Du må være registrert og logget inn for å kunne legge ut innlegg på freak.no
X
LOGG INN
... eller du kan registrere deg nå
Dette nettstedet er avhengig av annonseinntekter for å holde driften og videre utvikling igang. Vi liker ikke reklame heller, men alternativene er ikke mange. Vær snill å vurder å slå av annonseblokkering, eller å abonnere på en reklamefri utgave av nettstedet.
  33 3744
Leste litt om firesheep og firefox. Da ble jeg veldig nysgjerrig, og lastet ned en gammel versjon av firefox og fikk installert firesheep.
Dette skulle gjøre sniffing på eget nettverk til en lek.

Etter at utvidelsen har søkt lenge kommer det ikke opp noe. Derfor leste jeg videre, og idioten meg skjønte ikke før nå at nesten alt av sider har gått over til https. Da er vel firesheep på eget nettverk ubrukelig?

Finnes det andre programmer som gjør samme jobben, så enkelt at en noob som meg vil klare å bruke det?
Limited edition
Moff's Avatar
Nei. Det å overvåke trafikk som sendes fra andre maskiner er selvsagt ikke så enkelt.

Jeg har aldri brukt FireSheep selv, men ut i fra beskrivelsen av utvidelsen, så kan jeg gjøre noen antakelser:
FireSheep er kun i stand til å se trafikk som ikke er kryptert (HTTPS), og i tillegg kun trafikk som går over WEP-krypterte, trådløse nettverk.

Moderne HTTPS er per i dag så si umulig å knekke hvis det brukes siste versjon av TLS. Som et ekstra lag med sikkerhet over HTTPS (eller, teknisk sett under, men du skjønner hva jeg mener), så er trafikk over WiFi også kryptert. Teknikken som brukes for å kryptere denne trafikken varierer også ganske mye mellom hver versjon.

Noe av det eldste som fortsatt kan dukke opp er WEP. Alle tilkoblede maskiner i et WEP-nettverk bruker samme passord, og samme kryptering. Hvis maskinen din er tilkoblet nettverket og dermed kjenner passordet, så kan den også dekryptere trafikk sendt fra andre maskiner på nettverket. Hvis nettverket er opprettet i dette årtusenet, så bruker det mest sannsynlig WPA-PSK i stedet. WPA1, WPA2 og WPA3 er vesentlig mer komplisert å knekke, fordi hver maskin har en unik kryptering - selv om passordet i et PSK-nettverk er likt for alle maskiner. Måten dette oppnås på er at maskinen utfører et handshake med routeren før krypteringen etableres, og resultatet blir unikt for hver enhet. Hvis du imidlertid klarer å overvåke et handshake for en spesifikk maskin, så vil du i teorien være i stand til å dekryptere trafikken som sendes fra den. Det er også teknisk sett mulig å tvinge en hvilken som helst maskin til å utføre et nytt handshake når som helst ved å spoofe en forespørsel om re-autentisering.
Men: Dette kan du ikke bruke FireSheep til, det kan jeg nesten garantere.

Hvis nettverket er enda mer solid, for eksempel et typisk nettverk på en arbeidsplass, så møter du ikke PSK. Mer sannsynlig er det sikret med WPA-Enterprise, hvor hver maskin også har et unikt passord.

Det finnes ganske mange verktøy for denne typen arbeid; et av de mer populære er WireShark. Det er ganske mye å sette seg inn i, men det understreker bare poenget i starten av innlegget - dette er ikke en enkel ting å gjøre i 2019.
Du bør se på wireshark med en Linux maskin og riktig nettverkskort for sniffing av pakker på ditt eget nettverk.
Wireshark til windows støtter ikke sniffing av andres pakker i ett trådløst nettverk (kun multicast og dine egne).

Dersom Ssl er feilkonfigurert kan du også se på sslstrip for å se https trafikk.
Du kan også gå litt lenger og gå for ett man in the middle og rett og slett forfalske/bytte ut sertifikatet ved hjelp av en proxyserver (denne metoden har en del forbehold og for å klare det uoppdaget må du få installert ett sertifikat på klienten).
Veldig enkelt forklart men nok av søkeord for videre lesing.
Sist endret av Rosander; 4 uker siden kl. 10:56.
Tastaturkriger
Deezire's Avatar
Det er ingen feilkonfigurasjon som gjør at SSLStrip fungerer. Det er mangelen på noen security headers. Om brukeren aldri har besøkt siden før vil de bare bli strippet vekk uansett.

Passiv lytting på trådløse nettverk er ikke like moro nå som nesten alt kjører på 5 Ghz med MiMo. Du må i det minste ha et capture card som støtter MiMo og beamforming.
Trådstarter
36 2
Takk for svar.

