Примеры команды dsniff на Linux
Dsniff – один из наиболее полных и мощных свободно распространяемых наборов инструментов для перехвата и обработки аутентификационной информации.
Его функциональность и многочисленные утилиты сделали его распространенным инструментом, используемым злоумышленниками для перехвата паролей и аутентификационной информации из сетей.
Сетевой коммутатор не передает пакеты всем в сети так же, как сетевой концентратор, и поэтому теоретически человек в сети не может просматривать чужой трафик.
Однако есть способы преодолеть эту проблему, которые заключаются в выполнении подмены arp.
Dsniff
В этой статье мы просто обсудим, как это делается, без обсуждения теории, стоящей за этим процессом.
Для начала необходимо установить необходимую программу, в данном случае это пакет dsniff, который содержит программу arpspoof, которая нам нужна.
В Ubuntu или любом другом дистрибутиве на базе Debian он устанавливается с помощью команды apt-get, как показано ниже;
Установка (Ubuntu)
Включении переадресации IP-адресов
Чтобы убедиться, что трафик перенаправляется в реальный пункт назначения, когда он достигает нашей машины, необходимо выполнить следующую команду;
см. подробнее:
🖧 Как отключить / включить IP форвардинг на Linux
Выполним спуфинг ARP
Следующая команда скажет шлюзу “Я – 192.168.0.100”, а следующая команда скажет 192.168.0.100 “Я – шлюз”.
Таким образом, весь трафик, который должен идти на шлюз с машины и наоборот, будет сначала проходить через нашу машину, а только потом направляться к реальной цели.
С помощью этого мы можем запустить любой инструмент анализа пакетов, такой как tcpdump или wireshark.
Ettercap
Однако существуют программы, позволяющие упростить весь процесс.
Одной из самых популярных программ для этого является ettercap.
Ettercap может выполнять спуфинг arp, а также многое другое.
Ранее мы его упомянали здесь:
- 🕵️ Обзор различных MITM-атак с помощью Xerosploit
- 🕵️ Обзор инструментов MITM атак для исследователей безопасности
- 🐦 Parrot OS Security edition – это настольный дистрибутив Linux, предназначенный для администраторов безопасности.
- 💻 Как установить инструменты безопасности с помощью Homebrew на Mac
В Ubuntu пакет называется ettercap-gtk;
Установка (Ubuntu)
$ sudo apt-get install ettercap-gtk
Запуск спуфинга ARP (графический интерфейс пользователя)
Запуск программы с ключом -G запустит ее в GTK, а не в ncurses.
В меню выберите следующее;
Sniff -> Unfied sniffing
И в подсказке выберите сетевой интерфейс, который будет использоваться.
Обычно это eth0
Network Interface: eth0
В новом меню выберите следующее, чтобы добавить в список все хосты в сети
Hosts -> Scan for hosts
Следующие действия выполнят подмену arp для всех в сети.
Mitm -> Arp poisoning -> Ok Start -> Start sniffing
Выполним спуфинг ARP
Следующая команда выполнит то же самое, что и в примере выше, за одну команду;
Примеры команд dsniff
1. Для мониторинга сети на наличие небезопасных протоколов:
# dsniff -m [-i interface] [-s snap-length] [filter-expression]
2. Чтобы сохранить результаты в базе данных, а не выводить их:
# dsniff -w gotcha.db [other options...]
3. Чтение и вывод результатов из базы данных:
# dsniff -r gotcha.db
¯\_(ツ)_/¯ Примечание: Информация для исследования, обучения или проведения аудита. Применение в корыстных целях карается законодательством РФ.