реализация Mitm атаки

[Rook]

Есть в доступе удаленный роутер. Цель заключается в прослушивании трафика,роутер работает на статических настройках от провайдера.
Что нужно поставить в роутере что бы через wireshark прослушать трафик?
Если в адресе дня поменять на тот где будет слушаться трафик,будет работать?

 

[ftp13]

Точно не отвечу на твой вопрос (сложно для меня), но несколько идей есть.
1)Сторонний хост юзаешь и трафик направляешь туда (vpn/proxy/ssh) все еще зависит от роутера (что он могет).Или в таблицу маршрутизации указываешь что то типа 0.0.0.0/0 через ip_addres_hosts, а на том хосте ставишь сниффер, и выпускаешь трафик с другого интерфейса.
2)Закрепляешься в удаленной сети, захватываешь хост, и на роутере включаешь portmirroning. сохраняешь на хосте и потихоньку потом забираешь, или парсишь там же на месте.
P.S:не советы это вовсе, а идеи.

 

[Rook]

Точно не отвечу на твой вопрос (сложно для меня), но несколько идей есть.
1)Сторонний хост юзаешь и трафик направляешь туда (vpn/proxy/ssh) все еще зависит от роутера (что он могет).Или в таблицу маршрутизации указываешь что то типа 0.0.0.0/0 через ip_addres_hosts, а на том хосте ставишь сниффер, и выпускаешь трафик с другого интерфейса.
2)Закрепляешься в удаленной сети, захватываешь хост, и на роутере включаешь portmirroning. сохраняешь на хосте и потихоньку потом забираешь, или парсишь там же на месте.
P.S:не советы это вовсе, а идеи.

Под сторонним хостом вы имеете ввиду выделенный сервер типа vds?

 

[ftp13]

Под сторонним хостом вы имеете ввиду выделенный сервер типа vds?

Да не важно, vds, захваченный хост, роутер, любое устройство через которое можно гнать траффик

 

[Wenzel]

Да не получится у вас удаленно это сделать. Как вы в обычный роутер подкиньте статику провайдера а шлюз свой, у жертвы просто инет отвалится и вы доступ потеряете к устройству.

 

[Rook]

Да не важно, vds, захваченный хост, роутер, любое устройство через которое можно гнать траффик

Из коробки в kali или парот можно так сделать? Типа нгрока поднимать надо что-то?

Да не получится у вас удаленно это сделать. Как вы в обычный роутер подкиньте статику провайдера а шлюз свой, у жертвы просто инет отвалится и вы доступ потеряете к устройству.

То есть никак не прослушать ?

 

[Wenzel]

Только если хост в сети поиметь. На самом роутере тоже сомнительно, что вы трафик сможете перенаправить незаметно.

 

[Rook]

Только если хост в сети поиметь. На самом роутере тоже сомнительно, что вы трафик сможете перенаправить незаметно.

А если днс подменой?

 

[Wenzel]

Тогда запрос на вашем сервере днс разрезолвится в нужный вам адрес. Что делать дальше? Поднимать сервер и полностью копировать сервис нужный пользователю? Затратно и не просто...

 

[Rook]

Тогда запрос на вашем сервере днс разрезолвится в нужный вам адрес. Что делать дальше? Поднимать сервер и полностью копировать сервис нужный пользователю? Затратно и не просто...

Вообщем это тупиковая ситуация я тут ничего нельзя сделать?

 

[Wenzel]

Вообщем это тупиковая ситуация я тут ничего нельзя сделать?

Смотря что вы хотите получить. Просто весь трафик удалённо слушать не получится у вас.

 

[Rook]

Смотря что вы хотите получить. Просто весь трафик удалённо слушать не получится у вас.

Хочется узнать какие сайты посещает пользователи которые подключены к роутеру

 

[Wenzel]

Посмотрите что роутер умеет в плане логирования, может ничего изобретать ненужно.

 

[Rook]

Посмотрите что роутер умеет в плане логирования, может ничего изобретать ненужно.

Tp-link Archer c50
Смотрел,там нету ничего такого. Только системный журнал и кол-во пакетов

 

[UserName011]

Хочется узнать какие сайты посещает пользователи которые подключены к роутеру

В таком случае действительно можно попробовать поднять логирующий DNS-сервер.
Если появится какой-то ресурс, от которого хочется получить пароль, можно попробовать Social-Engineering Toolkit и клонировать интересующую страницу авторизации, а в своем DNS создать нужную запись на адрес SET. С HTTP такое должно сработать без проблем, но в наше время скорее всего браузер ругнется что серт не валидный.

 

[Rook]

В таком случае действительно можно попробовать поднять логирующий DNS-сервер.
Если появится какой-то ресурс, от которого хочется получить пароль, можно попробовать Social-Engineering Toolkit и клонировать интересующую страницу авторизации, а в своем DNS создать нужную запись на адрес SET. С HTTP такое должно сработать без проблем, но в наше время скорее всего браузер ругнется что серт не валидный.

Дак тело в том что конечной целью является узнать ресурс который посещает цель и все

 

[UserName011]

Дак тело в том что конечной целью является узнать ресурс который посещает цель и все

Чем не подходит вариант поднять свой ДНС, прописать его настройки на роутере и смотреть в логи?

 

[Wenzel]

Чем не подходит вариант поднять свой ДНС, прописать его настройки на роутере и смотреть в логи?

Человек может не пользоваться DNSом выдаваемым по DHCP, поставит он на интерфейсе 8.8.8.8 и все.

 

[UserName011]

Человек может не пользоваться DNSом выдаваемым по DHCP, поставит он на интерфейсе 8.8.8.8 и все.

Может. А еще может использовать DoH, Tor или VPN и весь DNS трафик перенаправлять через туннели. Тут смотреть надо.
К этой же точке могут подключаться мобильные устройства, в таком случае с ненулевой вероятностью владелец не стал бы заморачиваться с ними и настраивать DNS на каждом и можно узнать хотя бы часть посещаемых ресурсов.
Или может есть возможность создать на роутере виртуальный интерфейс с адресом 8.8.8.8/32 и настроить грамотно маршрутизацию, тогда трафик себе же должен уйти.