Nettverket jeg snakker om er mitt eget nettverk. Så jeg bestemmer jo selv hvilket passord etc den skal ha. Men det hjelper kanskje ikke så mye?

Virket som firesheep fanget opp cookies, slik at jeg kunne gå inn på andre sine innlogginger bare ved å klikke på den etc .. Men ja kun via wep og http uten s på slutten ...

Nå er det ikke så mye greier jeg føler jeg få tilgang til bare ved å gjøre det i mitt eget hjemmenettverk, men det hadde vært kjekt å kunne har lyst å klare å lære meg dette. Vet ikke helt hvorfor den brennende interessen er der, men fikk sånne fikse ideer i hodet etter å sett dokumentarer om hvor farlig det er å ha usikre nettverk. At naboen kan hacke seg inn etc. Så tenker jo jeg, at mitt nettverk er jeg jo logget inn på, så hvorfor får ikke jeg sett og lest etc det som andre maskiner og telefoner gjør på mitt wifi? Der kom firesheep inn ... som ikke kan brukes lenger ...

ps ser her https://www.youtube.com/watch?v=TkCSr30UojM at noen bruker en mac. Jeg har en mac. Funker det? eller skal jeg legge inn linux på den?
Sist endret av Amistad; 4 uker siden kl. 19:06.
Trådkutter
zykonaut's Avatar
Kan ikke mye om dette selv da jeg ikke er særlig interessert men du kan jo søke på "packet sniffing." Husker jeg lekte litt med Cain&Abel før i tiden.
Sist endret av zykonaut; 4 uker siden kl. 19:07.
Trådstarter
36 2
Sitat av Rosander Vis innlegg
Du bør se på wireshark med en Linux maskin og riktig nettverkskort for sniffing av pakker på ditt eget nettverk.
Wireshark til windows støtter ikke sniffing av andres pakker i ett trådløst nettverk (kun multicast og dine egne).

Dersom Ssl er feilkonfigurert kan du også se på sslstrip for å se https trafikk.
Du kan også gå litt lenger og gå for ett man in the middle og rett og slett forfalske/bytte ut sertifikatet ved hjelp av en proxyserver (denne metoden har en del forbehold og for å klare det uoppdaget må du få installert ett sertifikat på klienten).
Veldig enkelt forklart men nok av søkeord for videre lesing.
Vis hele sitatet...
takk for god info. Prøvde wireshark på win bare for å teste. den klarer ikke se mine egne nettsøk ... sikkert bedre med linux ...
Limited edition
Moff's Avatar
Operativsystem har ingenting å si. Det er ingenting du kan gjøre i Linux, som ikke er mulig under Windows eller MacOS. For å kunne se trafikk som sendes trådløst fra en ekstern enhet til en router, så må du ha et nettverkskort som støtter såkalt "monitor mode". Hvis kortet ditt støtter dette, skal skal du ha en sjekkboks i Wireshark som lar deg aktivere det når du starter overvåkningen (Command+K / Ctrl + K). Vær oppmerksom på at monitor mode kun er tilgjengelig på trødløse interfacer, og kun hvis interfacet (nettverkskortet) støtter det. Monitor er ikke det samme som promiscuous mode.

Hvis nettverkskortet ditt ikke støtter monitor mode, så kan du likevel overvåke nettverket hvis du har kontroll over routeren. Det du gjør da er å aktivere dumping av all trafikk mot din egen maskin, sånn at routeren videresender en kopi av alt den mottar til deg. Det er ikke alle billige routere som lar deg gjøre dette; som regel må du ha mulighet til å logge på via SSH for å installere og starte programmet som kan dumpe trafikken. Søkeord for mer informasjon om dette er "tcpdump".
Sjekk ut denne Amistad
https://github.com/P0cL4bs/WiFi-Pumpkin

Den funker veldig bra og gjør noe av det samme bare en litt mer kompleks men relativt enkel løsning.
Du trenger ett nettverkskort som støtter AP modus (access point) og en rpi, teknikmagasinet har ett nettverkskort som støtter soft AP.
Men!!!!! Dette kortet kommer i 2 versjoner, den nyeste støtter IKKE soft AP selv om det står det på nettsiden, det skal stå bak på pakken på serienummeret om det er v1 eller v2.
https://www.teknikmagasinet.no/produ...link-tl-wn823n

Her har du mulighet til å gjøre forskjellige ting.
Du kan feks sette opp en WiFi portal som gjør at besøkende må logge inn og feks installere ett sertifikat du har laget for å surfe på nettet.

