ARP sniffning / LM hash

Jag undrar vilket certifikat du har?
PMa om du inte vill skrika högt.

Ni verkar ha blandat ihop saker och ting.
Det går INTE att arp-spoofa till sig trafik som kommer ifrån en dator utanför ditt eget LAN (en dator som sitter utanför DIN router/gateway). Ni som påstår motsatsen vill jag gärna höra om hur ni har gjort och varför ni ännu inte sniffat till er Bill Gates battle.net lösen.

Iglo, vad menar du med "Klart att du kan köra utanför din egna switch"?

A-------------SWITCH--------------B
.................. /.......\
SWITCH-----/..........\-------ROUTER
...|...|....................................|..... ..X......Y
...|...|....................................|..... ..|......|
...C...D...................................|-----SWITCH----Z

Med min fina (ovettiga) bild ska jag försöka förklara.
A B C D är via swticharna koppladae till varandra inom samma nät.
En av SW är kopplade till en router som i sin tur är kopplad till en ny switch.
I denna är datorerna X Y Z kopplade inom samma nät.

Nåja,
finns inte mycket att säga, men A B C D kan alla arp-spoofa varandra men ej X Y eller Z.
På samma sätt kan X Y Z spoofa varandra men ej över genom routern.
Detta pga. det faktum att man för att kunna arp-sniffa/spoofa måste trilskas med MAC adresser.
Vi säger så här, C har mac adressen CC:CC och A har AA:AA etc.
Ex. om A vill ha alla trafik som egentligen ska till C så skickar han ut falska ARP reply paket till B och D och säger "Tja mitt IP är CC.CC.CC.CC och min MAC är AA:AA"
Alla datorer uppdaterar sina ARP-tabeller och kommer i fortsättningen att skicka all trafik ämnad till ip: CC.CC.CC.CC till MAC adressen AA:AA. Switchen letar upp denna MAC och skickar trafiken till "rätt" dator.
Anledningen till att man inte kan arpa över en router är för att så fort paketet kommit förbi routern försvinner MACadressen. En MAC kan endast hållas och användas inom ett eget LAN. Den kommer inte ut.

Äh jag vet inte hur mycket ni förstod, förklarar lite konstigt.
Men fråga över det som är oklart!

Här kommer dock ett dumt inlägg till från min sida...

Först så tackar jag för all svar och hjälp jag har fått.
Om jag har förstått det rätt så kan jag inte komma åt ett annat nät utan att behöva gå via huvudswichen där servarna e uppkopplade på, för servrana själv skickar ut arp tables och tycker det är skumt å förhindrar någon annan gör det.


datorer......datorer.......datorer
....\..............|.............../
..swich.......swich........swich
.......\...........|............/
...........huvud swichen
...................|..........
...........server datorer (gateways, login servrar, mail servrar etc)

Mina arp tables går inte förbi huvud-swichen pga säkerhet el /och jag är för svag, långt därborta gemtemot servrarnas arp tables?


Sedan har jag en sak till som inte berör detta direkt, utan en fråga till gargamel..

Jag får inte igång John the Ripper =(
Jag förstår mig inte på det. För att dra in LM hash i det så vill dom man ska köra extra programmet unafs för att få fram lösenordet från det binära (?)
Ska jag använda unafs eller bara köra in lösenordet i programet?
Lösenordet ser ut som följande:
tlärare:"":"":37D8E864FEAF6BF80F144999B2DEC1D7B662 D51AA8B5B4B5:54A0761CAC5EAB4D4C4302958AF3C6AF1F8C8 3971D91B987:4 1354A82E11CA5BA
Lägger man in det så direkt i John så hittar den 0 lösenord, och kör jag unafs så vill den man ska skriva "unafs DATABASE-FILE CELL-NAME"
där cellname inte är tlärare.

Hur sätter jag in lösenordsraden i John?

1: Jag har CNAP cert. Pluggade här -> http://cisco.netacad.net

2: Detta baserar jag på mina egna försök på min skola, om det inte skulle gå att ARP spoofa utanför sin egna switch så skulle jag bara ha fått lösen från dom 3 andra datorerna som satt i "min" switch.
Men när jag satt med ettercap på skolan så fick jag i stort sett varenda lunarlogin, så det kan inte ha varit dom 3 andra datorerna som satt i min switch.

Och eftersom att ett ARP Broadcast inte bara fastnar i den första switchen utan skyfflas vidare ut igenom dom andra switcharna så funkar det att ARP spoofa utanför din "egna" switch. (Vilket jag har lärt mig i Cisco kursen)
Det som vid närmare eftertanke inte går att göra är att köra utanför "din" router.
Eftersom att en router blockar ARP broadcasts. Så på den punkten hade jag fel.

Hehe, Switch till Switch är i samma lan, utanför routern är inte samma lan. Du hade fel på alla punkter

Så det menar du inte?
Men om du läser hela quoten så fattar du kanske att det är ett svar på en fråga....