vendredi 30 mai 2008

Sniff en mode Monitor (Tuto)

Lors d'un sniff en mode monitor sur un réseau protégé, les paquets sont cryptés.
Par exemple, lors d'un sniff avec airodump-ng, les paquets enregistrés dans le .cap sont indescriptibles si on ne connait pas la clé :











Mais une fois décrypté (en possédant la clé) avec airdecap-ng ou decrypt, on arrive à voir les informations enregistrés auparavant :











Airtun-ng
est un tool de la suite aircrack-ng et va nous permettre de sniffer et de décrypter les paquets reçus de manière instantané afin de lire les informations dans ettercap-ng.
Nous utiliserons aussi Driftnet qui permet d'afficher les images de flux TCP.

Le but ?

Sniffer les informations sans être connecté au réseau.

On commence par activer son Interface :











Puis on lance airtun-ng avec les paramètres -w (clé WEP) -a (BSSID) Interface :











Il est parfois obligé d'activer le modprobe tun auparavent sinon une erreur vous le rappelera :











L'interface at0 a été créée, il nous faut l'activer afin de sniffer l'interface :











Puis on lance ettercap-ng et on précisera l'interface at0 :











Il vous faudra simplement lancer le sniff de l'interface en cliquant sur start en haut a gauche. Ainsi le sniff décrypté grâce à airtun-ng apparait dans ettercap-ng :











En cas de problème, vous pouvez activer airodump-ng -c --bssid Interface afin de bien fixer la cible.
Vous pouvez à présent analyser les différents ports afin de voir le contenu des paquets. Ici, un pass a été trouvé ainsi que des conversations IRC et MSN ou l'on s'aperçoit que tout passe en clair :






















Vous pouvez aussi activer les plugins afin d'analyser votre cible sur son surf :











Ou encore activer le dns spoofing afin de rediriger votre victime sur un site (sur cette image, tout le trafic est redirigé sur google) :











Il ne reste plus qu'à activer Driftnet afin qu'il nous montre les images:











Les outils cités dans ce tuto sont implantés dans la distribution backtrack.

Pour plus d'informations sur leur utilisation :
http://www.aircrack-ng.org/doku.php?id=airtun-ng
http://ettercap.sourceforge.net/
http://www.ex-parrot.com/~chris/driftnet/

3 commentaires:

phalanx a dit…

Merci pour tout, ton blog est super continue !!

benjy a dit…

:)

Anonyme a dit…

Merci pour ton tuto mais j'ai un soucis quand je sélectionne mon interface ettercap se ferme et je crois qu'il désactive ma clé wifi.

Ta une raison à me donner?