Pas Tout A Fait

Aller au contenu | Aller au menu | Aller à la recherche

Présentation de la suite DSniff

Publié le 20 mars 2009 - Sécurité - Anonymat

Dernière mise à jour le 07 juin 2011

DSniff est une suite d'outil en ligne de commande destinée à réaliser l'audit d'un réseau et divers tests de pénétration, écrite par Dug Song, un chercheur universitaire en sécurité informatique. Cette suite est aujourd'hui encore relativement efficace, bien qu'ancienne et proche de l'obsolescence concernant certains de ces outils.

Ce billet est encore en cours d'écriture, la version définitive sera disponible... Quand elle sera prête™.

Les outils présents sont dsniff, filesnarf, mailsnarf, msgsnarf, urlsnarf, et webspy, qui sont des renifleurs de trafic réseau, chacun étant spécialisé dans la recherche d'un type particulier de donné. arpspoof, dnsspoof, et macof permettent quand à eux de récupérer et analyser des données normalement difficiles à atteindre en raison de la couche réseau qu'elles utilisent. Enfin, sshmitm et webmitm permettent la mise en place d'attaque de type "Man-in-the-Middle" contre ssh et https.

Il s'agit d'outils remarquables pour prendre conscience de la fragilité de la sécurité sur les réseaux, principalement du à l'usage encore massif de protocoles peu voir pas sécurisés.

dsniff-logo.png

DSniff

DSniff est un renifleur de trafic réseau, comme tcpdump ou ethereal/wireshark, mais il se contente de rechercher les mots de passe qui transitent en clair, exploitant ainsi les faiblesses de certains protocoles. C'est le programme central de la suite qui porte son nom.

Il supporte les protocoles FTP, Telnet, SMTP, HTTP, POP, poppass, NNTP, IMAP, SNMP, LDAP, Rlogin, RIP, OSPF, PPTP MS-CHAP, NFS, YP/NIS, SOCKS, X11, CVS, IRC, AIM, ICQ, Napster, Post­greSQL, Meeting Maker, Citrix ICA, Symantec pcAnywhere, NAI Sniffer, Microsoft SMB, Oracle SQL*Net, Sybase et Microsoft SQL.

Par exemple une connexion à un serveur FTP sans SSL :

$ sudo dsniff 
dsniff: listening on eth0
-----------------
03/24/09 16:42:02 tcp *****.*****.pastoutafait.org.53453 -> *****.21 (ftp)
USER anonymous
PASS anon@localhost

Ou un PassKey d'un tracker BitTorrent :

$ sudo dsniff 
dsniff: listening on eth0
-----------------
03/24/09 16:47:57 tcp *****.45776 -> a6-48-n14.cust.prq.se.80 (http)
GET /announce.php?passkey=*************************************** HTTP/1.1
Host: tracker.thepokerbay.org

-----------------
03/24/09 16:47:58 tcp *****.45777 -> a6-48-n14.cust.prq.se.80 (http)
GET /announce.php?passkey=*************************************** HTTP/1.1
Host: www.thepokerbay.org

Et encore un mot de passe de compte mail suite à une connexion sans SSL :

$ sudo dsniff 
dsniff: listening on eth0
-----------------
03/24/09 16:45:17 tcp *****.47716 -> pop.laposte.net.110 (pop3)
USER ********
PASS ********

DSniff est un outil fabuleux pour prendre conscience du nombre de mots de passe très facilement interceptables sur un réseau.

Filesnarf

Voilà un outil capable d'enregistrer les fichiers qui transitent via NFS dans le répertoire ou il est exécuté... Il n'est plus d'une grande efficacité face aux dernières versions de NFS.

Mailsnarf

Encore un programme d'une utilisation enfantine, qui cette fois ce charge de capter et d'afficher les mails en transitent sur l'interface d'écoute. Mailsnarf est à l'affut sur les ports SMTP (TCP 25) et POP (TCP 110) :

$ sudo mailsnarf 
mailsnarf: listening on eth0
From *****@*****.pastoutafait.org Tue Mar 24 16:57:27 2009
Subject: Re: Nouveau blog WordPress
From: Matthieu Patout <*****@*****.pastoutafait.org>
To: Test <wordpress@*****.*****.pastoutafait.org>
In-Reply-To: <d3d774fb99fa9d144241bf4bc1a59f54@*****.*****.pastoutafait.org>
References: <d3d774fb99fa9d144241bf4bc1a59f54@*****.*****.pastoutafait.org>
Content-Type: text/plain; charset="UTF-8"
Date: Tue, 24 Mar 2009 16:56:03 +0100
Message-Id: <1237910163.27290.0.camel@*****>
Mime-Version: 1.0
X-Mailer: Evolution 2.24.3 
Content-Transfer-Encoding: 8bit

