Arquivo da categoria ‘Sniffer’

Usando msn shadow e dsniff para capturar conversas de msn, icq etc…

Lógica do sniffing para capturar conversar em rede:

Tem alguém na sua rede, batendo papo no msn com outra pessoa, daí você usa o arpspoof para avisar todos computadores da rede, que o seu computador está como servidor, Sendo assim, tudo que entrar ou sair da rede terá que passar pelo seu computador(tipo um proxy transparente).

Daí, entra a tarefa do msn shadow que capturará todas as conversas.

Vamos la, para voce entender melhor o tutorial…

A ferramenta MSN Shadow possui a funcao de capturar as mensagens instantaneas que trafega pela rede com protocolos como MSN, Yahoo messenger, jabber. A ferramenta pode ser usada tanto com rede sem fio como em rede com fio, bastando simplesmente selecionar a interface de rede na qual encontra-se ligado.

O MSN Shadow permite visualizar em tempo real as mensagens instantaneas que trafegam pela rede, e tambem existe a possibilidade de capturar as conversas que ocorrem por meio de video conferencia podendo ser salvo em formato de video.

Para que o ataque seja realizado com sucesso, primeiro devemos ativar o encaminhamento de pacotes IP para que o tráfego da rede chegue aos destinos predefinidos.

O dsnif auxilia o MSN Shadow na captura dos pacotes com a ferramenta arpspoof. O arpspoof é executado contra o gateway da rede, fazendo com que todos os pacotes tenham que passar primeiro pela maquina do investigador, fazendo isso todo o trafego da rede passa primeiro pela maquina que está sendo executado o MSN Shadow.

Ativaçao do encaminhamento de pacotes IP:

#echo 1 > /proc/sys/net/ipv4/ip_forward

Execuçao do comando arpspoof que enviará pacotes de broadcast, avisando toda a rede que os ip’s possuem o endereço Mac da maquina atacante:

#arpspoof [endereco Ip do gateway]

#arpspoof [endereco IP da vitima]

OBS: Si você não quiser e/ou não saber usar o arpspoof, basta usar o caim e abel que eu já ensinei em um tutorial antes.

Anúncios

Suponha que você seja o segurança de rede da sua empresa, e todos os usuários reclamam que a conexão com a internet toda hora cai… Você, talvez como quase todos os gerentes de segurança em rede irá tentar resetar o modem da empresa. Porem, depois de resetar o modem, acontece novamente o problema dos usuários reclamarem… Daí, vem a pergunta… Como identificar uma possível DDOS( denial of service – negação de serviço)?

Existem muitas ferramentas que ajudam a voce identificar esse ataque.. Vou dar um belo exemplo usando o wireshark(Ethereal).

O Wireshark é uma ferramenta que verifica os pacotes transmitidos pelo dispositivo de comunicação (placa de rede, placa de fax modem, etc) do computador. O objetivo deste software, também conhecido como sniffer, é detectar problemas de rede, conexões suspeitas, auxiliar no desenvolvimento de aplicativos e qualquer outra atividade relacionada a rede.

Você pode baixa-lo no link abaixo:

http://www.baixaki.com.br/download/wireshark.htm

Abra o wireshark e ative o capturador de pacotes

1

Depois disso, basta começar a ver os pacotes trafegando na rede. No caso, do teste onde eu mesmo estava manejando duas maquinas.

1º Maquina é o atacante

2º Maquina do segurança

Na maquina do atacante deu um broatcast em toda rede, fazendo com que a mesma fique lenta e  conseqüentemente perderia a conexão com a internet de todos os computadores da rede.

Na maquina do segurança, eu usei o wireshark para identificar quem era o autor de toda aquela bagunça.

Veja na imagem:

broadcast

Na hora que eu comecei a capturar pacotes com o wireshark, então percebi que o ip 192.168.1.3 estava mandando pacotes para toda a rede(broadcast).

Repare que na ultima coluna chamada “Info”, tem algumas informações…

Who hás 192.168.1.45?  tell 192.168.1.3

O ip que está depois da palavra “tell” é o atacante(192.168.1.3) e o ip que esta depois do “Who hás” é o alvo.

Neste caso, todas as maquinas estavam sendo os alvos… repare que todas as linhas tem um ip diferente, Neste caso o atacante está atacando toda a rede, por isso que a internet de todos esta caindo.

Para acabar com este problema de broadcast, basta você adquirir um roteador ou switch gerenciável, e configurá-lo para recusar broadcast em excesso em toda a rede.

Depois de descobrir o ip do autor de quem está fazendo a zona na rede, basta ir ao individuo de bater na cara dele e depois cuspir no computador dele…kkkkkkkkkkkkkk

Brincadeira… Tome as decisões de acordo com a política de segurança da empresa onde você trabalha.