Da kan du overvåke https trafikk ved hjelp av DNS spoofing og man in the middle angrep.
Men brukeren må som sagt godta sertifikatet ditt, hvis ikke kommer det advarsler i hytt og pine om at sertifikatet du har byttet ut er falsk.

Det er også andre muligheter som forskjellige typer injeksjoner.
Trådstarter
36 2
god kveld og takk for innspill folkens.

Jeg bor jo her, og betaler for fibern, så tilgang til nettverk og router har jeg.

Har det blitt slik i dag da, at om naboen klarer å komme seg inn på min router så har jeg ikke så mye å frykte?
Jeg spør slik fordi det virker jo meget vanskelig bare å få sett hvilke nettsider folk på mitt eget nettverk besøker...

Moff og Rosander ... Jeg skal lese nøye hva dere skrevet
Sitat av Amistad Vis innlegg
god kveld og takk for innspill folkens.

Jeg bor jo her, og betaler for fibern, så tilgang til nettverk og router har jeg.

Har det blitt slik i dag da, at om naboen klarer å komme seg inn på min router så har jeg ikke så mye å frykte?
Jeg spør slik fordi det virker jo meget vanskelig bare å få sett hvilke nettsider folk på mitt eget nettverk besøker...

Moff og Rosander ... Jeg skal lese nøye hva dere skrevet
Vis hele sitatet...
Ja, du behøver som regel mer enn kun tilgang til samme nettverk for å inspisere pakker og avlytte trafikk.
Om noen får tilgang til selve routeren din har de litt flere valgmuligheter men det inkluderer også falske DNS servere og man in the middle angrep dersom det er kryptert trafikk du skal avlytte.
Om du helt enkelt ønsker å se hvilke nettsider som besøkes så kan du sette opp en raspberry pi med pickle og og bruke den som DNS. Det er kjapt og enkelt å sette opp og det finnes drøssevis av guides.
Du vil kunne se hvilken IP som ber om hvilket domene, som oversatt betyr at du kan se hvem som gjør hva, når.

Bonus at du kan blokkere en drøss av trackers og reklame eller spesifikke domener.
Sist endret av i_et_nøtteskall; 3 uker siden kl. 09:13.
Sitat av i_et_nøtteskall Vis innlegg
Om du helt enkelt ønsker å se hvilke nettsider som besøkes så kan du sette opp en raspberry pi med pickle og og bruke den som DNS. Det er kjapt og enkelt å sette opp og det finnes drøssevis av guides.
Du vil kunne se hvilken IP som ber om hvilket domene, som oversatt betyr at du kan se hvem som gjør hva, når.

Bonus at du kan blokkere en drøss av trackers og reklame eller spesifikke domener.
Vis hele sitatet...
Nei, du kan se hvor noen gjør noe, men ikke hva de gjør.
Sitat av Rosander Vis innlegg
Nei, du kan se hvor noen gjør noe, men ikke hva de gjør.
Vis hele sitatet...
IP er spør etter vg.no. Da kan du anta at de leser vg. Men nei, du har rett I at en ikke ser trafikken frem og tilbake.Du kan derimot svært ekkelt gjøre noen gode antakelser.
Faren ved at naboen kommer seg inn på routeren din handler om mer enn at h*n ser hva du driver med. Dels er problemet bruk av din ip til ulovligheter - som fører til at politiet kommer på din dør på jakt etter barneporno i stedet for naboens.
Dernest vil tilgangen til nettverket kunne gi tilgang til enhetene på nettverket. Fortsatt uten at trafikken din blir avlyttet, men det åpner for å utnytte svakheter i os eller programvare. F.eks. for å installere boter eller trojanere. Eller for å avlytte trafikken før den krypteres.
Trådstarter
36 2
takker for engasjement i tråden

Til å begynne med er det mer enn nok at jeg ser hvilke nettsider de forskjellige enhetene spør om. Ser på det som første steg.

Lurte på om jeg skulle kjøpe det nettverkskortet som en snakker om lenger opp. Som støtter noe dere kaller ap modus? Vil jeg da kunne bruke wireshark til å se det? Har brukt programmet et par timer til nå for å trykke å lære div. Finner ingenting som sier hvilke sider som besøkes og hvilke ip som brukes.

Det nærmeste jeg kommer er at jeg ser en ip spør hvem som bruker en annen ip.

Jeg har også lyst å sitte i godstolen å si til en av de andre hjemme : gå inn på en nettside. Så sier jeg hvilken side personen besøker!

Haha det hadde vært artig.
En god begynnelse på å lære ...

