driftnet

התוכנה driftnet מאזינה לתעבורה ברשת (בעזרת libpcap) ומציגה על המסך תמונות שנתגלו על-ידה במידע שעבר באותה תעבורה.

כפי שכבר ציינתי בפוסטים ומאמרים קודמים, אני אוהב להשתמש ב-Docker. יש אפשרות, כמובן, להריץ Kali - או כל מערכת לינוקס אחרת שמיועדת ל-pentesters - על מכונה וירטואלית, למשל. פחות זורם לי כרגע. בכל מקרה, בפוסט על dsniff הדגמתי בנייה של קונטיינר שמכיל מספר תוכנות על מכונת Debian. מה שאעשה עם ה-driftnet זה, פשוט מאוד, אוסיף אותה לחבילה. אולי בהמשך אשנה את השם מ-dsniff לשם כללי יותר.

Dockerfile

את ה-image אני בונה בצורה הבאה:

$ docker build -t dsniff .

התוכנה driftnet צריכה חלון גרפי של X כדי לעבוד, לכן יש צורך לאפשר ל-xhost הרשאות למשתמש docker. לאחר מכן, נריץ את הקונטיינר:

$ xhost +local:docker

$ docker run --rm -it --env DISPLAY=unix$DISPLAY --network host dsniff driftnet -i wlo1

שימו לב שהעברתי לקונטיינר את משתנה הסביבה DISPLAY לצורך תצוגה גרפית. בנוסף לכך, הרצתי את התוכנה בצורה אינטראקטיבית - ללא צורך להיכנס ל-shell.

ניתן לראות בסרטון הבא הדגמה לשימוש בתוכנה, בה אני מבצע תקיפת MITM בעזרת arpspoof ו-mitmproxy. את התמונות אני מציג, כמובן בעזרת driftnet.

התוקף הוא מכונת אובונטו על הלפטופ שלי כשהקורבן הוא מכשיר אנדרואיד שברשותי. בשניהם עשיתי צילום וידאו של המסך ושילבתי ביניהם. ב-00:26 ניתן לראות במרכז המסך את מכשיר האנדרואיד.

במאמר מעבדת סייבר - קריאה ועריכת תעבורה של קורבן ברשת אני מרחיב על תקיפה מהסוג הזה בשימוש בתוכנות שציינתי קודם לכן.