АЛИСА, ЭТО СПУФИНГ! УНЕСИТЕ!

Ушаков Андрей aka A-nd-Y

Спецвыпуск Xakep, номер #032, стр. 032-084-2

ETTERCAP

ПЛАГИНЫ PHANTOM, SPECTRE

Сайт: http://ettercap.sourceforge.net

Не будем забывать, что, помимо функций сниффера, ettercap содержит полезные плагины, в том числе и для спуфинга:

Phantom - спуфер DNS. Отправляет на DNS сервер пакеты с указанием ложных данных, вследствие чего может получиться DNS poisoning (забивание кеша сервака ложными парами URL - IP).

Пример запуска:

ettercap - Ndp phantom

Spectre - MAC спуфер-флудилка для локалки. Засылает в сетку кучу ARP пакетов с поддельными маками, засоряя тем самым кеши сетевух, сбивая таблицы маршрутизации, таким образом нарушая работу сети на канальном уровне.

Пример запуска:

ettercap -Ndp spectre

Напомню значение используемых опций. N - запуск без графического интерфейса, d - указывает на то, что не нужно резолвить хосты, p - указывает, собственно, на то, что нужно юзать данный плагин, который указывается после опций.

В представленных плагинах отсутствует как таковая возможность самостоятельно задать параметры для отсылаемых пакетов, что ограничивает их применение лишь простыми атаками на DNS и DoS нападениями.

DNSSPOOF, ARPSPOOF

(из пакета Dsniff)

Сайт: http://www.monkey.org/~dugsong/dsniff/

Приложения из пакета для работы с сетью Dsniff.

Dnsspoof посылает ложные ответы на DNS сервера с произвольным адресом и id в последовательности пакетов. Набор хостов и соответствующих айпишников для спуфинга указывается в файле с расширением .hosts и синтаксисом файла /etc/hosts, с поддержкой шаблонов типа *mynet.net, только без указания алиасов.

Пример запуска:

dnsspoof -i eth0 -f myspuf.hosts,

"-i eth0" указывает, какой интерфейс использовать, "-f myspuf.hosts" указывает на файл с данными для спуфинга.

Arpspoof - это ARP спуфер, используемый в пакете Dsniff для перенаправления трафика с одного хоста на другой, позволяет производить сниф на свитчах.

Запуск:

arpspoof -i eth0 -t 10.0.23.66 10.0.23.55 - перенаправляем трафик с хоста 10.0.23.66 на хост 10.0.23.55.

Не забывай, что у всех рассмотренных мною программ есть man руководства, которые неплохо было бы почитать, если ты хочешь лучше изучить эти программы.

Знание TCP/IP тоже лишним не будет, тем более что в Инете достаточно инфы по этому вопросу.

NMAP

Сайт: http://www.insecure.org/nmap

Известный сканер портов, который также использует технологию спуфинга при сканировании. Для этого используется опция "-D" со списком хостов/айпишников, которые нужно использовать в подделанных пакетах.

nmap -sS -D 212.23.95.157,212.23.95.158,212.23.95.159,212.23.95.160,212.23.95.161 213.140.104.195

Сканим 213.140.104.195, используя спуф адреса 212.23.95.157,212.23.95.158,212.23.95.159,212.23.95.160,212.23.95.161 (смотри скриншот).

Nmap позволяет подставлять указанные адреса в заголовки отправляемых пакетов, тем самым создавая видимость того, что пакеты идут с различных машин, что затрудняет обнаружение сканирования данного хоста. Но у этого метода есть одна особенность, твой собственный хост также будет среди указанных в спуф-списке, даже если ты не указал его сам.