Wprowadzenie, czyli za Wikipedią
Sniffer (ang. wąchacz) – program komputerowy lub urządzenie, którego zadaniem jest przechwytywanie i ewentualne analizowanie danych przepływających w sieci. Wspólną cechą wielu takich analizatorów jest przełączenie karty sieciowej w tryb mieszany (ang. promiscuous), w którym urządzenie odbiera wszystkie ramki z sieci, także te nieadresowane bezpośrednio do niego; sniffery mogą być uruchamiane także na routerze lub na komputerze będącym jedną ze stron komunikacji sieciowej – i w tych przypadkach tryb promiscuous nie jest konieczny.
Sniffer stanowi nieodzowne narzędzie diagnostyczne większości administratorów sieci, zwłaszcza podczas diagnostyki problemów z niezawodnością lub wydajnością połączeń. Może być również stosowany do monitorowania aktywności sieciowej osób trzecich, co jest w większości przypadków niezgodne z prawem. W celu ochrony przed takimi atakami, niektóre protokoły komunikacyjne stosują mechanizmy kryptograficzne.
ettercap
Przykładem sniffera jest ettercap, program dostępny jest w repozytoriach wielu dystrybucji, w Ubuntu również go nie zabrakło. Aplikacja może działać w konsoli, tworząc pseudograficzny interfejs użytkownika, jak i w trybie graficznym, korzystając z biblioteki GTK.Program dostępny jest również na systemy Windows.
Instalacja
sudo apt-get install ettercap
– wersja konsolowa
sudo apt-get install ettercap-gtk
– wersja pod środowisko GNOME, z której korzystałem.
Atak DHCP Spoofing
Podsłuchiwanie transmisji pakietów metodą DHCP Spoofing, ma dość prostą zasadę działania. Jak sama nazwa tej metody wskazuje, atak może przeprowadzony być tylko w tych sieciach, w których konfiguracja hostów przebiega poprzez serwer DHCP – zainstalowany na serwerze sieciowym, bądź routerze. Celem ataku jest podszycie się pod bramę sieciową, w efekcie cały ruch sieciowy ofiary kierowany jest na komputer agresora. Wszystko zadziała, jeśli komputer agresora odpowie szybciej na żądanie konfiguracji połączenia, niż prawdziwy serwer DHCP. Agresor ma tutaj przewagę ponieważ, fałszywy serwer DHCP przydzielając IP dla ofiary, nie musi sprawdzać czy dany IP jest w użyciu. A więc do dzieła. :)
- Uruchamiamy etthercap z menu: Programy > Internet – będziemy potrzebowali praw superużytkownika, czyli roota.
- W menu programu odnajdujemy opcje: Sniff > Unified sniffing, a następnie wybieramy interfejs sieciowy z którego aktualnie korzystamy.
- W menu odnajdujemy interesującą nas opcje, czyli: Mitm > DHCP Spoofing. Teraz musimy podać konfigurację fałszywego serwera DHCP, należy zwrócić uwagę aby: pula adresów IP i maska należały do naszej podsieci. Aby ofiara podczas ataku zachowała dostęp do internetu musimy podać adres działającego serwera DNS.
- Wszystko już gotowe, więc wędrujemy do menu i wybieramy funkcje: Start > Start sniffng
- Teram możemy wypić piwko, soczek, lub piwko… jak kto woli, ;) ponieważ musimy czekać, aż upłynie czas dzierżawy IP dla komputera ofiary. Jeśli nasz fałszywy serwer DHCP “zdąży” pojawi się stosowny komunikat o numerze IP, który został przyznany dla komputera ofiary. Teraz mamy wgląd we wszystkie połączenia ofiary, korzystając z opcji: View > Connections. Po za szczegółowymi informacjami o poszczególnych połączeniach, mamy też możliwość “killowania” ich.
Podsumowanie
Nie jestem pewien, ale wydaję mi się, że jedyną metodą obrony przed tego typy atakiem jest ręczna konfiguracja sieci ( proszę mnie poprawić, jeśli się mylę :) ). Podsumowując, etthercap to przydatne narzędzie do testowania sieci, oraz diagnozowania ewentualnych problemów, a że dzięki niemu możemy dowiedzieć się wiele ciekawych rzeczy… ;)
Postaram się w nabazgrać jeszcze coś na temat ettercapa i jemu podobnych narzędzi.
Dla spokoju sumienia autora :P
§ 3 art 267 Kodeksu karnego:
Kto w celu uzyskania informacji, do której nie jest uprawniony, zakłada lub posługuje się urządzeniem podsłuchowym, wizualnym albo innym urządzeniem lub oprogramowaniem podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.
8 marca, 2009 at 12:04
Metod ochrony jest ciut więcej. Choćby DHCP snooping. Warto wpisać w wyszukiwarkę “dhcp spoofing protection” nim się coś palnie. ;-)
9 marca, 2009 at 10:20
@rozie mądralo zwróciłeś uwagę np. na to “nie jestem pewien”? Cieszę się, że ktoś wszystko wiedzący przyszedł do mnie na blog. :)
8 marca, 2009 at 19:46
rozie@ warto sprawdzić wynik zapytania zanim się coś palnie:
No results found in your selected language(s) for “dhcp spoofing protection”.
czyli tak na zasadzie “przyganiał kocioł garnkowi”
:)
8 marca, 2009 at 22:01
W tej chwili są cztery wyniki. Internet się rozwija, G. poszerza bazę czy co? :)
Tak w ogóle, to nikt nie każe wpisywać tego z cudzysłowem.
19 września, 2010 at 19:22
Świetny art proszę o więcej na temat ettercap'a.
20 września, 2010 at 22:42
Dzięki, postaram się naskrobać w najbliższym czasie. :>
3 listopada, 2010 at 21:34
Jak już naskrobiesz, to nie zapomnij później wklepać ;P
3 listopada, 2010 at 22:12
Tego bądź pewien :D Mam teraz nową pracę i mało czasu dlatego tak się guzdram :/
28 stycznia, 2011 at 0:29
Metod ochrony jest dużo więcej niż tylko dhcp snooping. Dla przykładu w sieci administratorzy instalują często coś takiego jak NIDS powiedzmy jakiś darmowy część z nich o ile nie wszystkie wykryje coś takiego gdyż ettercap jest standardowym narzędziem testów penetracyjnych sieci a coś co nie chroni przed ettercapem to słaby system cohrony. Dla ciekawych polecam snorta.