Phenquestions
Questo tutorial si concentra sull'intercettazione dei media, in particolare delle immagini utilizzando lo sniffer Driftnet, come vedrai sarà possibile acquisire solo immagini che passano attraverso protocolli non crittografati come http anziché https e persino immagini non protette all'interno di siti protetti con SSL (elementi non sicuri).
La prima parte mostra come lavorare con Driftnet ed Ettercap e la seconda parte combina Driftnet con ArpSpoof.
Utilizzo di Driftnet per acquisire immagini con Ettercap:
Ettercap è una suite di strumenti utili per effettuare attacchi MiM (Man in the Middle) con supporto alla dissezione attiva e passiva dei protocolli, supporta plugin per aggiungere funzionalità e funziona impostando l'interfaccia in modalità promiscua e arp poisoning.
Per iniziare, su Debian e distribuzioni Linux basate, eseguire il seguente comando per installare
# apt install ettercap-graphic -y
Ora installa Wireshark eseguendo:
# apt install wireshark -y
Durante il processo di installazione Wireshark chiederà se gli utenti non root sono in grado di acquisire i pacchetti, prendi la tua decisione e premi ACCEDERE continuare.
Infine per installare Driftnet usando apt run:
# apt install driftnet -y
Una volta installato tutto il software, per evitare di interrompere la connessione di destinazione è necessario abilitare l'inoltro IP eseguendo il comando seguente:
# cat /proc/sys/net/ipv4/ip_forward# ettercap -Tqi enp2s0 -M arp:remote ////
# echo “1”> /proc/sys/net/ipv4/ip_forward
Verificare che l'inoltro IP sia stato abilitato correttamente eseguendo:
Ettercap inizierà la scansione di tutti gli host
Mentre Ettercap esegue la scansione della rete, esegui driftnet utilizzando il flag -i per specificare l'interfaccia come nell'esempio seguente:
# rete da posta derivata -i enp2s0
Driftnet aprirà una finestra nera in cui appariranno le immagini:
Se le immagini non vengono visualizzate anche quando accedi alle immagini da altri dispositivi tramite protocolli non crittografati, verifica se l'inoltro IP è nuovamente abilitato correttamente e quindi avvia driftnet:
Driftnet inizierà a mostrare le immagini:
Per impostazione predefinita, le immagini intercettate vengono salvate all'interno della directory /tmp con il prefisso "drifnet". Aggiungendo il flag -d è possibile specificare una directory di destinazione, nel seguente esempio salvo i risultati all'interno della directory chiamata linuxhinttmp:
# driftnet -d linuxhinttmp -i enp2s0
Puoi controllare all'interno della directory e troverai i risultati:
Utilizzo di Driftnet per acquisire immagini con ArpSpoofing:
ArpSpoof è uno strumento incluso negli strumenti Dsniff. La suite Dsniff include strumenti per l'analisi della rete, l'acquisizione di pacchetti e attacchi specifici contro servizi specifici, l'intera suite include: arpspoof, dnsspoof, tcpkill, filesnarf, mailsnarf, tcpnice, urlsnarf, webspy, sshmitm, msgsnarf, macof, ecc.
Mentre nell'esempio precedente le immagini catturate appartenevano a bersagli casuali nell'esempio attuale attaccherò il dispositivo con IP 192.168.0.9. In questo caso il processo combina un attacco ARP forgiando il vero indirizzo del gateway facendo credere alla vittima che noi siamo il gateway; questo è un altro classico esempio di "Man In the Middle Attack".
Per iniziare, su Debian o distribuzioni Linux basate su installa il pacchetto Dsniff tramite apt eseguendo:
# apt install dsniff -y
Abilita l'inoltro IP eseguendo:
# echo “1”> /proc/sys/net/ipv4/ip_forward
Esegui ArpSpoof definendo l'interfaccia usando il flag -i, definisci il gateway e il target seguito dal flag -t:
# sudo arpspoof -i wlp3s0 -t 192.168.0.1 192.168.0.9
Ora avvia Driftnet eseguendo:
# rete da posta derivata -i wlp3s0
Come proteggersi dagli attacchi di sniffing
Intercettare il traffico è abbastanza facile con qualsiasi programma di sniffing, qualsiasi utente senza conoscenza e con istruzioni dettagliate come quelle trovate in questo tutorial può effettuare un attacco intercettando informazioni private.
Anche se catturare il traffico è facile, lo è anche per crittografarlo, così quando viene catturato rimane illeggibile per l'attaccante. Il modo corretto per prevenire tali attacchi è mantenere protocolli sicuri come HTTP, SSH, SFTP e rifiutarsi di lavorare attraverso protocolli non sicuri a meno che non ci si trovi all'interno di un protocollo VPN o SAE con autenticazione dell'endpoint per prevenire la falsificazione degli indirizzi.
Le configurazioni devono essere eseguite correttamente poiché con software come Driftnet sei ancora in grado di rubare contenuti multimediali da siti protetti SSL se l'elemento specifico passa attraverso un protocollo non sicuro.
Organizzazioni complesse o individui che necessitano di garanzia di sicurezza possono fare affidamento su sistemi di rilevamento delle intrusioni con capacità di analizzare i pacchetti rilevando anomalie.
Conclusione:
Tutto il software elencato in questo tutorial è incluso per impostazione predefinita in Kali Linux, la principale distribuzione di hacking Linux e nei repository Debian e derivati. Effettuare un attacco di sniffing mirato ai media come gli attacchi mostrati sopra è davvero facile e richiede pochi minuti. L'ostacolo principale è che è utile solo attraverso protocolli non crittografati che non sono più ampiamente utilizzati. Sia Ettercap che la suite Dsniff che contiene Arpspoof contengono molte funzionalità e usi aggiuntivi che non sono stati spiegati in questo tutorial e meritano la tua attenzione, la gamma di applicazioni spazia dallo sniffing di immagini ad attacchi complessi che coinvolgono l'autenticazione e credenziali come Ettercap durante lo sniffing delle credenziali per servizi come TELNET, FTP, POP, IMAP, rlogin, SSH1, SMB, MySQL, HTTP, NNTP, X11, IRC, RIP, BGP, SOCKS 5, IMAP 4, VNC, LDAP, NFS, SNMP, MSN, YMSG o Monkey nel mezzo di dSniff (https://linux.morire.net/man/8/sshmitm).
Spero che tu abbia trovato utile questo tutorial sul tutorial sui comandi Driftnet e sugli esempi.
