Dsniff
dSniff | ||||
---|---|---|---|---|
Ontwikkelaar(s) | Dug Song | |||
Uitgebracht | 17 december 2000 (23 jaar geleden) | |||
Recentste versie | 2.3 (17 december 2000) | |||
Status | Stopgezet | |||
Besturingssysteem | Linux en Unix | |||
Categorie | Packet sniffer | |||
Licentie(s) | BSD met 3 clausules | |||
Website | (en) Projectpagina | |||
|
DSniff is software die gebruikt wordt binnen de informatiebeveiliging die geschreven is door Dug Song, een onderzoeker op het gebied van beveiliging. Het bestaat uit een verzameling programma's waarmee informatie van computernetwerken afgeluisterd kan worden, zoals wachtwoorden en e-mailadressen. De software kan zowel voor legitieme doeleinden worden gebruikt, als voor illegale doeleinden, door computerkrakers. Dsniff is beschikbaar op Unix- en Linuxsystemen. Ook is er een port van een oudere versie van dsniff beschikbaar voor het besturingssysteem Windows en zijn er ports voor Mac OS X.
De reden voor Dug Song om dsniff te ontwikkelen was, zijn eigen netwerk te beveiligen. Hij verzoekt in zijn documentatie over de software dat gebruikers ervan dit niet voor illegale doeleinden gebruiken, en geeft aan hoe men het eigen netwerken tegen aanvallen van dsniff kan beveiligen, op diverse lagen van het OSI-model.
De programma's die deel uitmaken van dsniff kunnen diverse soorten informatie afluisteren. Bijvoorbeeld urlsnarf is met name geschikt om URL's te ontdekken, dsniff zelf om wachtwoorden te vinden, filesnarf om files te onderscheppen, enzovoorts. Dsniff kan zowel met draadloze als met bedrade netwerken omgaan.
Indien gebruik wordt gemaakt van applicatieprotocollen zonder encryptie, zoals FTP, HTTP en SMTP, is het relatief eenvoudig met behulp van dsniff wachtwoorden en andere gevoelige informatie op bijvoorbeeld wifinetwerken te vinden en op het scherm te tonen. Hierbij volstaat het, het netwerkverkeer passief af te luisteren doordat de informatie als leesbare tekst tussen systemen wordt uitgewisseld. Passieve aanvallen zijn in principe niet te detecteren. Bij geëncrypteerde protocollen, zoals FTPS, HTTPS en SMTPS, is het veel moeilijker netwerkverkeer af te luisteren, maar in bepaalde gevallen is dit evengoed ook mogelijk, met behulp van actieve aanvallen. De programma's sshmitm en webmitm kunnen hiervoor worden ingezet. Hiermee wordt een man-in-the-middle-aanval ingezet op SSH en HTTPS-verbindingen. Een kenmerk van actieve aanvallen is, dat zij eenvoudiger detecteerbaar zijn dan passieve aanvallen.
Onderdelen
[bewerken | brontekst bewerken]Naam van het programma | Omschrijving |
---|---|
arpspoof | Het programma arpspoof leidt frames of pakketten die voor een bepaalde computer bestemd zijn om, door antwoorden van het ARP protocol te vervalsen. Hiermee kan op een efficiënte manier netwerkverkeer op een switch worden afgeluisterd. |
dnsspoof | Het programma dnsspoof vervalst antwoorden op willekeurige aanvragen voor namen en adressen in de DNS op een lokaal netwerk. Dit kan gebruikt worden om controles op hostnames te omzeilen en voor het implementeren van diverse soorten man-in-the-middle-aanvallen. |
dsniff | Naar het programma dsniff is het softwarepakket genoemd. Het is een programma waarmee wachtwoorden van netwerken afgeluisterd kunnen worden. Dsniff kan de volgende protocollen verwerken: FTP, Telnet, SMTP, HTTP, POP, poppass, NNTP, IMAP, SNMP, LDAP, Rlogin, RIP, OSPF, PPTP MS-CHAP, NFS, VRRP, YP/NIS, SOCKS, X11, CVS, IRC, AIM, ICQ, Napster, PostgreSQL, Meeting Maker, Citrix ICA, Symantec pcAnywhere, NAI Sniffer, Microsoft SMB, Oracle SQL*Net, Sybase en Microsoft SQL-protocollen. |
filesnarf | Het programma filesnarf kan bestanden die via NFS worden benaderd lokaal opslaan op de computer van de aanvaller. |
macof | Met het programma macof kan een lokaal netwerk overspoeld worden met frames met willekeurige MAC-adressen, waardoor op veel soorten switches MAC flooding kan plaatsvinden, waardoor netwerkverkeer afgeluisterd kan worden. Macof is een rechtstreekse port in C van de originele Perl module Net::RawIP macof van Ian Vitek. |
mailsnarf | Met mailsnarf kunnen berichten die worden afgeluisterd van de SMTP- en POP3-protocollen in Berkeley mbox-formaat worden bewaard, waarna ze met mailprogramma's zoals mail en pine kunnen worden gelezen. |
msgsnarf | Het programma msgsnarf kan chatsessies onderscheppen en opslaan. Deze chatsessies kunnen worden gedaan met AOL Instant Messenger, ICQ 2000, IRC, MSN Messenger, of Yahoo Messenger. |
tcpkill | Met tcpkill kunnen TCP-verbindingen die gaande zijn worden verbroken. Dit is nuttig voor libnids-gebaseerde applicaties. |
urlsnarf | Het programma urlsnarf kan URLs in netwerkverkeer detecteren en afluisteren, en deze opslaan in een logformaat dat door bijna alle webservers wordt gebruikt, en dat door analyseprogramma's voor weblogs kan worden verwerkt, zoals analog en wwwstat. |
webspy | webspy stuurt URL's die van een webbrowser worden afgeluisterd naar een lokale Netscape-browser, zodat deze bijna gelijktijdig als het 'slachtoffer' in de webbrowser worden getoond. Het lijkt hierdoor, dat de aanvaller over de schouders van het slachtoffer kan meekijken, maar feitelijk kan hij of zij zich in een totaal andere locatie bevinden. Hiervoor moet Netscape al draaien met een lokale X server op de computer van de aanvaller. |