[网络安全] Dsniff 嗅探工具的使用介绍(图)

Dsniff是一个高级的口令嗅探器, Dug Song写的Dsniff的工具是第一批扩展了传统的Sniffer概念的监听工具。Dsniff将制造的数据包注入到网络，并将通信数据重新定向到攻击者的机器。在这种方式下，Dsniff允许攻击者在交换环境的网络内窃听数据，甚至在攻击者和攻击目标不在同一个Lan(局域网)的情况下，也能使攻击者收集到他想要的数据。它支持telnet 、ftp、smtp、pop、imap、http,以及其他的一些应用协议，如果你只想获得用户主机的口令和用户名的话，就请选择dsniff。我爱电脑技术社区--打造最好的电脑技术自学交流平台* l, q+ l, G; J3 i, ~6 o

9 b% k( q& X- R% Y  f; MDsniff可以从http;//www.monkey.org/~dugsong/dsniff/处下载得到，安装之前还需要下载几个软件包（适合自己操作系统的）
( i) d2 s$ I* \打造最好的电脑自学交流论坛www.520diannao.com& g: G$ y0 f. V& ]% O& P$ K& o
Dsniff的安装与任何安装unix应用程序类似，在默认情况下dsniff会将工具放入 usr/local/sbin中。打造最好的电脑自学交流论坛, ^: X4 F4 r; S6 q% T5 T% O
电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站( l( X  s+ ^2 n+ H0 S3 [" A' U
它有一个支持Windows使用的 dsniff1.8版本，可以从http;//www.datanerds.net/~mike/dsniff.html处下载得到。打造最好的电脑自学交流论坛! f/ H" V/ E4 `; x0 F' H

$ R+ [3 J# Y% a* U下面我们来介绍一下它的使用命令以及每条命令的解释我爱电脑技术社区--打造最好的电脑技术自学交流平台* t; b5 C2 b; i4 P0 i
; D) P1 a/ C6 `" ^+ o$ a! w
-c 打开半双工TCP流，允许在使用 arpspoof时进行正确的嗅探操作；
& n: V- F) X; g( k( \/ n电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站-d 启动调试模式；
7 R3 G, j3 I  ]& x3 G* nwww.520diannao.com-f以/etc/service格式从文件中加载触发器（也就是口令嗅探的服务类型）；电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站& H- g8 D( Y2 n$ H6 y
-I使用特定的网络接口；
: x0 G" M! T/ J# p打造最好的电脑自学交流论坛-m  使用dsniff.magic文件通过在magic文件中定义的特征尝试自动判断协议；
4 ]5 h7 q/ u% Q- A2 Q+ O-n 不执行主机查找；
9 S! K- V. B7 y电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站-r 从前面保存的会话中读取被嗅探的数据；打造最好的电脑自学交流论坛0 h5 d1 j! K% m& Q! |
-s最多对报文的前个字节进行嗅探，如果用户名和口令信息包含在随后的默认1024字节界限中；
  s$ J  Y4 Y1 E9 [电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站-t使用格式 port /proto =service;来加载一个以逗号界定的触发器集；
* L( b# r8 x5 Q: |" Z9 i8 N我爱电脑技术社区--打造最好的电脑技术自学交流平台
0 n9 m( q8 r9 q5 M我爱电脑技术社区--打造最好的电脑技术自学交流平台 电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站7 }, q- L, p. a* q& M

; O) V, D& s3 l5 s我爱电脑技术社区--打造最好的电脑技术自学交流平台具体操作如下：
2 ~/ k! T  h$ Y! u$ V, m0 H: |
# Q7 t  _$ \5 F& D. w, {我爱电脑技术论坛Quote:+ S$ @9 H% f: Y# i& b/ [" P3 a
# dsniff – t  21/tcp =ftp.23/tcp =telnet –m
7 [0 J  `9 o, R# t; K我爱电脑技术社区--打造最好的电脑技术自学交流平台Tcp 192.168.0.101.3482 -192.168.0.102 .21(ftp)电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站0 m$ V" e& g0 [! ?. i  W1 N1 K- C% {
User  root我爱电脑技术论坛/ L/ C; `5 S9 e" Y
Pass  root
( L# H8 L* ]" o我爱电脑技术论坛Tcp 192.168.0.101.3483 -192.168.0.102.23(telnet)我爱电脑技术论坛/ N$ H& U+ m8 N- d
Root
( @9 j. f# N" V, J' ZGuessname我爱电脑技术论坛$ v8 ^: M1 K- |
Password
) ~1 ^" Y1 r) g- i. M" A* Y我爱电脑技术论坛我爱电脑技术社区--打造最好的电脑技术自学交流平台( F# x, Z# O7 [- L4 v

% n+ U& ]# g, g电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站我爱电脑技术社区--打造最好的电脑技术自学交流平台) y% W# x5 D  {# Z* l3 Y( |
我爱电脑技术论坛9 t' E: O$ c7 o" j6 E- u

