dsniff
ネットワークの監査だけでなく,侵入も可能な UNIX の実行可能ツール群。
作者は Dug Sing 氏。
最初のリリースは1999年12月で,ミシガン大学の研究所の1つ,Center for Information Technology Integration (CITI,情報技術統合センター) での彼の研究の成果らしい。
対応 OS は,OpenBSD,Red Hat Linux,Solaris で,古いバージョンは Windows にも移植されている。
また,Mac OS X 用のバージョンも登場すると見られている。
dsniff は,Berkeley DB,OpenSSL,libnet,libnids など,第三者のいくつかのパッケージに依存する。
このうち最初の2つは,OpenBSD のディストリビューションに含まれている。
dsniff,filesnarf,mailsnarf,msgsnarf,urlsnarf,webspy は,ネットワークをモニターして,攻撃者が関心のある内容を探すために使用される。
dsniff
-m オプション付きで起動すると,各種のメッセージング・プロトコルを自動的に検出できる。
dsniff 2.3
1つの DNS の範囲内で MITM 攻撃を開始できるモジュールを含んでいる。
sshmitm と webmitm は,随時 PKI の弱い結合を活用して,リダイレクトされた SSH および HTTPSセッションに対するアクティブな MITM 攻撃をインプリメントできらしい。
urlsnarf
盗聴しているネットからすべての http 要求を傍受し,それを IIS および Apache で使用されている共通ログ形式 (Common Log Format,CLF) に変換する。
hrlsnarf
盗聴するのは,ポート80 (平文の http が通る) と,ポート3128(MS プロキシー) および 8080 (汎用 プロキシー) に固定されている。
arpspoof
dsniff に含まれるツール。
ARP (アドレス解決プロトコル) を利用して,dsniff がデータを外に送り出すために通す必要のあるゲートウェイだと思い込ませる。
まず,攻撃者は arpspoof ツールを使って,偽造した ARP パケットを目標システムに送り出す。
この偽造されたパケットは,デフォルト・ゲートウェイが攻撃者から知らされたアドレスに変更になった,と目標システムに伝える。
変更になったアドレスは,攻撃者自身の IP アドレスであることが普通。
偽造したパケットを送受信するには,攻撃者は目標システムと同じサブネット上にいる必要がある。
したがって,攻撃者と目標システムは共通のデフォルト・ゲートウェイを持つことになり,そのゲートウェイのアドレスを攻撃者は知っていることになる。
ARP テーブルの変更が目標システムに受け入れられた後は,目標システムがネットワーク・トラフィックを送出するたびに,実際には,ゲートウェイになりすました攻撃者にそのデータを送る。
攻撃者は,受け取ったパケットを元々の宛先に転送するが,情報を自分にも記録する。
パケットを正しい最終宛先に転送されているので,盗聴を受けているユーザーは,起きている事にまったく気付かない。
参考
1)Windows に移植された旧バージョンの dsniff は http://www.datanerds.net/~mike/dsniff.html にある。
2)Dug Song 氏が公表した dsniff 2.3 は monkey.org にある。
戻る 『D』,最初のメニュー