Jeg har en grei PC bærbar og en Mac bærbar.
Sist endret av Amistad; 3 uker siden kl. 11:05. Grunn: Automatisk sammenslåing med etterfølgende innlegg.
Sitat av Amistad Vis innlegg
takker for engasjement i tråden

Til å begynne med er det mer enn nok at jeg ser hvilke nettsider de forskjellige enhetene spør om. Ser på det som første steg.

Lurte på om jeg skulle kjøpe det nettverkskortet som en snakker om lenger opp. Som støtter noe dere kaller ap modus? Vil jeg da kunne bruke wireshark til å se det? Har brukt programmet et par timer til nå for å trykke å lære div. Finner ingenting som sier hvilke sider som besøkes og hvilke ip som brukes.

Det nærmeste jeg kommer er at jeg ser en ip spør hvem som bruker en annen ip.

Jeg har også lyst å sitte i godstolen å si til en av de andre hjemme : gå inn på en nettside. Så sier jeg hvilken side personen besøker!

Haha det hadde vært artig.
En god begynnelse på å lære ...

Jeg har en grei PC bærbar og en Mac bærbar.
Vis hele sitatet...
På windows (og Mac?) kan du kun se din egen trafikk og multicast trafikk med wireshark uavhengig av nettverkskortet (altså til og fra din pc's ip).

Har du Linux kan du se all trafikk på ett wlan.

Soft AP modus er rett og slett at nettverkskortet kan operere som en router(accsess punkt) og dermed vil du kunne få tak i andres pakker.
Og siden du er logget inn på samme nettverk kan du også dekryptere trafikken (altså wlan trafikken, ikke Ssl o.l).
Trådstarter
36 2
Sitat av Rosander Vis innlegg

Har du Linux kan du se all trafikk på ett wlan.

).
Vis hele sitatet...
Så det du sier er at om jeg legger inn Linux på en bærbar og kjører wireshark på vanlig måte så får jeg også opp all trafikk fra andre maskiner enn min ?

Beklager at dere må mate meg med teskje ... men er man en gang helt ny på noe så ...
Sitat av Amistad Vis innlegg
Så det du sier er at om jeg legger inn Linux på en bærbar og kjører wireshark på vanlig måte så får jeg også opp all trafikk fra andre maskiner enn min ?

Beklager at dere må mate meg med teskje ... men er man en gang helt ny på noe så ...
Vis hele sitatet...
Ja.
Det er noen få nettverkskort som ikke kan dette på Linux heller, Google "<nettverkskort> promiscuous mode wireshark"

Promiscuous mode
In promiscuous mode the MAC address filter mentioned above is disabled and all packets of the currently joined 802.11 network (with a specific SSID and channel) are captured, just as in traditional Ethernet. However, on a "protected" network, packets from or to other hosts will not be able to be decrypted by the adapter, and will not be captured, so that promiscuous mode works the same as non-promiscuous mode.

This seems to work on Linux and various BSDs, including Mac OS X. On Windows, putting 802.11 adapters into promiscuous mode is usually crippled, see the Windows section below.

Promiscuous mode can be enabled in the Wireshark Capture Options.
Vis hele sitatet...
https://wiki.wireshark.org/CaptureSetup/WLAN
Limited edition
Moff's Avatar
Sitat av Rosander Vis innlegg
Ja.
Vis hele sitatet...
Nei.

Sitat av Moff Vis innlegg
Operativsystem har ingenting å si. Det er ingenting du kan gjøre i Linux, som ikke er mulig under Windows eller MacOS.
Vis hele sitatet...
Jeg vil veldig gjerne se et konkret eksempel på noe som Linux kan gjøre i denne situasjonen, som er komplett umulig å gjøre på Windows (eller MacOS). Det er forøvrig heller ikke WireShark som har ansvaret for å utføre selve sniffingen av trafikk. Under Windows så bruker vi typisk Npcap, som er leddet mellom nettverkskortet og WireShark. WireShark er med andre ord kun et interface i denne sammenhengen.

I det forrige innlegget mitt nevnte jeg også at promiscuous mode ikke er det samme som monitor mode. I TS sitt tilfelle så kan man slippe unna med å bare bruke promiscuous mode. Promiscuous har vesentlig bredere støtte enn monitor, som vil si at sjansen er stor for at nettverkskortet TS allerede har støtter det. Monitor mode er en litt mer sjelden sak, men det koster ikke mye å skaffe et kort som støtter dette heller.

