dsniff

Posted 2021-12-04 _雪辉_

Dsniff是一个工具集，主要分为四类：

纯粹被动地进行网络活动监视的工具，包括：dsniff、filesnarf、mailsnarf 、msgsnarf、urlsnarf、webspy;
针对SSH和SSL的MITM（Man-In-The-Middle）"攻击"工具，包括sshmitm和webmitm;
发起主动欺骗的工具，包括：arpspoof、dnsspoof、macof;
其它工具，包括tcpkill、tcpnice

• dsniff: 一个密码侦测工具，他能够自动分析端口上收到的某些协议的数据包，并获取相应的密码。dnisff支持的协议有FTP, Telnet, SMTP, HTTP, POP, poppass, NNTP, IMAP, SNMP, LDAP, Rlogin, RIP, OSPF, PPTP MS-CHAP, NFS, VRRP, YP/NIS, SOCKS, X11, CVS, IRC, AIM, ICQ, Napster, PostgreSQL, Meeting Maker, Citrix ICA, Symantec pcAnywhere, NAI Sniffer, Microsoft SMB, Oracle SQL*Net, Sybase and Microsoft SQL;
• filesnart: 嗅探网络文件系统（NFS）的流量，并选定某个文件，转储到本地当前工作目录;
• mailsnarf: 可以嗅探SMTP和POP流量，并以Berkeley邮件格式输出e-mail消息;
• msgsnarf:可以嗅探聊天软件的聊天内容，包括AOL,ICQ 2000, IRC, MSN Messenger, 或Yahoo Messenger;
• urlsnarf: 可以嗅探HTTP请求报文的内容，并以CLF (Common Log Format）通用日志格式输出;
• webspy: 指定一个要嗅探的主机，如果指定主机发送HTTP请求，打开网页，webspy也会通过netscape浏览器在本地打开一个相同的网页;
• sshmitm: 是Dsniff自带的一个具有威胁的工具之一。首先通过dnsspoof伪造实际机器主机名将攻击目标主机的SSH连接转到本地，那么sshmitm可以截获来自主机的密钥，并获得被劫持连接中的所有信息解码，然后重新转发SSH流量到SSH服务器;
• webmitm:与sshmitm类似，也需要dnsspoof的"配合"，不同的是，webmitm"劫持"的是HTTP和HTTPS会话过程，捕获SSL的加密通信;
• arpspoof:启用arp欺骗，将自己网卡的IP地址伪装成指定IP地址的MAC;
• dnsspoof: 启用DNS欺骗，如果dnsspoof嗅探到局域网内有DNS请求数据包，它会分析其内容，并用伪造的DNS响应包来回复请求者。如果是 请求解析某个域名，dnsspoof会让该域名重新指向另一个IP地址（黑客所控制的主机），如果是反向IP指针解析，dnsspoof也会返回一个伪造的域名;
• macof:用来进行MAC flooding，可以用来使交换机的MAC表溢出，对于以后收到的数据包以广播方式发送。注意：在进行MAC泛洪之前就存在于交换机MAC表中的条目不会被覆盖，只能等到这些条目自然老化;
• tcpkill: 能够切断指定的TCP会话连接，主要是基于TCP的三次握手过程;
• tcpnice: 能够通过在添加活动的流量，降低指定的LAN上的TCP连接的速度.