Thank you for reading this post, don't forget to subscribe!
Dsniff – один из наиболее полных и мощных свободно распространяемых наборов инструментов для перехвата и обработки аутентификационной информации.
Его функциональность и многочисленные утилиты сделали его распространенным инструментом, используемым злоумышленниками для перехвата паролей и аутентификационной информации из сетей.
Сетевой коммутатор не передает пакеты всем в сети так же, как сетевой концентратор, и поэтому теоретически человек в сети не может просматривать чужой трафик.
Однако есть способы преодолеть эту проблему, которые заключаются в выполнении подмены arp.
Dsniff
В этой статье мы просто обсудим, как это делается, без обсуждения теории, стоящей за этим процессом.
Для начала необходимо установить необходимую программу, в данном случае это пакет dsniff, который содержит программу arpspoof, которая нам нужна.
В Ubuntu или любом другом дистрибутиве на базе Debian он устанавливается с помощью команды apt-get, как показано ниже;
Установка (Ubuntu)
Включении переадресации IP-адресов
Чтобы убедиться, что трафик перенаправляется в реальный пункт назначения, когда он достигает нашей машины, необходимо выполнить следующую команду;
Выполним спуфинг ARP
Следующая команда скажет шлюзу “Я – 192.168.0.100”, а следующая команда скажет 192.168.0.100 “Я – шлюз”.
Таким образом, весь трафик, который должен идти на шлюз с машины и наоборот, будет сначала проходить через нашу машину, а только потом направляться к реальной цели.
Ettercap
Однако существуют программы, позволяющие упростить весь процесс.
Одной из самых популярных программ для этого является ettercap.
Ettercap может выполнять спуфинг arp, а также многое другое.
В Ubuntu пакет называется ettercap-gtk;
Установка (Ubuntu)
1 |
$ sudo apt-get install ettercap-gtk |
Запуск спуфинга ARP (графический интерфейс пользователя)
Запуск программы с ключом -G запустит ее в GTK, а не в ncurses.
В меню выберите следующее;
1 |
Sniff -> Unfied sniffing |
И в подсказке выберите сетевой интерфейс, который будет использоваться.
Обычно это eth0
1 |
Network Interface: eth0 |
В новом меню выберите следующее, чтобы добавить в список все хосты в сети
1 |
Hosts -> Scan for hosts |
Следующие действия выполнят подмену arp для всех в сети.
1 2 |
Mitm -> Arp poisoning -> Ok Start -> Start sniffing |
Выполним спуфинг ARP
Следующая команда выполнит то же самое, что и в примере выше, за одну команду;