Em uma rede de computadores, um Sniffer (farejador), ou também conhecido como Analisador de Pacotes, é um programa de computador ou hardware que pode interceptar e registrar tráfego que passa sobre uma rede digital ou parte de uma rede. Captura de pacotes é o processo de interceptação e registro de tráfego.
Importante entender também como realizar um ataque MITM, para que esse processo Sniffer funcione corretamente.
DICA: Sempre que estiver no Wireshark e pegar alguma algum HTTP codificado (anexo / compressão), clique o botão direito em cima de alguma solicitação ou resposta HTTP e vá em Follow > HTTP Stream. Assim o Wireshark irá decodificar e mostrar em texto limpo e organizado.
UUDECODE
Esse tipo de Decode é útil quando estamos "sniffando" uma rede e pegamos por exemplo, o conteúdo de um arquivo anexado em um e-mail (SMTP). Este começa com begin e termina com end. Pode também ser feito utilizando ferramentas como Wireshark ou Tcpdump.
uudecode<file_encode>
DICA: Ao executar esse comando, não é exibido nada, no entando será extraído o seu conteúdo em formato zip.
Wireshark
# Filtra por determinado IP (Origem ou Destino)ip.addr==<ip># Filtra por determinado IP de Origemip.src==<ip># Filtra por determinado IP de Destinoip.dst==<ip># Filtra por determinada portatcp.port==<port># Pesquisa por determinada strings dentro dos pacotestcpcontains<find># Exibe somente requisições HTTPhttp.request# Pesquisa por URL's que contém determinada stringshttp.request.uricontains<find>
TCPDump
Filtros em Tempo Real
Gravando Arquivo pcap
Lendo Arquivo pcap
Codificando a Saída
Verificando Interfaces de Rede
Metasploit
Esse Sniffer do Metasploit tem como objetivo pegar senhas, atuando nos protocolos POP3, IMAP, FTP e HTTP GET.
AdminSniff
URLSnarf
Capturando URLs que estão sendo acessadas via browser
DSniff
Sniffando a rede
DriftNet
Capturando todas as imagens que são carregadas no browser do alvo
HTTPCapture
Mailsnarf
Capturando e-mails de forma genérica
Capturando e-mails de forma genérica e encaminhando para um arquivo
Capturando e-mails de forma genérica e encaminhando para um arquivo de rede em específico
Capturando e-mails de forma genérica e encaminhando para um arquivo de host
# Host
tcpdump -i <interface> -n host <ip>
# Filtrando por mais de 1 host
tcpdump -i <interface> <host1> and <host2>
# Porta
tcpdump -i <interface> port <port>
# Filtrando por IP e Porta
sudo tcpdump -p -s 0 -w <file_output.pcap> port <port> and host <ip>
# Range de Portas
tcpdump -i <interface> tcpdump portrange 21-80
# ICMP
tcpdump -i <interface> -n icmp
# ICMP, mas que não seja do tipo icmp-echo e icmp-echoreply
tcpdump -i <interface> 'icmp[icmptype] != icmp-echo and icmp[icmptype] != icmp-echoreply'
# Pegando Credenciais FTP
tcpdump -i <interface> -n port ftp or ftp-data
tcpdump -i <interface> port ftp -l -A | egrep -i -B5 'pass=|pwd=|log=|login=|user=|username=|pw=|passw=|passwd=|password=|pass:|user:|username:|password:|login:|pass |user '
# Definindo a quantidade de pacotes que serão sniffados
tcpdump -i <interface> -c <qtde_pacotes>
# Lendo arquivo
tcpdump -i <interface> -tttt -r <file.pcap>
# Com resolução de IP
tcpdump -r <file.pcap>
# Sem resolução de IP
tcpdump -nr <file.pcap>
# Ativa o modo verbose
tcpdump -vnr <file.pcap>
# Mostra detalhes do Ethernet, para detalhes da parte física (MAC Address)
tcpdump -venr <file.pcap>
# Filtra por determinado IP (Origem ou Destino)
tcpdump -vnr <file.pcap> host <ip>
# Filtra por determinado IP de Origem
tcpdump -vnr <file.pcap> src host <ip>
# Filtra por determinado IP de Destino
tcpdump -vnr <file.pcap> dst host <ip>
# Filtra por determinado IP de Origem e outro IP de Destino
tcpdump -vnr <file.pcap> src host <ip> and dst host <ip>
# Filtra por determinado IP de Origem que utilizou ICMP
tcpdump -vnr <file.pcap> src host <ip> and icmp
# Filtra por um determinado protocolo, como udp, tcp, icmp, etc
tcpdump -vnr <file.pcap> <protocol>
# Filtra por portas
tcpdump -vnr <file.pcap> port <port>
# Resultado em Ascii
tcpdump -vnAr <file.pcap>
# Resultado em Hexadecimal
tcpdump -vnXr <file.pcap>
