Dsniff嗅探工具使用介绍

网络监听 (sniffer)技术出现了新的重要特征。传统的sniffer技术是被动地监听网络通信、用户名和口令。而新的sniffer技术出现了主动地控制通 信数据的特点，把sniffer技术扩展到了一个新的领域。Dug Song写的Dsniff的工具是第一批扩展了传统的sniffer概念的监听工具。 Dsniff制造数据包注入到网络，并将通信数据重定向到攻击者的机器。在这种方式下，Dsniff允许攻击者在交换环境的网络内窃听数据，甚至在攻击者 和攻击目标不在同一个Lan(局域网)的情况下，也能使攻击者收集到他想要的数据。

　　介绍 

　　这是一个口令嗅探器，可以处理的协议类型包括：  
　 　FTP，Telnet，SMTP，HTTP，POP，NNTP，IMAP，SNMP，LDAP，Rlogin，RIP，OSPF，PPTP，MS- CHAP，NFS，VRRP，YP/NIS，SOCKS，X11，CVS，IRC，AIM，ICQ，Napster，ostgreSQL， Meeting Maker，　　Citrix ICA，Symantec，pcAnywhere，NA  

　　I Sniffer，Microsoft SMB，Oracle QL*Net，Sybase及Microsoft SQL认证信息  

dsniff是一套在局域网环境下面的桥接欺骗工具。 

　　我们都知道tcpdump，用它可以探听到网络上流过本机的报文流量。 

　　但是tcpdump在交换网络下，无法用来探听其他主机间的通信。 

　　在安全方面，有一种经典的攻击方法称为arp欺骗攻击，通过伪造arp报文，欺骗相关的主机，将第三方接入到通讯双方的会话中去，dsniff就是基于这个原理。 

　 　例如在交换网络情况下 a和b中间在进行通信，作为c希望能探听他们之间的谈话，一个简单的方法就是对a宣称我是b 而对b宣称我是a，这样 a 和b 都把报文送给了c，如果在c上进行进行探听，并且进行转发，a和b之间根本不能感知到c的存在。其方法就是arp欺骗。 

　　首先要在 c上打开ip_forward功能，让a b间的报文可以进行转发；在用dsniff中的arpsproof软件对a 和b进行arp欺骗，这个时候你用 tcpdump在c上看一下，就会发现ab的报文都发到c上了，这个时候启动dsniff，这个工具的底层实现和tcpdump雷同，但是比较阴险的时 候，它能对到达的网络报文进行会话重组，能够还原telnet http msn smtp pop3等多种会话，凡是它发现了有用户名和密码出现的时 候，它就把用户名和密码截取打印出来。 

linux系统stable中已经包含了dsniff包

Dsniff是一个高级的口令嗅探器, Dug Song写的Dsniff的工具是第一批扩展了传统的sniffer概念的监听工具。Dsniff将制造的数据包注入到网络，并将通信数据重新定向到攻击者的机器。在这种方式下，Dsniff允许攻击者在交换环境的网络内窃听数据，甚至在攻击者和攻击目标不在同一个Lan(局域网)的情况下，也能使攻击者收集到他想要的数据。它支持telnet 、ftp、smtp、pop、imap、http,以及其他的一些应用协议，如果你只想获得用户主机的口令和用户名的话，就请选择dsniff。

Dsniff可以从http;//www.monkey.org/~dugsong/dsniff/处下载得到，安装之前还需要下载几个软件包（适合自己操作系统的）

Dsniff的安装与任何安装unix应用程序类似，在默认情况下dsniff会将工具放入 usr/local/sbin中。

-c 打开半双工tcp流，允许在使用 arpspoof时进行正确的嗅探操作；
-d 启动调试模式；
-f以/etc/service格式从文件中加载触发器（也就是口令嗅探的服务类型）；
-I使用特定的网络接口；
-m   使用dsniff.magic文件通过在magic文件中定义的特征尝试自动判断协议；
-n 不执行主机查找；
-r 从前面保存的会话中读取被嗅探的数据；
-s最多对报文的前个字节进行嗅探，如果用户名和口令信息包含在随后的默认1024字节界限中；
-t使用格式 port /proto =service;来加载一个以逗号界定的触发器集；

具体操作如下：
# dsniff �C t  21/tcp =ftp.23/tcp =telnet �Cm 

Filesnarf

    Tcpdump 可用于嗅探NFS流量。Filesnarf 工具可以真正的接收被嗅探的文件，并在系统上对其重新配置。某人在任何时候在网络上通过NFS移动文件时，你都可以获得该文件的一个副本。

    同样可以使用-i选项来指定网络接口。在命令行上，可以指定tcpdump报文过滤器表达式，用于嗅探NFS流量，并且可以指定要匹配的文件模式

如：想嗅探 192.168.0.21上的mp3文件则

# filesnarf  *.mp3 host 192.168.0.21

    dsniff包里面还包含了大量mim窃取密码的方式，在这种方式下即使是ssl方式https 和ssh都是可以被中途截取的，非常的强大。当然这种方式仅仅用于同一个局域网中。

Sshmitm

     Sshmitm 是dsniff自带的一个具有威胁的工具之一。如果你是在运行dnsspoof来伪造实际机器主机名，那么sshmitm可以重新定向到你的机器的ssh流量。因为它支持到ss1，所以这也是我们需要考虑把ssh升级到2的原因。

    Sshmitm的工作原理主要是dnsspoof工具使我们拦截到达另一台机器的ssh连接。只需要在端口22上启动sshmitm（这里我们可以使用-p选项来改变所使用的端口号），并设置它来中继达到真实主机的连接。运行命令如下

Sshmitm �Cp 22 192.168.0.101 22

Sshmitm 可以截获来自某主机的密钥，它能对被劫持连接中的所有信息解码。

Urlsnarf 

    Urlsnarf的工作方式就象这个工具箱中的其他嗅探程序一样，它是根据web url工作的。它将自己从http流量中嗅探到的任何url存储到一个日志文件中，可以在以后对该日志文件进行分析。它是查看在局域网上浏览信息的最简便方法。

Webspy

    Dsniff中软件的最后一个工具，主要是通过指定lan上主机ip地址，webspy是将嗅探从该主机发源的web流量。无论任何时候，只要从这台主机进入特定的一个url，webspy都会在浏览器上加载相同的URL