您所在的位置:网络安全 > 安全观察 > Dsniff 嗅探工具的使用介绍

Dsniff 嗅探工具的使用介绍

2008-01-04 13:59 子明 51CTO.com 字号:T | T
一键收藏,随时查看,分享好友!

我以前讲过了nc和nmap这些工具,我们今天就来讲一下Dsniff 工具,Dsniff是一个免费的工具集,最初的设计是为了更好的完成网络渗透测试,但发布的同时也被一些爱搞破坏的hacker用来嗅探和侦听网络会话。

AD:

【51CTO.com 专家特稿】在51CTO安全频道特别策划的嗅探工具的使用系列中子明已经介绍了ncnmap,本文将介绍另一种嗅探工具Dsniff ,Dsniff是一个免费的工具集,最初的设计是为了更好的完成网络渗透测试,但发布的同时也被一些爱搞破坏的hacker用来嗅探和侦听网络会话。

下载链接:http://down.51cto.com/data/146610

Dsniff是一个高级的口令嗅探器, Dug Song写的Dsniff的工具是第一批扩展了传统的Sniffer概念的监听工具。Dsniff将制造的数据包注入到网络,并将通信数据重新定向到攻击者的机器。在这种方式下,Dsniff允许攻击者在交换环境的网络内窃听数据,甚至在攻击者和攻击目标不在同一个Lan(局域网)的情况下,也能使攻击者收集到他想要的数据。它支持telnet 、ftp、smtp、pop、imap、http,以及其他的一些应用协议,如果你只想获得用户主机的口令和用户名的话,就请选择dsniff。

Dsniff可以从http;//www.monkey.org/~dugsong/dsniff/处下载得到,安装之前还需要下载几个软件包(适合自己操作系统的)

Dsniff的安装与任何安装unix应用程序类似,在默认情况下dsniff会将工具放入 usr/local/sbin中。

它有一个支持Windows使用的 dsniff1.8版本,可以从http;//www.datanerds.net/~mike/dsniff.html处下载得到。

下面我们来介绍一下它的使用命令以及每条命令的解释

-c 打开半双工TCP流,允许在使用 arpspoof时进行正确的嗅探操作;
-d 启动调试模式;
-f以/etc/service格式从文件中加载触发器(也就是口令嗅探的服务类型);
-I使用特定的网络接口;
-m   使用dsniff.magic文件通过在magic文件中定义的特征尝试自动判断协议;
-n 不执行主机查找;
-r 从前面保存的会话中读取被嗅探的数据;
-s最多对报文的前个字节进行嗅探,如果用户名和口令信息包含在随后的默认1024字节界限中;
-t 使用格式 port /proto =service;来加载一个以逗号界定的触发器集;

 

具体操作如下:

# dsniff – t  21/tcp =ftp.23/tcp =telnet –m 
 Tcp 192.168.0.101.3482 -192.168.0.102 .21(ftp)
 User  root
 Pass  root
 Tcp 192.168.0.101.3483 -192.168.0.102.23(telnet)
 Root 
 Guessname
 Password

Filesnarf

Tcpdump 可用于嗅探NFS流量。Filesnarf 工具可以真正的接收被嗅探的文件,并在系统上对其重新配置。某人在任何时候在网络上通过NFS移动文件时,你都可以获得该文件的一个副本。

同样可以使用-i选项来指定网络接口。在命令行上,可以指定Tcpdump报文过滤器表达式,用于嗅探NFS流量,并且可以指定要匹配的文件模式

如:想嗅探 192.168.0.21上的mp3文件则
# filesnarf  *.mp3 host 192.168.0.21

Dsniff包里面还包含了大量mim窃取密码的方式,在这种方式下即使是ssl方式https 和ssh都是可以被中途截取的,非常的强大。当然这种方式仅仅用于同一个局域网中。

Sshmitm

Sshmitm 是Dsniff自带的一个具有威胁的工具之一。如果你是在运行dnsspoof来伪造实际机器主机名,那么sshmitm可以重新定向到你的机器的ssh流量。因为它支持到ss1,所以这也是我们需要考虑把ssh升级到2的原因。

Sshmitm的工作原理主要是dnsspoof工具使我们拦截到达另一台机器的ssh连接。只需要在端口22上启动Sshmitm(这里我们可以使用-p选项来改变所使用的端口号),并设置它来中继达到真实主机的连接。运行命令如下

Sshmitm –p 22 192.168.0.101 22

Sshmitm 可以截获来自某主机的密钥,它能对被劫持连接中的所有信息解码。

Urlsnarf

Urlsnarf的工作方式就象这个工具箱中的其他嗅探程序一样,它是根据web url工作的。它将自己从http流量中嗅探到的任何url存储到一个日志文件中,可以在以后对该日志文件进行分析。它是查看在局域网上浏览信息的最简便方法。

Webspy

Dsniff中软件的最后一个工具,主要是通过指定lan上主机ip地址,Webspy是将嗅探从该主机发源的web流量。无论任何时候,只要从这台主机进入特定的一个url,Webspy都会在浏览器上加载相同的URL.

总结:这是个综合性的工具,主要应用在内网渗透方面。最新的版本是2.3的,需要的朋友可以到该主页上下载。不知道什么时候咱们国内也能有这样水准的嗅探工具,希望大家能在工作中让它发挥更大的作用。我想这个也完全可以用到事后入侵分析上,或者应用在密罐的综合应用上。因为他主要还是应用在unix系统上面,所以本次介绍多数都是在该平台下面来完成的。为了更好的让大家理解,我还找到了国外安全组织制作的关于Dsniff动画。

【51CTO.COM 专家特稿,转载请注明出处及作者!】
 

【相关文章】

【责任编辑:于捷 TEL:(010)68476606】



分享到:

热点职位

更多>>

热点专题

更多>>

读书

敏捷Acegi、CAS:构建安全的Java系统
本书是关于Acegi、CAS的权威教程,是Java/Java EE安全性开发者的必备参考书。无论是Java EE安全性编程模型的背景和基础知识,还

51CTO旗下网站

领先的IT技术网站 51CTO 领先的中文存储媒体 WatchStor 中国首个CIO网站 CIOage 中国首家数字医疗网站 HC3i