Olá pessoal, depois de algum tempo pesquisando e realizando testes em um laboratório virtual (passarei a arquitetura de rede usada abaixo), escrevi sobre como realizei um sniffer em uma rede Wirelles.
Lembrem-se: redes montadas com Hubs não necessitam dessa técnica pois a mesma já se encontra vulnerável. A técnica aplica-se a redes com Switchs e/ou Roteadores.
ARP Spoof ou também chamado por ARP-Poisoning consiste em “envenenar” a tabela ARP do roteador/switch, para que o PC intruso também receba os pacotes que seriam enviados apenas para o PC vítima.
Resumindo: vou interceptar informações confidenciais posicionando-me no meio de uma conexão entre duas ou mais máquinas!
Essa é arquitetura de rede que estou no momento:
Meu roteador (Gateway) é o: 192.168.1.1
Minha máquina (atacante): 192.168.1.3
Máquina alvo: 192.168.1.4
<Não entrarei em detalhes técnicos sobre o protocolo ARP, tabela ARP do switch/router etc, há bastante tutorial na internet sobre isso, vamos direto ao ataque em si>
A ferramenta que vou usar para isso chama DSNIFF, já préviamente instalada no Backtrack 5.
Caso precise instalar na sua distribuição (baseada em Debian) use:
sudo apt-get install dsniff
1º Passo: Configurar o Redirecionamento:
Para que após o spoofing os pacotes sejam redirecionados ao legítimo destinatário você deve habilitar o ip_forward no diretório virtual do kernel Linux (/proc)
No terminal digite:
# echo 1 > /proc/sys/net/ipv4/ip_forward
2º Passo: Efetuar o arpspoof:
Abra um terminal e digite:
# arpspoof -i wlan0 -t 192.168.1.4 192.168.1.1
aqui estou dizendo que quando o ip final 1.4 (maquina alvo) se comunicar com o gateway (final 1.1), na verdade o ip final 1.4 vai encaminhar os pacotes para o PC do atacante, no caso o meu. Deixe o terminal aberto.
Abra outro terminal e digite:
# arpspoof -i wlan0 -t 192.168.1.1 192.168.1.4
nesse outro terminal informo que quando o gateway (final 1.1) se comunicar com o ip final 1.4 na verdade ele (gateway) irá encaminhar os pacotes para o PC do atacante, no caso o meu.
Ficamos com o seguinte nesse momento:
Em ambos os casos após os pacotes chegarem a minha máquina eu os redireciono para a máquina legitima.
Vamos abrir agora o Wireshark, escolher a interface Wlan0 e dar start na captura dos pacotes:
Podemos perceber claramente os pacotes transitando entre a máquina alvo (192.168.1.4) e o gateway (192.168.1.1) bem como, vemos a minha máquina (192.168.1.3) fazendo o redirecionamento dos mesmos.
Uma analise de filtros no Wireshark mostraria senhas e logins.
Bem pessoal é isso ai, espero que tenham gostado do artigo e que tenham consigo compreender o que tentei compartilhar com vocês.
Jean
Lembrem-se: redes montadas com Hubs não necessitam dessa técnica pois a mesma já se encontra vulnerável. A técnica aplica-se a redes com Switchs e/ou Roteadores.
ARP Spoof ou também chamado por ARP-Poisoning consiste em “envenenar” a tabela ARP do roteador/switch, para que o PC intruso também receba os pacotes que seriam enviados apenas para o PC vítima.
Resumindo: vou interceptar informações confidenciais posicionando-me no meio de uma conexão entre duas ou mais máquinas!
Essa é arquitetura de rede que estou no momento:
Meu roteador (Gateway) é o: 192.168.1.1
Minha máquina (atacante): 192.168.1.3
Máquina alvo: 192.168.1.4
<Não entrarei em detalhes técnicos sobre o protocolo ARP, tabela ARP do switch/router etc, há bastante tutorial na internet sobre isso, vamos direto ao ataque em si>
A ferramenta que vou usar para isso chama DSNIFF, já préviamente instalada no Backtrack 5.
Caso precise instalar na sua distribuição (baseada em Debian) use:
sudo apt-get install dsniff
1º Passo: Configurar o Redirecionamento:
Para que após o spoofing os pacotes sejam redirecionados ao legítimo destinatário você deve habilitar o ip_forward no diretório virtual do kernel Linux (/proc)
No terminal digite:
# echo 1 > /proc/sys/net/ipv4/ip_forward
2º Passo: Efetuar o arpspoof:
Abra um terminal e digite:
# arpspoof -i wlan0 -t 192.168.1.4 192.168.1.1
aqui estou dizendo que quando o ip final 1.4 (maquina alvo) se comunicar com o gateway (final 1.1), na verdade o ip final 1.4 vai encaminhar os pacotes para o PC do atacante, no caso o meu. Deixe o terminal aberto.
Abra outro terminal e digite:
# arpspoof -i wlan0 -t 192.168.1.1 192.168.1.4
nesse outro terminal informo que quando o gateway (final 1.1) se comunicar com o ip final 1.4 na verdade ele (gateway) irá encaminhar os pacotes para o PC do atacante, no caso o meu.
Ficamos com o seguinte nesse momento:
Em ambos os casos após os pacotes chegarem a minha máquina eu os redireciono para a máquina legitima.
Vamos abrir agora o Wireshark, escolher a interface Wlan0 e dar start na captura dos pacotes:
Podemos perceber claramente os pacotes transitando entre a máquina alvo (192.168.1.4) e o gateway (192.168.1.1) bem como, vemos a minha máquina (192.168.1.3) fazendo o redirecionamento dos mesmos.
Uma analise de filtros no Wireshark mostraria senhas e logins.
Bem pessoal é isso ai, espero que tenham gostado do artigo e que tenham consigo compreender o que tentei compartilhar com vocês.
Jean