Analizando el trafico del msn messenger por red lanHola.
Estoy haciendo mis pruebas de sniffing al msn messenger. Para eso, tengo dos laboratorios: La lan de mi universidad de la cual soy admin, y tengo mi laboratorio en mi casa, con un router, mi pc con base en xp y betwin (mi cpu son 3 pc), y un vmware que arranque con knoppix.
Desde el linux estoy haciendo pruebas de sniffing. Mientras en una pantalla tengo el knoppix con el ettercap que trae precompilado, en la otra pantalla estoy navegando en windows. Para efectos del snapshot navego en xp y en vmware al mismo tiempo.
Mientras estaba en mi U, me hice un auto sniffing, pero desdel el mismo gateway (un proxy freebsd), por lo tanto era de modo pasivo.
Note que al hablar por el msn messenger, mi conversacion no iba encriptada, pero lo que recibia de mi corresponsal era una direccion http que veia con el metodo post.
Mientras me hacia el auto sniffing, hablaba con unos amigos. Aqui un estracto editado:
-----
La topologia que tengo: proxy squid en freebsd, estoy escribiendo desde una maquina en windows98, al escribir, en la red local MIS CONVERSACIONES no van encriptadas, yo puedo leer lo que hablo por msn, o sea, lo que sale desde mi msn.
Pero los mensajes de mis contactos los leo por el metodo post html.
Me refiero a que los de msn PUBLICAN LOS MENSAJES EN UN SERVER IIS
Los mensajes se ven como: post
http://server.com/gateway.dll?SessionID=2342423432423.333 Mejor dicho, las conversaciones son guardadas en una session del server de msn se suben al server, y desde ahi se bajan a la ventana del messenger con el metodo post
Lo cual me da una idea: Un sniffing activo podria cambiar los datos del msn messener. En vez de darle post
http://servermsn podria darle post
http://mipaginaconcodigomalicioso Ettercap tiene plugins para interferir en la sesiones tcp.
En este momento tengo el sniffer sobre el propio proxy, por lo tanto no puedo interferir, porque estoy en modo pasivo. Solo puedo interferir desde una tercera maquina diferente al gateway y a la victima
Para hacer esto, se necesita un gateway, un cliente con el msnmessenger y una tercera maquina con ettercap. En la red de un cyber se pude hacer. Existe una version de ettercap para windows.
Ejemplos:
http://205.160.34.58/snapshot1.jpg http://205.160.34.58/snapshot2.jpg ------
Luego de eso, llegue a mi casa en donde me puse a hacerme otro auto sniffing. Pueden mirar esto:
http://foro.elhacker.net/index.php/topic,37094.0 para hacer un mini lab de redes.
Haciendo mis pruebas, note que existe una gran diferencia entre redes bajo proxys y redes con dispositivos transparentes como routers con NAT. En este caso, tanto lo que se envia como lo que se recibe no lleva encriptacion.
http://205.160.35.24/sniff04.JPG (sorry si va lento o si algunas veces no se ve, porque es mi pc [no intenten hackearme porque es un router])
Pero ademas de eso, tambien pude concluir que:
-Si se trata de iniciar sesion con el Active Dissector ON, no se puede!! msn dice que hay un error y no puede iniciar. Pero si se deshabilita, se inicia, se puede ver las conversaciones del msn messenger sobre redes lan conmutadas. (eso diferencia al tipico sniffer de msn que solo funciona sobre redes con hub)
-Ettercap con active dissector puede conseguir passwords de inicio de sesion en sistemas de correo electronico como hotmail.
En esta pequeña investigacion me queda tratar de inyectar texto con las cabeceras adecuadas usando el ettercap para interferir en el msn messenger. Ademas, acomodar un filtro para que el sniffer de solo texto (nada de cabeceras) se visualice correctamente.
Los invito a hacer su propio laboratorio a a hacer sus pruebas para agregar mas a esta investigacion.
Autor
En línea
no se pero ya esta mas que claro el tema de snifear una lam con tal cual snifer, es mas que claro es vulnerable el msn,saludos
