Форум АНТИЧАТ - Простой сниффинг в локальных сетях с помощью Dsniff

Простой сниффинг в локальных сетях с помощью Dsniff.

Прочитав в книге о сниффинге и увидев название этого пакета, сразу же решил его поставить и затестить. Прежде всего, мне понравилась функциональность, простота использования, набор дополнительных программ. Что же умеет этот сниффер?

Перехват паролей (POP, FTP, HTTP, SMTP, NIS, ICQ, …)
Перехват сеансов (ICQ, AIM, IRC)
Перехват электронной почты (POP,SMTP)
Перехват URL`браузеров.
Arp – спуффинг и флудинг.
Перехват файлов NFS.
Атаки mitm.

Если честно я не смог испытать и попробовать все, но некоторые вещи получились, и хотел бы описать их для тех, кому интересно.

Химический состав:

Arpspoof , Urlsnarf, Dsniff, Mailsnarf, Msgsnarf, Macof, Sshmitm, Webmitm, Filesnarf, Tcpkill, Dnsspoff.

Не много об использовании.

Arpspoof, спуфит указанный вами ip-адрес.

Пример:

arpspoof <IP>
arpspoof 192.168.0.2

У этого компьютера будет, выходит сообщение, что ip-адрес занят и используется в сети, при этом иногда нарушается работа некоторых сетевых программ. К примеру, спуфинг кс-сервака закончился диссконектом всех клиентов.:)

Urlsnarf, перехват URL. Просто запускаем и ждем, все выводится прямо на экран, можно перенаправить в файл.

Пример:

Цитата:

urlsnarf > url.log( Ждем…)

192.168.21.21 - - [19/Mar/2007:02:58:30 +0300] "GET http://club.itdrom.com/gallery/gal_source/delphi/d-a-p2 HTTP/1.1" - - "http://club.itdrom.com/gallery/gal_source/delphi/" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)"

Что нам дают эти на первый взгляд не нужные url? Можно узнать пароли к некоторым сайтам, где бывает человек, версии ОС, браузера.

Dsniff, основной сниффер, перехват POP, AIM, HTTP, FTP, NIS, NNTP…. Использовать лучше в фоне, а вывод направить в файл.

Пример:

Цитата:

nohup dsniff 2>1 >> ds.log &

03/19/07 00:30:13 tcp 192.168.4.66.1044 -> 64.12.200.89.5190 (aim)
418823169
18

03/19/07 02:56:03 tcp 192.168.2.61.1744 -> 194.67.23.102.110 (pop)
USER daniil98
PASS 1234567890

03/19/07 02:16:26 tcp 192.168.2.61.1540 -> 213.24.222.132.21 (ftp)
USER fc1
PASS fc1

После 15 минут сниффинга результат неплохой.

Остальные утилиты:

Macof - arp-флудер сети.
Dnsspoof – подделывает PTR-записи DNS(??).
Filesnarf – перехватывает файлы по NFS.
Msgsnarf – перехват сообщений IRC, ICQ, AIM (не знаю почему так и не заработал…)
Mailsnarf – перехват почты POP, SMTP. (ноу эффект…)
Sshmitm – какая-то сложная атака перехвата сеансов на SSH (не пробовал, да и врятли это получится…)
Webmitm – тоже только для web.

Некоторые моменты:

Я думаю установка сниффера не вызовет у вас проблем, в моей системе это apt-get install dsniff.
Сниффинг происходил на свитче, к которому подключен шлюз.
Во все пароли я добавил изменения.
download_dsniff

Ну вот и все, пока. fYt