Forskjellen på promiscuous og monitor er imidlertid ganske stor:
- Promiscuous mode lar deg se trafikk som sendes over et nettverk du er tilkoblet, selv om trafikken ikke nødvendigvis er adressert til din maskin. For trådløst inkluderer dette all trafikk på nettverket du er tilkoblet. I et kablet nettverk ser du kun det som går via den porten du er på, og det er ikke nødvendigvis alt. I de fleste hjemmenettverk vil du se all trafikk, men det er ganske enkelt å hindre deg i å overvåke trafikk ved å isolere din maskin. Trådløse signaler er åpenbart ganske vanskelige å isolere på samme måte.
- Monitor mode er et skikkelig overvåkings-modus. Hvis du har et trådløst nettverkskort i monitor mode så ser du all trafikk som sendes, uavhengig av om du er tilkoblet det aktuelle nettverket eller ikke. Dette er det du må ha for å kunne angripe et trådløst nettverk du ikke kjenner passordet til.
Sitat av Moff Vis innlegg
Nei.



Jeg vil veldig gjerne se et konkret eksempel på noe som Linux kan gjøre i denne situasjonen, som er komplett umulig å gjøre på Windows (eller MacOS). Det er forøvrig heller ikke WireShark som har ansvaret for å utføre selve sniffingen av trafikk. Under Windows så bruker vi typisk Npcap, som er leddet mellom nettverkskortet og WireShark. WireShark er med andre ord kun et interface i denne sammenhengen.

I det forrige innlegget mitt nevnte jeg også at promiscuous mode ikke er det samme som monitor mode. I TS sitt tilfelle så kan man slippe unna med å bare bruke promiscuous mode. Promiscuous har vesentlig bredere støtte enn monitor, som vil si at sjansen er stor for at nettverkskortet TS allerede har støtter det. Monitor mode er en litt mer sjelden sak, men det koster ikke mye å skaffe et kort som støtter dette heller.

Forskjellen på promiscuous og monitor er imidlertid ganske stor:
- Promiscuous mode lar deg se trafikk som sendes over et nettverk du er tilkoblet, selv om trafikken ikke nødvendigvis er adressert til din maskin. For trådløst inkluderer dette all trafikk på nettverket du er tilkoblet. I et kablet nettverk ser du kun det som går via den porten du er på, og det er ikke nødvendigvis alt. I de fleste hjemmenettverk vil du se all trafikk, men det er ganske enkelt å hindre deg i å overvåke trafikk ved å isolere din maskin. Trådløse signaler er åpenbart ganske vanskelige å isolere på samme måte.
- Monitor mode er et skikkelig overvåkings-modus. Hvis du har et trådløst nettverkskort i monitor mode så ser du all trafikk som sendes, uavhengig av om du er tilkoblet det aktuelle nettverket eller ikke. Dette er det du må ha for å kunne angripe et trådløst nettverk du ikke kjenner passordet til.
Vis hele sitatet...
Vel, I følge wireshark sin egen nettside er promiscuous mode å regne som ikke fungerende på windows, men det virker på noen få kort.

Uansett så er fortsatt svaret mitt ("ja") som du siterte riktig på TS sitt spørsmål.

Faq-en til wireshark sier følgende:

Monitor mode is not supported by WinPcap, and thus not by Wireshark or TShark, on Windows.
Sist endret av Rosander; 3 uker siden kl. 21:54. Grunn: Automatisk sammenslåing med etterfølgende innlegg.
Limited edition
Moff's Avatar
Det er derfor jeg skriver at det er Npcap som benyttes i WireShark på Windows nå. Alle problemene du refererer til er knyttet til WinPcap, som er foreldet for lenge siden.

Altså; misforstå meg rett; Linux er flott det, men jeg mener det er overkill å anbefale en nybegynner å skifte operativsystem bare for å teste overvåkning, når det er fullt mulig å gjøre det med det operativsystemet de allerede bruker og er vant til. Læringskurven er bratt nok fra før, liksom.
Sist endret av Moff; 3 uker siden kl. 00:43.
Sitat av Moff Vis innlegg
Det er derfor jeg skriver at det er Npcap som benyttes i WireShark på Windows nå. Alle problemene du refererer til er knyttet til WinPcap, som er foreldet for lenge siden.

Altså; misforstå meg rett; Linux er flott det, men jeg mener det er overkill å anbefale en nybegynner å skifte operativsystem bare for å teste overvåkning, når det er fullt mulig å gjøre det med det operativsystemet de allerede bruker og er vant til. Læringskurven er bratt nok fra før, liksom.
Vis hele sitatet...
Jeg er i utgangspunktet enig i det du skriver om å ikke gjøre ting for komplekst, men jeg tror aldri jeg har klart å installere wireshark på en windowsmaskin og at alt har fungert slik det skal ut av boksen.
Så akkurat i denne situasjonen hvor wireshark skal benyttes er linux veien å gå i mine øyne.
Du vil også fort få behov for annen programvare i samme kategori, og der er det faktisk enklere på linux synes jeg.

