Olfatear

Detector de paquetes

dSniff es un conjunto de herramientas de rastreo de contraseñas y análisis de tráfico de red escrito por el investigador de seguridad y fundador de una startup, Dug Song, para analizar diferentes protocolos de aplicación y extraer información relevante. dsniff, filesnarf, mailsnarf, msgsnarf, urlsnarf y webspy monitorean pasivamente una red en busca de datos interesantes (contraseñas, correo electrónico, archivos, etc.). arpspoof, dnsspoof y macof facilitan la interceptación de tráfico de red que normalmente no está disponible para un atacante (por ejemplo, debido a la conmutación de capa 2). sshmitm y webmitm implementan ataques activos de intermediario contra sesiones SSH y HTTPS redirigidas explotando enlaces débiles en PKI ad-hoc. ^{[2] [3]}

Descripción general

Las aplicaciones rastrean nombres de usuario y contraseñas, páginas web visitadas, contenidos de un correo electrónico, etc. Como su nombre lo indica, dsniff es un rastreador de red , pero también se puede utilizar para interrumpir el comportamiento normal de redes conmutadas y hacer que el tráfico de red de otros hosts en el mismo segmento de red sea visible, no solo el tráfico que involucra al host en el que se ejecuta dsniff.

Maneja protocolos FTP , Telnet , SMTP , HTTP , POP , poppass, NNTP , IMAP , SNMP , LDAP , Rlogin , RIP , OSPF , PPTP MS-CHAP , NFS , VRRP , YP/NIS , SOCKS , X11 , CVS , IRC , AIM , ICQ , Napster , PostgreSQL , Meeting Maker , Citrix ICA , Symantec pc Anywhere , NAI Sniffer, Microsoft SMB , Oracle SQL*Net , Sybase y Microsoft SQL .

El nombre "dsniff" hace referencia tanto al paquete como a una herramienta incluida. La herramienta "dsniff" decodifica las contraseñas enviadas en texto claro a través de una red Ethernet conmutada o no conmutada . Su página de manual explica que Dug Song escribió dsniff con "intenciones honestas: auditar mi propia red y demostrar la inseguridad de los protocolos de red en texto claro". Luego solicita: "Por favor, no abuse de este software".

Estos son los archivos que están configurados en la carpeta dsniff /etc/dsniff/

/etc/dsniff/dnsspoof.hosts

Archivo de hosts de muestra. ^[4]

Si no se especifica ningún archivo de host, se falsificarán las respuestas para todas las consultas de direcciones en la LAN con una respuesta de la dirección IP de la máquina local.

/etc/dsniff/dsniff.mágico

Magia del protocolo de red

/etc/dsniff/dsniff.servicios

Tabla de activadores predeterminada

La página del manual de dsniff explica todos los indicadores. Para obtener más información sobre el uso de dsniff, puede explorar la página del manual de Linux. ^[5]

Esta es una lista de descripciones de los distintos programas dsniff. Este texto pertenece al archivo README de dsniff escrito por el autor, Dug Song.

• arpspoof ( suplantación de ARP ): redirige paquetes desde un host de destino (o todos los hosts) en la LAN destinados a otro host local falsificando respuestas ARP. Esta es una forma extremadamente efectiva de rastrear el tráfico en un conmutador. El reenvío de IP del núcleo (o un programa de usuario que logre lo mismo, por ejemplo, fragrouter :-) debe estar activado con anticipación.
• dnsspoof: falsifica respuestas a consultas de puntero/dirección DNS arbitrarias en la LAN. Esto es útil para eludir los controles de acceso basados ​​en nombres de host o para implementar una variedad de ataques de intermediario (HTTP, HTTPS, SSH, Kerberos, etc.).
• tcpkill : elimina conexiones TCP en curso especificadas (útil para aplicaciones basadas en libnids que requieren 3-whs TCP completos para la creación de TCB). Puede ser eficaz para el control del ancho de banda .
• archivosnarf ^[3]
• correo electrónico ^[3]
• tcpnice ^[3]
• urlsnarf ^[3]
• webspy: ^[3] un programa que intercepta las URL enviadas por una dirección IP específica y dirige a su navegador web a conectarse a la misma URL. Esto hace que su navegador abra las mismas páginas web que el objetivo que está siendo rastreado.
• sshmitm y webmitm: ^[3] programas diseñados para interceptar las comunicaciones de SSH versión 1 y el tráfico web respectivamente con un ataque de intermediario
• msgsnarf: ^[3] un programa diseñado para interceptar conversaciones de mensajería instantánea e IRC
• macof: ^[3] un programa diseñado para destruir conmutadores Ethernet mal diseñados inundándolos con paquetes con direcciones MAC falsas ( inundación MAC ).

Véase también

• Portal de software libre y de código abierto

• Comparación de analizadores de paquetes
• EtherApe , una herramienta de mapeo de red que se basa en rastrear el tráfico
• netsniff-ng , un kit de herramientas de red gratuito para Linux
• Grifo de red
• Ngrep , una herramienta que puede hacer coincidir expresiones regulares dentro de las cargas útiles de los paquetes de red
• tcpdump , un analizador de paquetes
• Tcptrace , una herramienta para analizar los registros producidos por tcpdump
• Wireshark , una alternativa basada en GUI a tcpdump

Referencias

1. Archivo LICENCIA en el tarball
2. dsniff (olfatear)
3. Christopher R. Russel. "Pruebas de penetración con dsniff".
4. dnsspoof(8) - Página del manual de Linux
5. dsniff(8): rastreador de contraseñas - Página del manual de Linux

Enlaces externos

• Sitio web oficial
• Dunston, Duane, Linuxsecurity.com, “¡Y nos vamos a burlar!” http://www.linuxsecurity.com/docs/PDF/dsniff-n-mirror.pdf