Sniffer é uma ferramenta capaz de capturar o tráfego da rede, inclusive as senhas que trafegam sem criptografia pela rede. Após uma invasão é comum que um cracker instale um sniffer na máquina atacada para visualizar as senhas que trafegam em busca de mais acessos dentro da rede. Embora seja mais fácil capturar pacotes em uma rede que utiliza hubs, também é possível realizar a captura de dados em redes que utilizam switches.
A captura de trafego era bastante simples em redes que possuíam HUBs, onde a informação trafegada é replicada por toda a rede. Como a evolução, surgiram os switchs, onde a rede passou a trabalhar de forma mais segmentada, encaminhando os pacotes apenas para a porta onde estava conectado a maquina de destino, com isso dificultou o uso de ferramentas de sniffer.
Logo, com o aparecimento dos switchs surgiram também diversas formas de “by-passa-los”, uma delas consistia em “floodar” a tabela CAM do switch. Esta tabela fica na área de memória onde o switch mantém o mapeamento de PORTA <===> MAC. Quando fazemos o flood, diversos switchs não conseguem mais acrescentar nenhuma entrada nela passando a funcionar como um HUB. Um exemplo de ferramenta que faz CAM Flood é o macof, que vem no pacote do dsniff. Você pode instalar o Dsniff executando:
# aptitude install dsniff
Execute o seguinte comando para fazer o CAM Flood no Switch.
# macof
Pronto a partir daí o macof já inundou a tabela CAM do switch com endereços MAC aleatórios fazendo com que o switch funcione como HUB.
Obs: Não é obrigatório o uso do macof para fazer o arp spoofing, isso só irá acelerar o processo um pouco em redes que utilizam switchs.
Os ataques de arp spoofing consistem em adicionar/substituir na tabela arp da maquina alvo uma entrada que diz IP_QUE_A_MAQUINA_ALVO_ESTA_SE_COMUNICANDO <===> MAC_DO_ATACANTE. Com isso quando a maquina alvo for montar o pacote para envio ela montara com o IP real do servidor de destino que ela quer acessar, porem utilizará o endereço MAC do atacante, ou seja, quando este pacote passar pelo switch o mesmo encaminhará o pacote para o atacante, no caso você.
Exemplo:
# arpspoof -i <INTERFACE> -t <IP_DO_ALVO> <IP_QUE_SEU_ALVO_VAI_MAPEAR_PARA_SEU_MAC>
# arpspoof -i eth0 -t 192.168.0.55 192.168.0.1
Obs: O arpspoof faz parte do Dsniff que instalamos a pouco.
No exemplo acima o IP 192.168.0.55 vai adicionar/atualizar a sua tabela arp com os novos dados. Para o ataque ser 100% funcional é preciso fazer o mesmo para o IP 192.168.0.1 e habilitar o forward de pacotes (echo “1” >/proc/sys/net/ipv4/ip_forward) na sua máquina, com isso o trafego entre tais hosts passará por você e você poderá sniffar e/ou fazer ataques de MITM (Man-In-The_Middle).
Abra um terminal e habilite o encaminhamento de pacotes
# echo “1” > /proc/sys/net/ipv4/ip_forward
Agora faça o arp spoofing, aqui estou dizendo que quando o ip final 55 se comunicar com o gateway (final 1), na verdade o ip 55 vai encaminhar os pacotes para o PC do atacante, no caso o seu.
# arpspoof -i eth0 -t 192.168.0.55 192.168.0.1
Agora em outro terminal informe que quando o gateway (final 0.1) se comunicar com o ip final 55 na verdade ele (gateway) irá encaminhar os pacotes para o PC do atacate, no caso o seu.
# arpspoof -i eth0 -t 192.168.0.1 192.168.0.55
Pronto com isso você já é capaz de “sniffar” o trafego da vitima ou até mesmo fazer um MITM (Man-In-The_Middle) Homen do Meio em bom português.
Outras ferramentas capazes de sniffar a rede são:
Ettercap
Extremamente famoso no mundo do hacking, esse sniffer é capaz de capturar trafego em switch por possuir técnicas arp spoofing. Além disso, a ferramenta é composta por diversos plugins que possibilitam identificar máquina, encontrar portas abertas e finalizar conexões ativas, além de capturar sessões de protocolos como telnet.
TcpDump
O tcpdump é um dos mais, se não o mais “famoso” sniffer para sistemas GNU/Linux. Com ele podemos realizar análises de redes e solucionar problemas. Sua utilização é simples e sem mistérios, bastando apenas ter os conhecimentos básicos de redes TCP/IP.
Wireshark
Wireshark, o bom e velho Ethereal, é um poderoso sniffer, que permite capturar o tráfego da rede, fornecendo uma ferramenta poderosa para detectar problemas e entender melhor o funcionamento de cada protocolo.
Bem depois de conhecer algumas ferramentas, saber como um sniffer funciona e como fazer um arp spoofing vamos ver quais são os protocolos mais vulneráveis a sniffer simplesmente por utilizarem senhas em texto plano sem autenticação. Logo, se um atacante tiver acesso a LAN poderá facilmente interceptar senhas e ganhar vários acesso.