Dessuten er Wireshark gui basert og ukomplisert å bruke på de fleste linux distroer, det samme er selve distroene også.

Og jeg tok en uhøytidelig test på jobb nå nettopp, installerte wireshark på en surface pro (2017), en aspire S3 og en ukjent HP maskin alle med windows 10 og nyeste wireshark versjon. Ingen av dem kunne se annet enn multicast pakkker og egen trafikk i wireshark selv om promiscuous mode var aktivert på alle nettverkskortene.
Trådstarter
36 2
Sitat av Moff Vis innlegg
Det er derfor jeg skriver at det er Npcap som benyttes i WireShark på Windows nå. Alle problemene du refererer til er knyttet til WinPcap, som er foreldet for lenge siden.

Altså; misforstå meg rett; Linux er flott det, men jeg mener det er overkill å anbefale en nybegynner å skifte operativsystem bare for å teste overvåkning, når det er fullt mulig å gjøre det med det operativsystemet de allerede bruker og er vant til. Læringskurven er bratt nok fra før, liksom.
Vis hele sitatet...
Sitat av Rosander Vis innlegg
Jeg er i utgangspunktet enig i det du skriver om å ikke gjøre ting for komplekst, men jeg tror aldri jeg har klart å installere wireshark på en windowsmaskin og at alt har fungert slik det skal ut av boksen.
Så akkurat i denne situasjonen hvor wireshark skal benyttes er linux veien å gå i mine øyne.
Du vil også fort få behov for annen programvare i samme kategori, og der er det faktisk enklere på linux synes jeg.

Dessuten er Wireshark gui basert og ukomplisert å bruke på de fleste linux distroer, det samme er selve distroene også.

Og jeg tok en uhøytidelig test på jobb nå nettopp, installerte wireshark på en surface pro (2017), en aspire S3 og en ukjent HP maskin alle med windows 10 og nyeste wireshark versjon. Ingen av dem kunne se annet enn multicast pakkker og egen trafikk i wireshark selv om promiscuous mode var aktivert på alle nettverkskortene.
Vis hele sitatet...
Jøss, dere er her enda? Supert!

Jeg har i dag gjort to ting.

1. sjekket wireshark for denne haken for PROM MODE. Denne haken har jeg og den er huket av ( på ) Det skulle vel bety at jeg har denne funksjonen. Jeg kjørte så en scan mens iPhonen min gikk til mange forskjellige adresser. Jeg finner ingenting som ligner på resultater i Wireshark. MEN det kan jo være fordi jeg ikke vet hvor jeg skal lete, eller hva jeg skal se etter.

2. Jeg har gjort klar Linux Mint på en usb penn, klar for å gi en partisjon av laptopen min til dette formålet. Men før jeg tar steget så hadde det jo vært greit om jeg fikk vite om dette går like fint i windows?

Samtidig så er det kanskje greit me linux hvis man klarer å lære disse grunnsteinene for å gå videre? Jeg er normalt oppgående og jævla sta, så har tro. på at man skal klare å lære seg dette selv med en så bratt læringskurve ...

Sitat av Rosander Vis innlegg
Jeg er i utgangspunktet enig i det du skriver om å ikke gjøre ting for komplekst, men jeg tror aldri jeg har klart å installere wireshark på en windowsmaskin og at alt har fungert slik det skal ut av boksen.
Så akkurat i denne situasjonen hvor wireshark skal benyttes er linux veien å gå i mine øyne.
Du vil også fort få behov for annen programvare i samme kategori, og der er det faktisk enklere på linux synes jeg.

Dessuten er Wireshark gui basert og ukomplisert å bruke på de fleste linux distroer, det samme er selve distroene også.

Og jeg tok en uhøytidelig test på jobb nå nettopp, installerte wireshark på en surface pro (2017), en aspire S3 og en ukjent HP maskin alle med windows 10 og nyeste wireshark versjon. Ingen av dem kunne se annet enn multicast pakkker og egen trafikk i wireshark selv om promiscuous mode var aktivert på alle nettverkskortene.
Vis hele sitatet...

Da har jeg fått laget en partisjon på pcen for linux mint. Så har jeg fått bootet fra usb og valgt installere. Da kommer jeg ikke lenger. FOr jeg får opp mange valg om hvor jeg skal installere denne dritten

( beklager formuleringen men jeg hater å starte på noe å ikke komme lenger )

for ingen av partisjonene heter noe som ligner på c: eller f: for den saks skyld. De heter tydeligvis noe slikt som hjgkd7219djfdser3 i linux ...

