In der Linux-Welt existieren einige sehr nützliche Tools, die Netzwerkadministratoren, Sicherheitsbeauftragten und Hackern die Möglichkeit geben Daten mitzuschneiden. Die Tools sind weniger die Allrounder, allerdings besitzen alle ihre speziellen Fähigkeiten, die kombiniert erst ihre volle Wirkung entfalten. Es ist also etwas Puzzeln angesagt, steht das Bild, so fluppen die Daten nur so heraus. So lassen sich Daten abgreifen, Protokollfehler ermitteln oder Schwächen in einem Netzwerk aufdecken.

– Dsniff
Das Paket Dsniff beinhaltet ein Sammlung vielseitiger Netzwerktools, die hauptsächlich für Penetrationstests entwickelt worden sind. Es dienst dazu Schwächen im eigenen Netzwerk zu erkennen. Anschließend kann der Tester entscheiden, wie weit verschiedene erkannte Aspekte eine Bearbeitung bedürfen. Natürlich lässt sich dieses Paket auch für andere Analysen verwenden.

– arpspoof
Dieses Paket, bzw. Programm dient dem Fälschen von ARP-Paketen. Getestet werden kann damit die Sicherheit in LANs im Punkto einer Umleitung von Datenströmen. Beispielsweise kann mit dieser Software das Gateway entsprechend gespooft werden. Entsprechende Daten lassen sich anschließend ausleiten. Das Paket sendet gefälschte ARP-Pakete an bestimmte IP Adressen. In einem geswitchten Netzwerk lassen sich so auch einzelne Rechner entsprechend ausleiten.

– dnsspoof
Das Paket dnsspoof arbeitet ähnlich wie der ARP-Spoofer, jedoch schickt der gefälschte DNS-Pakete an Rechner. Damit kann man eine DNS-Auflösung insofern Ändern, das ein Computer die IP Adresse zu einem Angriffsrechner auflöst und entsprechend dorthin eine Verbindung aufbaut, anstatt zur „echten“ Adresse. Dies Tool kann damit den Grundstein für eine MITM-Attack legen.

– dsniff
Hat der Angreifer erst einmal den Datenstrom auf seiner Maschine, so kann das Auslesen von Kennwörtern von Wichtigkeit sein. Das Programm dsniff ließt als Passwort-Sniffer Kennwörter aus verschiedenen Protokollen, wie FTP, Telnet, SMB, IMAP, POP und HTTP. Es werden nur die Pakete abgelegt, die entsprechend Kennwörter beinhalten, nicht der ganze Netzwerkstrom.

– filesnarf
filesnarf ist ein File-Sniffer. Das Programm leitet übertragene Dateien aus dem Datenstrom aus. Beispielsweise wird eine Datei über das NFS Protokoll übertragen. Diese Datei wird erkannt und ausgeleitet. Ein Angreifer, der keinen Zugang zum NFS Server hat, kann auf diese Weise mit einer Umleitung des Traffic entsprechend übertragene Dateien in einem Netzwerk abfangen.

– macof
Möchte ein Angreifer den kompletten Traffic eines geswitchten Netzwerken sehen, so kann das Switch dazu überredet werden, entsprechend nach dem Standard sich als Hub zu verhalten. Dies geschieht, wenn der Mac-Adressen Speicher überfüllt ist. Somit erzeugt dieses Programm Pakete mit zufälligen Mac-Adressen und flutet damit den Speicher des Switch. Nach einiger Zeit sieht der Angreifer den Traffic des LANs. Nachteilhaft ist, das aufgrund des starken Performanceeinbruch die Benutzer schnell misstrauisch werden.

– mailsnarf
Mailsnarf ist ein Mail-Sniffer. Er leitet alle Mails aus den Datenströmen aus, die nicht SSL verschlüsselt sind. Das Protokoll POP und SMTP wird unterstützt.

– msgsnarf
Msgsnarf ist ein Nachrichten-Sniffer, der Inhalte von Chats ausließt. Unterstützt werden der AOL Messenger und ICQ, sowie MSN und Yahoo.

– sshmitm
Der Angreifer möchte die übertragenen Kennwörter beschaffen, die entsprechend über eine sichere SSH Verbindung gesendet werden. Hierzu sollte der Traffic auf die Angreifer-Maschine umgeleitet werden. Das Programm sshmitm versucht nun als eine Art Proxy die Daten einmal entgegenzunehmen und sie entsprechend weiter zur eigentlichen Zielmaschine zu senden. Hierzu ist auch das Tool dnsspoof nützlich, welches der Quellmaschine die Ziel-IP des SSH Servern vorgaukelt. Hat der Benutzer entsprechend das Zertifikat gespeichert, so wird entsprechend sofort ein Alarm angezeigt. Der Vorgang funktioniert nur, wenn der Benutzer achtlos einfach entsprechend das neue Zertifikat akzeptiert, ohne den Fingerprint zu prüfen.

– tcpkill
Das Programm tcpkill unterbricht laufende TCP-Verbindungen, indem Reset-Pakete entsprechend gefälscht und an die Maschine übertragen wird. Hiermit soll der Benutzer werden, erneut eine Verbindung zum Ziel-Rechner aufzubauen, die entsprechend möglichweise anschließend angegriffen werden soll. Ein Session-Hijacking könnte im Vorfeld auch versucht werden.

– tcpnice
Mit tcpnice wird eine Verbindung, durch die Anpassung der Flusssteuerung in den Paketen, die erlaubte maximale Datendurchsatzmenge entsprechend gebremst.

– urlsnarf
Möchte ein Angreifer alle angesurften URLs abgreifen, so kann er auf dieses Tool zurückgreifen. urlsnarf speichert alle URLs, die es aus dem HTTP Datenstrom abgreift in eine Protokolldatei. Damit entsteht ein Logfile, auf welchen Seiten sich die Benutzer bewegen.

– webmitm
Der Angreifer hat den Datenstrom mit einer DNS-Spoofing-Attack in seine Maschine geleitet. Nun möchte er SSL Verbindungen mit einer MITM Attack für ihn sichtbar machen. Dazu ist das Programm webmitm sehr nützlich und ermöglicht damit das Mitlesen von Kennwörtern. Das SSL Zertifikat muss entsprechend erzeugt werden, entsprechend getrustet sein. Das Opfer kann den Angriff durch Vergleich der Fingerprints erkennen. Auch wird der Browser warnen, falls das SSL Zertifikat des Angreifers nicht überprüft werden kann bzw. dem nicht vertraut wird.

– webspy
Das Programm webspy spioniert dem Quell-Host hinterher, indem es alle URLs aufruft, die durch den anderen aufgerufen worden ist. Der Angreifer kann so beobachten, wo der andere Benutzer surft.