A captura de trafego era bastante simples em redes que possuíam HUBs, onde a informação trafegada é replicada por toda a rede. Como a evolução, surgiram os switchs, onde a rede passou a trabalhar de forma mais segmentada, encaminhando os pacotes apenas para a porta onde estava conectado a maquina de destino, com isso dificultou o uso de ferramentas de sniffer.
Logo, com o aparecimento dos switchs surgiram também diversas formas de “by-passa-los”, uma delas consistia em “floodar” a tabela CAM do switch. Esta tabela fica na área de memória onde o switch mantém o mapeamento de PORTA <===> MAC. Quando fazemos o flood, diversos switchs não conseguem mais acrescentar nenhuma entrada nela passando a funcionar como um HUB. Um exemplo de ferramenta que faz CAM Flood é o macof, que vem no pacote do dsniff. Você pode instalar o Dsniff executando:
# aptitude install dsniff
Execute o seguinte comando para fazer o CAM Flood no Switch.
# macof
Pronto a partir daí o macof já inundou a tabela CAM do switch com endereços MAC aleatórios fazendo com que o switch funcione como HUB.
Obs: Não é obrigatório o uso do macof para fazer o arp spoofing, isso só irá acelerar o processo um pouco em redes que utilizam switchs.
Os ataques de arp spoofing consistem em adicionar/substituir na tabela arp da maquina alvo uma entrada que diz IP_QUE_A_MAQUINA_ALVO_ESTA_SE_COMUNICANDO <===> MAC_DO_ATACANTE. Com isso quando a maquina alvo for montar o pacote para envio ela montara com o IP real do servidor de destino que ela quer acessar, porem utilizará o endereço MAC do atacante, ou seja, quando este pacote passar pelo switch o mesmo encaminhará o pacote para o atacante, no caso você.
Exemplo:
# arpspoof -i <INTERFACE> -t <IP_DO_ALVO> <IP_QUE_SEU_ALVO_VAI_MAPEAR_PARA_SEU_MAC>
# arpspoof -i eth0 -t 192.168.0.55 192.168.0.1
Obs: O arpspoof faz parte do Dsniff que instalamos a pouco.
No exemplo acima o IP 192.168.0.55 vai adicionar/atualizar a sua tabela arp com os novos dados. Para o ataque ser 100% funcional é preciso fazer o mesmo para o IP 192.168.0.1 e habilitar o forward de pacotes (echo “1” >/proc/sys/net/ipv4/ip_forward) na sua máquina, com isso o trafego entre tais hosts passará por você e você poderá sniffar e/ou fazer ataques de MITM (Man-In-The_Middle).
Abra um terminal e habilite o encaminhamento de pacotes
# echo “1” > /proc/sys/net/ipv4/ip_forward
Agora faça o arp spoofing, aqui estou dizendo que quando o ip final 55 se comunicar com o gateway (final 1), na verdade o ip 55 vai encaminhar os pacotes para o PC do atacante, no caso o seu.
# arpspoof -i eth0 -t 192.168.0.55 192.168.0.1
Agora em outro terminal informe que quando o gateway (final 0.1) se comunicar com o ip final 55 na verdade ele (gateway) irá encaminhar os pacotes para o PC do atacate, no caso o seu.
# arpspoof -i eth0 -t 192.168.0.1 192.168.0.55
Pronto com isso você já é capaz de “sniffar” o trafego da vitima ou até mesmo fazer um MITM (Man-In-The_Middle) Homen do Meio em bom português.
Outras ferramentas capazes de sniffar a rede são:
Ettercap
Extremamente famoso no mundo do hacking, esse sniffer é capaz de capturar trafego em switch por possuir técnicas arp spoofing. Além disso, a ferramenta é composta por diversos plugins que possibilitam identificar máquina, encontrar portas abertas e finalizar conexões ativas, além de capturar sessões de protocolos como telnet.
TcpDump
O tcpdump é um dos mais, se não o mais “famoso” sniffer para sistemas GNU/Linux. Com ele podemos realizar análises de redes e solucionar problemas. Sua utilização é simples e sem mistérios, bastando apenas ter os conhecimentos básicos de redes TCP/IP.
Wireshark
Wireshark, o bom e velho Ethereal, é um poderoso sniffer, que permite capturar o tráfego da rede, fornecendo uma ferramenta poderosa para detectar problemas e entender melhor o funcionamento de cada protocolo.
Bem depois de conhecer algumas ferramentas, saber como um sniffer funciona e como fazer um arp spoofing vamos ver quais são os protocolos mais vulneráveis a sniffer simplesmente por utilizarem senhas em texto plano sem autenticação. Logo, se um atacante tiver acesso a LAN poderá facilmente interceptar senhas e ganhar vários acesso.
- Telnet
- Rlogin
- HTTP
- SMTP
- NNTP
- POP
- FTP
- IMAP
Nenhum comentário :
Postar um comentário