittente, è utilizzare il dirottamento BGP. Kapela e Pilosov hanno fatto un'ottima presentazione su questo argomento in Defcon 16: http://www.securitytube.net/video/17

L'attacco richiede che l'attaccante abbia il controllo su un AS. Può inviare annunci di prefissi falsi con proprietà favorevoli ai suoi pari in modo che possano scegliere di instradare il traffico per la vittima tramite lui. Questi annunci si propagheranno e l'attaccante può catturare una grande porzione di traffico (o anche tutto) destinato alla sua vittima. Per ottenere il traffico consegnato alla vittima, l'attaccante deve mantenere "pulito" uno dei suoi pari in modo da poter trasferire il traffico lì.

L'attacco è complesso e dipende da molti fattori. Internet non è un luogo prevedibile in termini di flusso di traffico. Tuttavia, Kapela e Pilosov danno una dimostrazione dal vivo di successo della cattura del traffico della sede Defcon. Un altro esempio famoso è il Pakistan che dirotta accidentalmente il traffico di YouTube nel 2008 (http://www.circleid.com/posts/82258_pakistan_hijacks_youtube_closer_look). La Cina è stata accusata di dirottare ampie porzioni di traffico Internet negli Stati Uniti (http://bgpmon.net/blog/?p=282).

Un modo per proteggersi è usare la crittografia end-to-end, come usare SSL o IPSec. Ci sono anche alcune iniziative che tentano di rendere più sicuro BGP (SBGP, SOBGP).

6
chris

Non sono certo esattamente a cosa miri la tua domanda - se intendi "Può un utente malintenzionato remoto vedere il mio traffico LAN semplicemente monitorando la WAN port" la risposta è no, a meno che non controllino quel router o il tuo router è stato impostato per trasmettere tutto (non normale)

Per quanto riguarda le vostre specifiche:

qual è la percentuale di successo, voglio dire con che percentuale di pacchetti cattureresti?

Potresti acquisire il 100% se ti trovi nel percorso, ma come dice @greg, quel percorso potrebbe spostarsi

Quali sono i vantaggi di proteggere la LAN locale se qualcuno può acquisire tutti i pacchetti da quella LAN semplicemente annusando la connessione WAN?

Non possono.

Quali sono i modi per impedirlo, e se esiste un modo per impedire all'aggressore di conoscere le mie domande DNS e quindi sapere a quali siti web sto navigando.

Se sono vicini, possono scoprire le tue query DNS.

1
Rory Alsop