Dsniff

Un article de Backtrack-fr.

Sommaire 1 Introduction 2 Dsniff 2.1 Usage 2.2 Options 2.3 Exemples d'utilisation 3 Filesnarf 3.1 Usage 3.2 Options 3.3 Exemples d'utilisation 4 Mailsnarf 5 Urlsnarf 6 Msgsnarf 7 Webspy 7.1 Usage 7.2 Options 7.3 Exemples d'utilisation 8 Dnsspoof 8.1 Usage 8.2 Options 8.3 Exemples d'utilisation 9 Arpspoof 9.1 Usage 9.2 Options 9.3 Exemples d'utilisation 10 Macof 11 Sshmitm 12 Webmitm 12.1 Usage 12.2 Options 12.3 Exemples d'utilisation 13 Liens externes

[modifier] Introduction

Dsniff est à la fois une suite d’utilitaire et un utilitaire lui-même d’audit réseau permettant aisément de sniffer les passwords circulants en claire, dans des protocoles non sécurisé.

Afin de ne pas vous perdre dans les différents programmes de sa suite, nous les regrouperons sur cette page.

Ainsi, Il détecte automatiquement les protocoles d’application, en capturant seulement les données interressantes (Des mots clefs : pass, user,...). Elles conçernent les sessions FTP, telnet, SMTP, HTTP, POP, NNTP, IMAP, SNMP, LDAP, rlogin, RIP, OSPF, PPTP, AIM, IRC,...

Chacun de ses programmes a un but préçis (capture de mail, de fichier, d'url...). Dsniff est beaucoup plus efficace à utiliser durant un MITM, c'est pourquoi on le retrouve souvent utilisé en complément de Ettercap.

Version actuelle : 2.4

[modifier] Dsniff

[modifier] Usage

dsniff [-cdmn] [-i interface] [-s snaplen] [-f services]

      [-t trigger[,...]] [-r|-w savefile] [expression]

[modifier] Options

      -c     Perform  half-duplex TCP stream reassembly, to handle asymmetrically routed traffic
               (such as when using arpspoof(8) to intercept client traffic bound for the local gateway).

      -d     Activer le mode debug (ce qui détaille toutes les actions du logiciel).

      -m     Permet la détection automatique de protocole.

      -n     Ne pas résoudre les adresses ip en host.

      -i interface
             Utiliser l'interfaçe de la carte réseau interface pour écouter.

      -s snaplen
             Taille maximum en octet des données à extraire du paquet (1024 par défaut).

      -f services
             Focaliser la capture uniquement sur un service. Vous en avez la liste dans /etc/services

      -r savefile
             Lire un fichier de capture sauvegardé par dsniff (avec l'option -w)

      -w file
             Sauvegarde une session de capture

      expression
             Utilisez une expression de filtrage tcpdump

[modifier] Exemples d'utilisation

Pour capturer tous les logins/pass circulant à travers sa carte réseau (notre interfaçe réseau est eth0) :

 bt ~ # dsniff -i eth0 

Pour les enregistrer dans un fichier :

 bt ~ # dsniff -i eth0 -w pass.txt

Pour capturer tous les logins/pass du service ftp :

 bt ~ # dsniff -i eth0 -f ftp

Axer le sniffing que sur une adresse du réseau grâce à une expression tcpdump (exemple 192.168.1.18)

 bt ~ # dsniff src 192.168.1.18

[modifier] Filesnarf

Filesnarf permet de sniffer des fichiers qui transitent par le protocole NFS (NFSv4.1 aussi?). Celui-ci s'utilise simplement en ligne de commande.

[modifier] Usage

filesnarf [-i interface] [[-v] pattern [expression]]

[modifier] Options

      -i interface
             Spécifier l'interfaçe réseau à utiliser.

      -v    "Versus" mode. Invert the sense  of  matching,  to  select  non-
             matching files.

      pattern
             Spécifier un texte à filtrer dans la recherche de fichier

      expression
             Spécifier un filtre tcpdump pour sniffer le trafic

[modifier] Exemples d'utilisation

Ecouter le réseau des échanges de fichier NFS sur l'interfaçe eth0:

bt ~ # filesnarf -i eth0 

Utiliser une expression de tcpdump qui capture tous les paquets émis par 192.168.1.10 du protocole tcp, tout celà sur l'interfaçe rausb0

bt ~ # filesnarf -i rausb0 and src 192.168.1.10 and tcp

Rechercher tout document qui contient le texte "password", l'interfaçe n'est pas mentionné, filesnarf prendra automatiquement celle active.

 bt ~ # filesnarf -v "password"

[modifier] Mailsnarf

Mailsnarf part du même principe que Filesnarf, sauf que celui-ci capture le courrier électronique des protocoles POP (Service pour récupurer ses mails : port 109/110) et SMTP (Service pour envoyer des mails : port 25).

Les options et les exemples d'utilisation sont les mêmes que Filesnarf

[modifier] Urlsnarf

Ulrsnarf va loggé toutes les requêtes visant le trafic HTTP. Il surveille par défault les ports 80, 8080, et 3128.