Test mailsnarf

Le vendredi 30 janvier 2009 à 16:05 +0100, Test a écrit :
> Votre nouveau blog WordPress a été créé avec succès à l&rsquo;adresse suivante :
> 
> http://*****.*****.pastoutafait.org/wordpress
> 
> Vous pouvez vous connecter au compte administrateur avec les informations suivantes :
> 
> Identifiant : admin
> Mot de passe : *****
> 
> Nous espérons que vous apprécierez votre nouveau blog. Merci !
> 
> --L'équipe WordPress
> http://wordpress.org/
> http://www.wordpress-fr.net/ (traduction française et assistance)
>

Msgsnarf

Voilà un outil qui récupère les messages en transit via les protocoles utilisés par AOL Instant Messenger, ICQ, MSN Messenger, Yahoo Messenger ainsi que IRC.

Urlsnarf

Il s'agit ici de capturer et de présenter toutes les URL qui transitent sous le format CLF, permettant ainsi une analyse à postériori du trafic via un "LogAnalyser". Ce programme permet donc de capturer le trafic durant un intervalle voulu sans avoir à toucher aux volumineux fichiers de log. Il est à l'affut sur les ports TCP 80, 8080 et 3128 :

$ sudo urlsnarf 
urlsnarf: listening on eth0 [tcp port 80 or port 8080 or port 3128]
*****.*****.pastoutafait.org - - [24/Mar/2009:17:02:33 +0100] "GET http://*****.*****.pastoutafait.org/ HTTP/1.1" - - "http://*****.pastoutafait.org/hp220108.html" "Mozilla/5.0 (X11; U; Linux i686; fr; rv:1.9.0.7) Gecko/2009030422 Ubuntu/8.10 (intrepid) Firefox/3.0.7"
*****.*****.pastoutafait.org - - [24/Mar/2009:17:02:33 +0100] "GET http://*****.*****.pastoutafait.org/favicon.ico HTTP/1.1" - - "-" "Mozilla/5.0 (X11; U; Linux i686; fr; rv:1.9.0.7) Gecko/2009030422 Ubuntu/8.10 (intrepid) Firefox/3.0.7"

Webspy

L'un des programmes les plus efficaces pour sensibiliser l'utilisateur. Webspy permet d'afficher en direct les pages visitées par la cible dans son propre navigateur, et de suivre le parcours de la cible au fil des liens. Posez votre ordinateur à coté de l'écran de l'utilisateur à convaincre, lancez webspy en ciblant l'adresse de l'utilisateur, et voyez le résultat. ^^

Notez tout de même que cet outil souffre de limites pénalisantes dans certains cas, par exemple au cas ou la cible réalise une recherche sur un moteur. Toutes les URLs transmises par ce dernier seront considérées comme visitées par webspy.

Arpspoof

Un outil encore très utilisé, qui permet de forger des paquets ARP et de réaliser un empoisonnement du cache ARP des cibles.

Dnsspoof

Assez semblable à Arpspoof, mais ciblant les requêtes DNS.

Macof

Sshmitm

Webmitm

Il s'agit d'un proxy transparent pour l'utilisateur qui transite par, et qui se charge de relayer les connexions HTTP et HTTPS tout en les capturant. Il crée lors de son premier lancement un certificat SSL qui aura pour but de tromper la victime en lui fournissant ce faux certificat lors de connexions sécurisées. Le trafic capturé pourra ensuite être analysé tranquillement avec les outils adéquats.

Vous trouverez la traduction des pages de manuel de DSniff sur le site du traducteur, ou directement en pièce-jointe à ce billet.

Matthieu Patout

Auteur: Matthieu Patout

Restez au courant de l'actualité et abonnez-vous au Flux RSS

flo flo ·  28 avril 2010, 22:35

Salut, tu peux donner la version d'ubuntu (si ubuntu) que tu avais lors du test, car le dsniff actuel sous 10.04 ne semble pas fonctionner.

Merci

Matthieu Patout Matthieu Patout ·  29 avril 2010, 18:05

@flo : Salut,

Il s'agissait d'une Ubuntu 8.04 je pense.

Pas encore eu le temps de tester sous 10.04. :-(

Ajouter un commentaire Fil des commentaires de ce billet

Voir Aussi

torchat-logo.png

Messagerie instantanée sécurisée avec TorChat

Plusieurs solutions existent pour sécuriser les communications de messagerie instantanée. Il s'agit...

Lire la suite

hacker-rip.jpg

Vérifier l'intégrité d'un système de fichiers avec Integrit

Une bonne habitude pour surveiller qu'un serveur n'est pas compromis consiste à utiliser une...

Lire la suite

Découvrez le Nouveau « Pack Liberté »

Derniers billets

Catégories

Musique du moment