% \# o6 y2 ]% K/ l8 u, U: U; pwww.520diannao.comFilesnarf我爱电脑技术社区--打造最好的电脑技术自学交流平台+ M- @/ n1 s# h; s. D1 U2 F6 d2 o1 _7 u
电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站! D6 Q2 I8 ^) W5 ?2 }: c
Tcpdump 可用于嗅探NFS流量。Filesnarf 工具可以真正的接收被嗅探的文件，并在系统上对其重新配置。某人在任何时候在网络上通过NFS移动文件时，你都可以获得该文件的一个副本。
6 B" [+ k( K0 _) B6 vwww.520diannao.com
1 ^% z3 h% R, {电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站同样可以使用-i选项来指定网络接口。在命令行上，可以指定Tcpdump报文过滤器表达式，用于嗅探NFS流量，并且可以指定要匹配的文件模式
' I1 ?' X4 Y6 E; h电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站
7 }/ D: v7 k' g+ ^" t! u- W( E我爱电脑技术社区--打造最好的电脑技术自学交流平台如：想嗅探 192.168.0.21上的mp3文件则
* f6 n7 B+ K0 g0 ^2 I# z打造最好的电脑自学交流论坛# filesnarf  *.mp3 host 192.168.0.21
1 Q% q# A! z. \2 e" v) t我爱电脑技术社区--打造最好的电脑技术自学交流平台
# ]. V: i5 s+ S* q% H0 B打造最好的电脑自学交流论坛Dsniff包里面还包含了大量mim窃取密码的方式，在这种方式下即使是ssl方式https 和ssh都是可以被中途截取的，非常的强大。当然这种方式仅仅用于同一个局域网中。电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站/ T+ S6 A4 Z  Y$ @* E) L) W! V. L

; U% U9 ?) _9 m我爱电脑技术社区--打造最好的电脑技术自学交流平台Sshmitm, T0 b; E# ]* _! ^3 j- x
我爱电脑技术论坛( I# Z( f) q; [0 l3 d! s
Sshmitm 是Dsniff自带的一个具有威胁的工具之一。如果你是在运行dnsspoof来伪造实际机器主机名，那么sshmitm可以重新定向到你的机器的ssh流量。因为它支持到ss1，所以这也是我们需要考虑把ssh升级到2的原因。我爱电脑技术论坛/ w) f/ @0 m9 N6 J
我爱电脑技术论坛. }; Y# |1 x$ N: u
Sshmitm的工作原理主要是dnsspoof工具使我们拦截到达另一台机器的ssh连接。只需要在端口22上启动Sshmitm（这里我们可以使用-p选项来改变所使用的端口号），并设置它来中继达到真实主机的连接。运行命令如下
1 }4 T/ Z3 z% U; q& r我爱电脑技术论坛
( M4 v' J; ^% U4 h电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站Sshmitm –p 22 192.168.0.101 22www.520diannao.com9 R8 S7 M4 H4 @: n3 b2 o

9 b& `4 ^6 @# q9 b- X, S我爱电脑技术论坛Sshmitm 可以截获来自某主机的密钥，它能对被劫持连接中的所有信息解码。
) c! P# N: \0 K! p6 n. W+ p我爱电脑技术社区--打造最好的电脑技术自学交流平台
+ t8 u  e- ~& o& a+ K我爱电脑技术论坛Urlsnarf
9 Y2 [$ L+ |' W我爱电脑技术社区--打造最好的电脑技术自学交流平台
( O. b  w/ c  X, V3 Q3 Y电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站Urlsnarf的工作方式就象这个工具箱中的其他嗅探程序一样，它是根据web url工作的。它将自己从http流量中嗅探到的任何url存储到一个日志文件中，可以在以后对该日志文件进行分析。它是查看在局域网上浏览信息的最简便方法。
: ]$ }; Z9 K: z& ^3 I- S* [1 F我爱电脑技术论坛
! Y& v4 s! W# |* w9 ]Webspy我爱电脑技术论坛9 H; l( {0 o9 V& C. U
www.520diannao.com1 i& S/ n. l1 ~
Dsniff中软件的最后一个工具，主要是通过指定lan上主机ip地址，Webspy是将嗅探从该主机发源的web流量。无论任何时候，只要从这台主机进入特定的一个url，Webspy都会在浏览器上加载相同的URL.
8 r) d% a) t! L+ xwww.520diannao.comwww.520diannao.com/ c3 [4 T; P) B  X& R8 ^
总结：这是个综合性的工具，主要应用在内网渗透方面。最新的版本是2.3的，需要的朋友可以到该主页上下载。不知道什么时候咱们国内也能有这样水准的嗅探工具，希望大家能在工作中让它发挥更大的作用。我想这个也完全可以用到事后入侵分析上，或者应用在密罐的综合应用上。因为他主要还是应用在unix系统上面，所以本次介绍多数都是在该平台下面来完成的。为了更好的让大家理解，我还找到了国外安全组织制作的关于Dsniff动画。