Les options, et exemples d'utilisation sont les mêmes que Filesnarf.

[modifier] Msgsnarf

Ce programme est capable d'enregistrer tous les messages privés envoyés à travers Instant Messenger d'AOL, ICQ, mais également des messages IRC, MSN Messenger, et Yahoo Messenger.

Les options, et les exemples d'utilisation sont les mêmes que Filesnarf

[modifier] Webspy

Webspy est un petit outil, qui permet de capturer les sites web des requêtes HTTP visité par une machine sur le réseau dans le but de les relançer sur votre navigateur. Vous pourrez voir la page en cours de visualisation de cette personne. Ceci à la condition de réaliser une attaque de type MITM (Man In The Middle).

Deplus ce dernier est limité en capacité. Prenons l'exemple que votre victime utilise un moteur de recherche, toutes les liens de recherche envoyé par le moteur de recherche seront considérés comme des pages visités (par exemple, le premier site qui arrive en tête de sa recherche s'ouvrira sur votre navigateur). De plus, il fonctionne, dans la majeure partie des cas que sur les noms de domaine principaux.

[modifier] Usage

webspy [-i interface] host

[modifier] Options

      -i interface
             Activer l'interfaçe réseau interface

      host   Host réseau qu'on veut écouter

[modifier] Exemples d'utilisation

L'exemple suivant, permet de visualiser en temps réelle les pages visitées d'une machine de notre réseau.(veillez à ouvrir votre navigateur avant).

bt ~ # webspy -i eth0 192.168.1.12

[modifier] Dnsspoof

Dnsspoof intercepte les requêtes DNS. Pour celà, il est nécessaire d'être dans un contexte de MITM. Ainsi il est possible de les modifier, en suggérant simplement un fichier host (option -f)

[modifier] Usage

dnsspoof [-i interface] [-f hostsfile] [expression]

[modifier] Options

      -i interface
             Interfaçe réseau à utiliser

      -f hostsfile
             Indiquez un fichier au format host
             Si aucun argument n'est spécifié, Les requêtes seront destinés à tous les adresses
             du réseau. La redirection des réponses aura comme destinataire votre adresse local.

      expression
            Indiquez une expression tcpdump pour filtrer uniquement un trafic préçis

[modifier] Exemples d'utilisation

Voir simplement les requête DNS à destination de la passerelle internet 192.168.1.1, en utilisant notre interfaçe wifi rausb0

 dnsspoof -i rausb0 dst 192.168.1.1

Si on modifie notre fichier /etc/hosts, en insérant cette ligne :

 84.16.87.28     *.remote-exploit.org

On peut remarquer que l'ip correspond à notre site http://www.backtrack-fr.net , ce dernier est associé à l'host remote-exploit.org. En lançant donc dnsspoof de cette manière :

 dnsspoof -i eth0 -f /etc/hosts dst 192.168.1.1

Toutes les requêtes à destination de 192.168.1.1 qui voudrons accéder à l'adresse remote-exploit.org, le serveur dns (en l'occurence ici il s'agit de notre fichier hosts), renverra l'adresse ip de notre site.

[modifier] Arpspoof

Utilitaire qui "empoisonne" ses cibles en forgeant des paquets ARP contenant une fausse adresse de correspondance.

[modifier] Usage

arpspoof [-i interface] [-t target] host

[modifier] Options

    -i interface
       Interfaçe réseau à utiliser

    -t target
       Adresse de la cible à qui envoyer le paquet ARP empoisonné

    host 
       Adresse de la cible à qui usurper l'identité.

[modifier] Exemples d'utilisation

Utilisez l'interfaçe rausb0 pour empoisonner la passerelle du réseau (192.168.1.1) dans le but de rediriger tous les paquets à destination de 192.168.1.10 vers sa propre machine.

  arpspoof -i rausb0 -t 192.168.1.1 192.168.1.10

Dans la même optique, nous capturerons les paquets de la machine 192.168.1.10 à destination de 192.168.1.1.

  arpspoof -i rausb0 -t 192.168.1.10 192.168.1.1

[modifier] Macof

[modifier] Sshmitm

[modifier] Webmitm

Webmitm est un petit proxy transparent, qui va relayer une connection http/https, tout en l'écoutant dans le but de capturer des données importantes sécurisé (par SSL) telle que les mots de passe des services mails. Il va tromper la machine cible, en lui imposant un faux certificat. Il ne restera plus qu'à déchiffré l'ensemble par le biais de ssldump par exemple.

Note : La première fois que vous lancez ce programme, il générera un certificat qui sera enregistré dans le répertoire courant (cf screen)

[modifier] Usage

webmitm [-d] [host]

[modifier] Options

      -d Active le debugging
      host 
         Host de destination vers lequel relayer les paquets.

[modifier] Exemples d'utilisation

Capturer une communication https de façon transparente en activant le mode debugging.

 webmitm -d

[modifier] Liens externes

(en) Site de Dsniff (fr) Présentation et FAQ dsniff