jueves, 29 de abril de 2010

Dsniff - Sniffer

Dsniff nos demuestra lo inseguras que son nuestras redes, sobretodo si nos empeñamos en enviar contraseñas en formato texto plano. Con este sniffer, nos daremos cuenta de los realmente importante que puede llegar a ser la utilizacion de la encriptacion en nuestras comunicaciones diarias ..
Tal y como dice el autor del programa Dug Song, él desarrollo esta potentísima aplicación para auditar sus propias redes y para demostrar la necesidad de usar encriptación de un modo habitual. \"por favor no abusar de este sofware\"
Gracias a dsniff, tenemos un motivo mas para usar diariamente herramientas como ssh (la version 2, porque la
1 tiene algunos problemas de seguridad y es vulnerable) y gpg (Gnu pgp).

Pero aca lo que mas nos interesa es sacarle el jugo al programa, con este programita podemos leer conversaciones del msn dentro de una lan, y muchas cosas mas.

Dsniff se compone de las siguientes herramientas:

* dsniff -> Sniffer de contraseñas
* filesnarf -> Captura y guarda ficheros pasados via NFS
* mailsnarf -> Captura el trafico POP3 y SMTP, guarda el resultado en formato mailbox
* msgsnarf -> Registra mensajes de sesiones de mensajería instantánea tipo msn.
* webspy -> Visualiza en tiempo real el trafico web de la victima inyectando el trafico en nuestro navegador.
* arpspoof -> Envenena la cache ARP
* dnspoof -> Falsifica respuestas DNS
* macof -> Inunda la red con direcciones MAC falsas provocando DoS
* sshow -> Analiza el trafico SSH en versión 1 y 2
* tcpkill -> Mata conexiones establecidas
* tcpnice -> Ralentiza conexiones.

Para instalar esta herramienta ponemos:

dijo:

apt-get install dsniff



MITM
Este primer ataque que vamos a ver consiste en realizar un clásico MITM, que nos servirá luego de lanzadera para otros ataques.
Para ello vamos a utilizar arpspoof. Imaginemos que tenemos el siguiente escenario:

Vict(192.168.1.33) <--->Rout(192.168.1.1)<--->Atac(192.168.1.35)

Para conseguir el MITM tenemos que hacer que la conexión entre la Victima y el router pase antes por nosotros, y igualmente a la inversa la conexión entre el router y la victima pase también por nosotros, quedando el escenario así:

Victima==============Atacante===============Router

Para ello abrimos un terminal de consola en root y hacemos:


dijo:

arpspoof -i eth0 -t 192.168.1.33 192.168.1.1



luego, en otro terminal en root, cubrimos el segundo canal de comunicación:


dijo:

arpspoof -i eth0 -t 192.168.1.1 192.168.1.33



y para que no se note que estamos en medio activamos el forwarding para actuar como router y enviar los paquetes a su verdadero dueño.


dijo:

echo 1 > /proc/sys/net/ipv4/ip_forward



si no hacemos esto, el tráfico quedara cortado para la victima y perderá la conexión, pudiendo así ser descubiertos.

Podemos comprobar en la maquina victima que el ataque esta en marcha haciendo un arp -a, sabremos que esta activo porque la dirección MAC del router coincidirá con la nuestra, esto es que habremos envenenado la cache ARP de la victima y los paquetes a la IP del router se enviaran a nuestra dirección MAC. También podremos detectar si somos victimas de este tipo de ataque si nuestra tabla ARP contiene MAC\'s duplicadas.

Importante!! no cerréis ninguna de las ventanas de consola en las que se esta ejecutando arpspoof, ya que de hacerlo se pararía el ataque!

Con esto ya tenemos el MITM en marcha.


Robo de contraseñas FTP

Ya sé que no es ningún mito conseguir la contraseña de un FTP, pero para ilustrar como funciona dsniff nos bastará
Una vez realizado el MITM, en la maquina atacante ponemos dsniff a la escucha mediante:


dijo:

dsniff -i eth0


y a continuación vamos a la maquina victima y abrimos una sesión FTP con cualquier proveedor...


Espiar conversaciones de Messenger

También es posible espiar conversaciones mediante la herramienta msgsnarf.
Habiendo hecho previamente el MITM podemos hacer:


dijo:

msgsnarf -i eth0


Capturar correos

Activando mailsnarf:


dijo:

mailsnarf -i eth0



podremos capturar todo el correo enviado mediante Outlook, Thunderbird... etc por la victima. Si ademas activamos dsniff probablemente capturemos la contraseña de acceso a la cuenta de correo. Con mailsnarf obtendremos el cuerpo del mensaje enviado.


Espiar trafico web en tiempo real

Para esto es imprescindible utilizar el navegador Netscape... para esto no nos sirve el Firefox U_U el Netscape Navigator lo podemos bajar de la pagina oficial de Netscape, la ultima versión estable para Linux es la 9.0.0.3.
El ataque es tan fácil como realizar un MITM y activar webspy del siguiente modo:


dijo:

webspy -i eth0 192.168.1.33



y en la barra de direcciones de Netscape poner la dirección http://192.168.1.33 ¡webspy irá inyectando el trafico web automáticamente y en tiempo real!!

No hay comentarios: