dsniff: Un sniffer para comprobar la inseguridad de nuestras redes | Algo de Linux

domingo, 14 de septiembre de 2008

dsniff: Un sniffer para comprobar la inseguridad de nuestras redes

dsniff no es tan sólo una aplicación, sino una suite, es decir, un conjunto de herramientas creadas para auditar redes y realizar tests de penetración creadas por Dug Song (http://monkey.org/~dugsong/dsniff/).

El autor nos indica en su web que creó estas herramientas con intenciones honestas, para auditar su propia red y demostrar la inseguridad de la mayoría de los protocolos de aplicación. Además, nos recomienda no abusar de este software.

Con este sniffer, nos daremos cuenta de los realmente importante que puede llegar a ser la encriptación en nuestras comunicaciones diarias.

Si nuestra distribución dispone de paquetes en los repositorios, como por ejemplo ubuntu, instalarlo puede ser tan sencillo como hacer:
# apt-get install dsniff

En caso
contrario, no tenemos más que bajar el código fuente de la web del autor, compilarlo e instalarlo:
# wget http://monkey.org/~dugsong/dsniff/dsniff-2.3.tar.gz
# tar xfvz dsniff-2.3.tar.gz
# cd dsniff-2.3
# ./configure
# make
# make install

Pero no olvidemos que antes de instalarlo es necesario tener instalado el siguiente software:
  • Berkeley DB - http://www.sleepycat.com/
  • OpenSSL - http://www.openssl.org/
  • libpcap - http://www.tcpdump.org/
  • libnids - http://www.packetfactory.net/Projects/Libnids/
  • libnet - http://www.packetfactory.net/Projects/Libnet/
Esta suite incluye los siguientes programas:
  • dsniff.
  • arpspoof.
  • dnsspoof.
  • filesnarf.
  • macof.
  • mailsnarf.
  • msgsnarf.
  • sshmitm.
  • sshow.
  • tcpkill.
  • tcpnice.
  • urlsnarf.
  • webmitm.
  • webspy.

arpspoof es la herramienta que usaremos para envenenar tablas ARP. Se encarga de enviar los paquetes “arp reply” falsos a la maquina que le indiquemos como “target” para suplantar la dirección MAC de la segunda máquina que le indiquemos.

dnsspoof permite construir falsas respuestas DNS. Se usa mucho para saltar controles basados en nombres de hosts o para implementar una gran variedad de ataques Man in the Middle (HTTP, HTTPS, SSH, Kerberos, etc).

dsniff, la aplicación que da nombre a la suite, es un sniffer de contraseñas. Este sniffer nos permite obtener contraseñas de FTP, Telnet, HTTP, POP, NNTP, IMAP, SNMP, LDAP, Rlogin, NFS, SOCKS, X11, IRC, AIM, CVS, ICQ, Napster, Citrix ICA, Symantec pcAnywhere, NAI Sniffer, Microsoft SMB, y Oracle SQL*Net.

filesnarf salva los ficheros seleccionados obtenidos al sniffar tráfico NFS en el directorio actual de trabajo.

macof inunda la red local con direcciones MAC aleatorias. Ésto puede provocar que algunos switches entren en modo “hub” facilitando el sniffing de toda la red.

mailsnarf permite capturar tráfico de correo. Esto incluye tráfico SMTP y POP. Guarda los resultados en formato mbox, lo que nos permite leer los correos con cualquier cliente de correo estándar.

msgsnarf registra determinados mensajes (según el patrón especificado) de las sesiones chat abiertas con los programas AOL Instant Messengerm, ICQ 2000, IRC, MSN Messenger o Yahoo Messenger.

sshmitm, SSH monkey-in-the-middle Reenvía (proxy) y sniffa el tráfico SSH redirigido por dnsspoof para capturar claves SSH!, y permitiendo, opcionalmente, el hijacking de sesiones interactivas. Solo soporta SSH v1. Así que, si usamos SSH v2 estaremos seguros.

sshow permite analizar tráfico SSH (versiones 1 y 2) como intentos de autenticación, longitud de las passwords en sesiones interactivas, longitud de los comandos, etc…

tcpkill permite matar conexiones ya establecidas. Tiene múltiples utilidades, pudiendo usarse, por ejemplo, para matar una sesión ftp establecida por un usuario antes de que empezásemos a esnifar, obligándolo a empezar de nuevo con el fin de que introduzca de nuevo su clave para capturarla. Admite filtros al estilo tcpdump.

tcpnice hace el mismo efecto que el tcpkill pero además permite ralentizar algunas conexiones.

urlsnarf permite registrar las referencias a URL que seleccionemos en el tráfico esnifado. Puede sernos útil para post-procesarlas con nuestra herramienta favorita de análisis de logs web (analog, wwwstat, etc.).

webmitm es similar a sshmitm, hace de proxy transparente y esnifa conexiones HTTP y HTTPS redirigidas a nuestra máquina usando dnsspoof, permitiendo capturar la mayoría de las claves en formularios y web seguras (p. ej. HotMail … ).

webspy envía las URL's esnifadas a nuestro navegador lo que nos permitirá ver en nuestro navegador lo mismo que esté viendo la máquina esnifada en el suyo “on the fly”.

4 comentarios:

Anónimo dijo...

no encuentro las librerias libnids, algun repositorio para tenerlas en opensuse 11.2 via yast???

O un repositorio para instalar el programa via yast?

Richard dijo...

Buena la información pero quisiera saber como ejecutar DSNIFF en Linux, ya tengo instalado el software pero la verdad no se como ejecutarlo. espero me puedas ayudar mi e-mail es licricardo1@gmail.com

Esteban M. Navas dijo...

Hola, Richard:

dsniff es una suite que contiene varias herramientas, como puedes ver en el artículo. Puedes ejecutar cualquiera de ellas, pero lo primero que debes saber es lo que quieres hacer.
Si buscas en el blog, encontrarás un par de artículos con ejemplos.

Bryan dijo...

Amigo se que el post es muy viejo pero estoy instalando dsniff en mint y el unico paquete que me falta es el berkeley db 1.85 que no se como instalarlo me puedes decir como? mi TW es @bryvinu