Wprowadzenie, czyli za Wikipedią
Sniffer (ang. wąchacz) – program komputerowy lub urządzenie, którego zadaniem jest przechwytywanie i ewentualne analizowanie danych przepływających w sieci. Wspólną cechą wielu takich analizatorów jest przełączenie karty sieciowej w tryb mieszany (ang. promiscuous), w którym urządzenie odbiera wszystkie ramki z sieci, także te nieadresowane bezpośrednio do niego; sniffery mogą być uruchamiane także na routerze lub na komputerze będącym jedną ze stron komunikacji sieciowej – i w tych przypadkach tryb promiscuous nie jest konieczny.

Sniffer stanowi nieodzowne narzędzie diagnostyczne większości administratorów sieci, zwłaszcza podczas diagnostyki problemów z niezawodnością lub wydajnością połączeń. Może być również stosowany do monitorowania aktywności sieciowej osób trzecich, co jest w większości przypadków niezgodne z prawem. W celu ochrony przed takimi atakami, niektóre protokoły komunikacyjne stosują mechanizmy kryptograficzne.

ettercap
Przykładem sniffera jest ettercap, program dostępny jest w repozytoriach wielu dystrybucji, w Ubuntu również go nie zabrakło. Aplikacja może działać w konsoli, tworząc pseudograficzny interfejs użytkownika, jak i w trybie graficznym, korzystając z biblioteki GTK.Program dostępny jest również na systemy Windows.

Instalacja
sudo apt-get install ettercap – wersja konsolowa
sudo apt-get install ettercap-gtk – wersja pod środowisko GNOME, z której korzystałem.

Atak DHCP Spoofing
Podsłuchiwanie transmisji pakietów metodą DHCP Spoofing, ma dość prostą zasadę działania. Jak sama nazwa tej metody wskazuje, atak może przeprowadzony być tylko w tych sieciach, w których konfiguracja hostów przebiega poprzez serwer DHCP – zainstalowany na serwerze sieciowym, bądź routerze. Celem ataku jest podszycie się pod bramę sieciową, w efekcie cały ruch sieciowy ofiary kierowany jest na komputer agresora. Wszystko zadziała, jeśli komputer agresora odpowie szybciej na żądanie konfiguracji połączenia, niż prawdziwy serwer DHCP. Agresor ma tutaj przewagę ponieważ, fałszywy serwer DHCP przydzielając IP dla ofiary, nie musi sprawdzać czy dany IP jest w użyciu. A więc do dzieła. :)

• Uruchamiamy etthercap z menu: Programy > Internet – będziemy potrzebowali praw superużytkownika, czyli roota.

• W menu programu odnajdujemy opcje: Sniff > Unified sniffing, a następnie wybieramy interfejs sieciowy z którego aktualnie korzystamy.

• W menu odnajdujemy interesującą nas opcje, czyli: Mitm > DHCP Spoofing. Teraz musimy podać konfigurację fałszywego serwera DHCP, należy zwrócić uwagę aby: pula adresów IP i maska należały do naszej podsieci. Aby ofiara podczas ataku zachowała dostęp do internetu musimy podać adres działającego serwera DNS.

• Wszystko już gotowe, więc wędrujemy do menu i wybieramy funkcje: Start > Start sniffng

• Teram możemy wypić piwko, soczek, lub piwko… jak kto woli, ;) ponieważ musimy czekać, aż upłynie czas dzierżawy IP dla komputera ofiary. Jeśli nasz fałszywy serwer DHCP “zdąży” pojawi się stosowny komunikat o numerze IP, który został przyznany dla komputera ofiary. Teraz mamy wgląd we wszystkie połączenia ofiary, korzystając z opcji: View > Connections. Po za szczegółowymi informacjami o poszczególnych połączeniach, mamy też możliwość “killowania” ich.

Podsumowanie
Nie jestem pewien, ale wydaję mi się, że jedyną metodą obrony przed tego typy atakiem jest ręczna konfiguracja sieci ( proszę mnie poprawić, jeśli się mylę :) ). Podsumowując, etthercap to przydatne narzędzie do testowania sieci, oraz diagnozowania ewentualnych problemów, a że dzięki niemu możemy dowiedzieć się wiele ciekawych rzeczy… ;)

Postaram się w nabazgrać jeszcze coś na temat ettercapa i jemu podobnych narzędzi.

Dla spokoju sumienia autora :P
§ 3 art 267 Kodeksu karnego:

Kto w celu uzyskania informacji, do której nie jest uprawniony, zakłada lub posługuje się urządzeniem podsłuchowym, wizualnym albo innym urządzeniem lub oprogramowaniem podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.