Noe pekepinn i riktig retning ? Det hadde jo vært typisk å skrive over hele c partisjonen eller d: hvor jeg har mye jeg ikke vil ha slettet.
Sist endret av Amistad; 3 uker siden kl. 20:03. Grunn: Automatisk sammenslåing med etterfølgende innlegg.
I see you...
NAPse's Avatar
Nå skal det sies at jeg ikke vet noe om det er fruktbart å kjøre Linux fremfor Windows når det kommer til pakkesniffing.

Men dersom eneste grunnen til å kjøre Linux er for dette formålet ville jeg heller vurdert en VM eller "Linux live CD" (litt utdatert antar jeg. Skulle vel være mulig med Live USB i disse dager).
Dette er altså ikke fullverdige installasjoner av OS.
Prøv Kali sin bootbare USB https://docs.kali.org/downloading/ka...ve-usb-install
Da er det bare å boote opp, wireshark er preinstallert.

NAPse: Ang VM, dersom nettverkskortet er innebygget vil ikke windows kontrollere dette og bare gi en virtualisert utgave til VM-en, så man i bunn og grunn er like langt dersom kortet ikke virker i promisciuous mode på Windows fra før?
Trådstarter
36 2
Sitat av Rosander Vis innlegg
Prøv Kali sin bootbare USB https://docs.kali.org/downloading/ka...ve-usb-install
Da er det bare å boote opp, wireshark er preinstallert.

NAPse: Ang VM, dersom nettverkskortet er innebygget vil ikke windows kontrollere dette og bare gi en virtualisert utgave til VM-en, så man i bunn og grunn er like langt dersom kortet ikke virker i promisciuous mode på Windows fra før?
Vis hele sitatet...
Takk for tips!

Nå har jeg fått laget en slik usb, og har prøvd wireshark via denne. Denne versjonen inneholder jo masse programmer allerede. Mye man sikkert kan drive å lære seg. Takk skal du ha

Jeg kjørte wireshark på pcen med linux. Huket av automatisk på prom mode. Søkte der mens jeg besøkte 50 nettsteder med iphonen min koblet på samme nettverk. Så stoppet jeg søket, og trykket i vilden sky på alle disse resultatene. Jeg finner ikke noe som minner om nettsider noe sted?

Leter jeg på feil sted?
Gjør jeg det kanskje ikke riktig?
Hvilken laptop/nettverkskort bruker du?
Det er mulig du må se på "Monitor mode" og sniffe alle pakkene i frekvensområdet, for så å dekode pakkene som hører til ditt eget nettverk (høres komplisert ut men wireshark har støtte for dette).

Uansett så finnes det sikkert enklere løsninger i kali dersom du kun skal se http trafikken, da wireshark er veldig omfattende verktøy.

Du har feks Tcpflow (har ikke bruk denne selv).
https://kalilinuxtutorials.com/tcpflow/

Jeg også anbefale å se litt videoer om emnet, denne er ganske god for den forklarer veldig enkelt hva all den forskjellige informasjonen betyr når du ser på pakker.
https://www.youtube.com/watch?v=TkCSr30UojM

I tillegg bør du gå over innstillingene for "resolving hostname" o.l i wireshark, slik at du ikke bare ser IP-er og mac adresser.
▼ ... over en uke senere ... ▼
Trådstarter
36 2
Sitat av Rosander Vis innlegg
Hvilken laptop/nettverkskort bruker du?
Det er mulig du må se på "Monitor mode" og sniffe alle pakkene i frekvensområdet, for så å dekode pakkene som hører til ditt eget nettverk (høres komplisert ut men wireshark har støtte for dette).

Uansett så finnes det sikkert enklere løsninger i kali dersom du kun skal se http trafikken, da wireshark er veldig omfattende verktøy.

Du har feks Tcpflow (har ikke bruk denne selv).
https://kalilinuxtutorials.com/tcpflow/

Jeg også anbefale å se litt videoer om emnet, denne er ganske god for den forklarer veldig enkelt hva all den forskjellige informasjonen betyr når du ser på pakker.
https://www.youtube.com/watch?v=TkCSr30UojM

I tillegg bør du gå over innstillingene for "resolving hostname" o.l i wireshark, slik at du ikke bare ser IP-er og mac adresser.
Vis hele sitatet...
Tusen takk for hjelpen så langt. Jeg setter stor pris på det.

