A captura de trafego era bastante simples em redes que possuíam HUBs, onde a informação trafegada é replicada por toda a rede. Como a evolução, surgiram os switchs, onde a rede passou a trabalhar de forma mais segmentada, encaminhando os pacotes apenas para a porta onde estava conectado a maquina de destino, com isso dificultou o uso de ferramentas de sniffer.
Logo, com o aparecimento dos switchs surgiram também diversas formas de “by-passa-los”, uma delas consistia em “floodar” a tabela CAM do switch. Esta tabela fica na área de memória onde o switch mantém o mapeamento de PORTA <===> MAC. Quando fazemos o flood, diversos switchs não conseguem mais acrescentar nenhuma entrada nela passando a funcionar como um HUB. Um exemplo de ferramenta que faz CAM Flood é o macof, que vem no pacote do dsniff. Você pode instalar o Dsniff executando:
# aptitude install dsniff
Execute o seguinte comando para fazer o CAM Flood no Switch.
# macof
Pronto a partir daí o macof já inundou a tabela CAM do switch com endereços MAC aleatórios fazendo com que o switch funcione como HUB.
Obs: Não é obrigatório o uso do macof para fazer o arp spoofing, isso só irá acelerar o processo um pouco em redes que utilizam switchs.
Os ataques de arp spoofing consistem em adicionar/substituir na tabela arp da maquina alvo uma entrada que diz IP_QUE_A_MAQUINA_ALVO_ESTA_SE_COMUNICANDO <===> MAC_DO_ATACANTE. Com isso quando a maquina alvo for montar o pacote para envio ela montara com o IP real do servidor de destino que ela quer acessar, porem utilizará o endereço MAC do atacante, ou seja, quando este pacote passar pelo switch o mesmo encaminhará o pacote para o atacante, no caso você.
Exemplo:
# arpspoof -i <INTERFACE> -t <IP_DO_ALVO> <IP_QUE_SEU_ALVO_VAI_MAPEAR_PARA_SEU_MAC>
# arpspoof -i eth0 -t 192.168.0.55 192.168.0.1
Obs: O arpspoof faz parte do Dsniff que instalamos a pouco.
No exemplo acima o IP 192.168.0.55 vai adicionar/atualizar a sua tabela arp com os novos dados. Para o ataque ser 100% funcional é preciso fazer o mesmo para o IP 192.168.0.1 e habilitar o forward de pacotes (echo “1” >/proc/sys/net/ipv4/ip_forward) na sua máquina, com isso o trafego entre tais hosts passará por você e você poderá sniffar e/ou fazer ataques de MITM (Man-In-The_Middle).
Abra um terminal e habilite o encaminhamento de pacotes
# echo “1” > /proc/sys/net/ipv4/ip_forward
Agora faça o arp spoofing, aqui estou dizendo que quando o ip final 55 se comunicar com o gateway (final 1), na verdade o ip 55 vai encaminhar os pacotes para o PC do atacante, no caso o seu.
# arpspoof -i eth0 -t 192.168.0.55 192.168.0.1
Agora em outro terminal informe que quando o gateway (final 0.1) se comunicar com o ip final 55 na verdade ele (gateway) irá encaminhar os pacotes para o PC do atacate, no caso o seu.
# arpspoof -i eth0 -t 192.168.0.1 192.168.0.55
Pronto com isso você já é capaz de “sniffar” o trafego da vitima ou até mesmo fazer um MITM (Man-In-The_Middle) Homen do Meio em bom português.
Outras ferramentas capazes de sniffar a rede são:
Ettercap
Extremamente famoso no mundo do hacking, esse sniffer é capaz de capturar trafego em switch por possuir técnicas arp spoofing. Além disso, a ferramenta é composta por diversos plugins que possibilitam identificar máquina, encontrar portas abertas e finalizar conexões ativas, além de capturar sessões de protocolos como telnet.
TcpDump
O tcpdump é um dos mais, se não o mais “famoso” sniffer para sistemas GNU/Linux. Com ele podemos realizar análises de redes e solucionar problemas. Sua utilização é simples e sem mistérios, bastando apenas ter os conhecimentos básicos de redes TCP/IP.
Wireshark
Wireshark, o bom e velho Ethereal, é um poderoso sniffer, que permite capturar o tráfego da rede, fornecendo uma ferramenta poderosa para detectar problemas e entender melhor o funcionamento de cada protocolo.
Bem depois de conhecer algumas ferramentas, saber como um sniffer funciona e como fazer um arp spoofing vamos ver quais são os protocolos mais vulneráveis a sniffer simplesmente por utilizarem senhas em texto plano sem autenticação. Logo, se um atacante tiver acesso a LAN poderá facilmente interceptar senhas e ganhar vários acesso.
- Telnet
- Rlogin
- HTTP
- SMTP
- NNTP
- POP
- FTP
- IMAP
Nenhum comentário :
Postar um comentário