Jeg har ikke skrevet her inne på en stund, fordi jeg har vært for opptatt til å prøve og feile.

Jeg har fått laget en kali usb, og den starter fint på den ene pcen min. Jeg fant ut i ettertid at jeg ville bruke en annen laptop til dette formålet.

Jeg lagde en partisjon på 100 gb som jeg tenkte installasjonen skulle få. Altså jeg ville ha den fra usb til pc med dualboot.

Jeg restartet den nye pcen med usb stick i. jeg har også disable safeboot og dermed så booter den fra usb. Jeg får opp startsiden til kali fra usb, og første valget er Live system eller start installer.

Uansett hvilket valg jeg tar får jeg kun opp en feilmelding:

error invalid buffer alignment 1387572160

Jeg har googlet meg i hel, men finner ikke noe tekst som forteller meg hva denne erroren er og hvordan jeg løser denne. SÅÅÅÅÅ jeg måtte spørre her inne igjen ...

Noen som vet?
Det er antagelig en bedre løsning for deg å installere virtualbox eller vmware og virtualisere kali. På den måten får du lett installert or evt rullet tilbake (bruk snapshots) når du "rm -R /" på et eller annet tidspunkt.

Kali virtualbox og vmware Images finner du her: https://www.offensive-security.com/k...mage-download/
Sist endret av i_et_nøtteskall; 1 uke siden kl. 22:12.
Sitat av Moff Vis innlegg
Det er ingenting du kan gjøre i Linux, som ikke er mulig under Windows eller MacOS.
Vis hele sitatet...
Jo det er det. Det er haugevis med ting en kan gjøre under linux som ikke går under windows. For eksempel kan en på linux oppdatere systemet sitt uten å omstarte. I tillegg støtter Linux vesentlig flere prosessorarkitekturer enn windows.
Sist endret av ThinkpadX200; 1 uke siden kl. 07:40.
Trådstarter
36 2
Sitat av i_et_nøtteskall Vis innlegg
Det er antagelig en bedre løsning for deg å installere virtualbox eller vmware og virtualisere kali. På den måten får du lett installert or evt rullet tilbake (bruk snapshots) når du "rm -R /" på et eller annet tidspunkt.

Kali virtualbox og vmware Images finner du her: https://www.offensive-security.com/k...mage-download/
Vis hele sitatet...
Takk for svar.

Hva er forskjellen på virtualbox og vmware ?
eller bruker man vmware i virtualbox ?

Var ikke så veldig forklarende på siden.
De gjør det samme, men VMware trenger lisens for noen funksjoner der VirtualBox er helt gratis for personlig bruk. Det er egentlig et spørsmål om preferanse utover det, men gå for VirtualBox hvis du ikke allerede skulle ha en lisens.

For å installere må du legge til Kali Linux .iso filen som en disk i de spesifikke VM-innstillingene (et sted under lagring -> Optisk stasjon eller noe, hvis jeg husker rett). Jeg vil igjen anbefale å heller bruke det ferdige imaget jeg linket tidligere. Da er du good to go, bare bytt passord hvis du skal bruke det utenfor lokalnettet ihvertfall.
Trådstarter
36 2
Sitat av Rosander Vis innlegg
Sjekk ut denne Amistad
https://github.com/P0cL4bs/WiFi-Pumpkin

Den funker veldig bra og gjør noe av det samme bare en litt mer kompleks men relativt enkel løsning.
Du trenger ett nettverkskort som støtter AP modus (access point) og en rpi, teknikmagasinet har ett nettverkskort som støtter soft AP.
Men!!!!! Dette kortet kommer i 2 versjoner, den nyeste støtter IKKE soft AP selv om det står det på nettsiden, det skal stå bak på pakken på serienummeret om det er v1 eller v2.
https://www.teknikmagasinet.no/produ...link-tl-wn823n

Her har du mulighet til å gjøre forskjellige ting.
Du kan feks sette opp en WiFi portal som gjør at besøkende må logge inn og feks installere ett sertifikat du har laget for å surfe på nettet.

Da kan du overvåke https trafikk ved hjelp av DNS spoofing og man in the middle angrep.
Men brukeren må som sagt godta sertifikatet ditt, hvis ikke kommer det advarsler i hytt og pine om at sertifikatet du har byttet ut er falsk.

Det er også andre muligheter som forskjellige typer injeksjoner.
Vis hele sitatet...
Snakket med Teknikmagasinet og de sier det er versjon 3 de har. Tror du den funker som versjon 1? Siden versjon 2 ikke fungerer ?

Jeg må nesten bestille på nett så ikke lett å vite ...