• Création par : lagrenouille
• Objet : du tuto
• Niveau requis :

  débutant, avisé
• Commentaires : Contexte d'utilisation du sujet du tuto.
• Débutant, à savoir : Utiliser GNU/Linux en ligne de commande, tout commence là !.

• à-tester, à-placer

apt install dsniff  dnstracer dnstop dig

Doc trouvé sur le net et testé

dsniff est un renifleur de mot de passe

dsniff est un renifleur de mot de passe qui gère FTP, Telnet, SMTP, HTTP, POP, poppass, NNTP,

     IMAP, SNMP, LDAP, Rlogin, RIP, OSPF, PPTP MS-CHAP, NFS, VRRP, YP/NIS, SOCKS, X11, CVS,
     IRC, AIM, ICQ, Napster, PostgreSQL, Meeting Maker, Citrix ICA, Symantec pcAnywhere, NAI
     
     Protocoles Sniffer, Microsoft SMB, Oracle SQL*Net, Sybase et Microsoft SQL.
     
  dsniff   détecte automatiquement et analyse au minimum chaque protocole d'application, en sauvegardant uniquement
     les bits intéressants et utilise Berkeley DB comme format de fichier de sortie, ne journalisant que
     tentatives d'authentification. Le réassemblage TCP/IP complet est fourni par libnids (3).

OPTIONS

1. c Effectue un réassemblage de flux TCP semi-duplex, pour gérer le trafic acheminé de manière asymétrique

(comme lors de l'utilisation de arpspoof (8) pour intercepter le trafic client à destination du

            passerelle).

1. d Activer le mode de débogage.

1. m Activer la détection automatique du protocole.

1. n Ne résout pas les adresses IP en noms d'hôte.

1. i interface

Spécifiez l'interface sur laquelle écouter.

1. p fichiercap

Plutôt que de traiter le contenu des paquets observés lors du processus réseau

            le fichier de capture PCAP donné.

1. s snaplen

Analyse au maximum les premiers octets snaplen de chaque connexion TCP, plutôt que

            par défaut de 1024.

1. f services

Charge les déclencheurs à partir d'un fichier de services .

1. t déclencheur [,…]

Charger les déclencheurs à partir d'une liste séparée par des virgules, spécifié comme port / proto = service (par exemple

            80/tcp=http).

1. r savefile

Lit les sessions reniflées à partir d'un fichier de sauvegarde créé avec l' option -w .

1. w fichier

Ecrit les sessions reniflées dans le fichier de sauvegarde plutôt que de les analyser et de les imprimer.

     expression 
            Spécifiez une expression de filtre tcpdump (8) pour sélectionner le trafic à renifler.

     Sur un signal de raccrochage, dsniff videra sa table de déclenchement actuelle dans dsniff.services .

dnstracer suivi des requêtes DNS jusqu'à leur source

-r retries : nombre de tentatives pour les requêtes DNS, par défaut 3

 dnstracer -r  3 -v debian.facile.org

-v verbose

-4 : ne pas interroger les serveurs IPv6

-c : désactivation de la mise en cache locale, activée par défaut

-C : active la mise en cache négative, désactivée par défaut

-o : permet d'obtenir un aperçu des réponses reçues, désactivé par défaut

-q querytype : type de requête à utiliser pour les demandes DNS, par défaut A

-s server : utilisation de ce serveur pour la requête initiale, par défaut localhost

Si . est spécifié, A.ROOT-SERVERS.NET sera utilisé.

-t durée maximale : Limite du temps d'attente par tentative

-v : verbeux

-S adresse IP : utiliser cette adresse source.

dnstop est un petit outil pour écouter sur l'appareil ou pour analyser le fichier savefile et collecter et

imprimer des statistiques sur le trafic DNS du réseau local. Vous devez avoir un accès en lecture à /dev/bpf* .

OPTIONS DE LA LIGNE DE COMMANDE

   Les options sont les suivantes :

1. 4 compte uniquement les messages avec des adresses IPv4, compte uniquement les messages avec des adresses IPv4

1. 6 compte uniquement les messages avec des adresses IPv6, compte uniquement les messages avec des adresses IPv6

1. Q ne compte que les messages de requête DNS, ne compte que les messages de requête DNS

1. R ne compte que les messages de réponse DNS, ne compte que les messages de réponse DNS

1. a anonymiser les adresses,

1. b expression

Expression de filtre BPF

           (par défaut : port udp 53)

1. j'adresse ignorer les adresses sélectionnées

1. p Ne pas mettre l'interface en mode promiscuité.

1. r Intervalle de rafraîchissement (secondes).

1. l niveau conserve le décompte des noms jusqu'au niveau des niveaux de nom de domaine.

           Par exemple, avec -l 2 (valeur par défaut), dnstop conservera deux tables : une avec top-
           noms de domaine de niveau, et un autre avec des noms de domaine de second niveau. Augmenter la
           Le niveau fournit plus de détails, mais nécessite également plus de mémoire et de CPU.

1. f nom du filtre d'entrée

           Le filtre "unknown-tlds" inclut uniquement les requêtes pour les TLD qui sont faux. Utile pour
           identifier les hôtes/serveurs qui fuient les requêtes pour des choses comme "localhost" ou
           « groupe de travail ».

           Le filtre "A-pour-A" inclut uniquement les requêtes A pour les noms qui sont déjà IP
           adresses. Certains serveurs DNS Microsoft Windows ont un bogue connu qui transmet
           ces requêtes.

           Le filtre "rfc1918-ptr" inclut uniquement les requêtes PTR pour les adresses dans l'espace RFC1918.
           Ceux-ci ne doivent jamais fuir de l'intérieur d'une organisation.

           Le filtre "refusé", lorsqu'il est utilisé avec l' option -R , indique à dnstop de ne compter que
           répond par rcode REFUSED.

           Le filtre "qtype-any" indique à dnstop de ne compter que les messages de type ANY.

1. n nom

Ne compte que les messages au sein du nom de domaine

1. P Affiche les messages de “progression” sur stderr en mode non interactif.

1. B compartiments Utiliser les compartiments de la table de hachage des compartiments.

1. X Ne tabule pas les sources + compteurs de nom de requête. Cela peut réduire considérablement

utilisation de la mémoire sur des serveurs occupés et des fichiers de sauvegarde volumineux.

   savefile 
           une trace réseau capturée au format pcap

   périphérique périphérique   Ethernet (c'est-à-dire fxp0)

OPTIONS D' EXÉCUTION

   Pendant l'exécution, les options suivantes sont disponibles pour modifier l'affichage :

   s afficher la table des adresses source

   d afficher la table des adresses de destination

   t afficher la répartition des types de requêtes vus

   r       display the breakdown of response codes seen

   o       display the breakdown of opcodes seen

   1       show 1st level query names

   2       show 2nd level query names

   3       show 3rd level query names

   4       show 4th level query names

   5       show 5th level query names

   6       show 6th level query names

   7       show 7th level query names

   8       show 8th level query names

   9       show 9th level query names

   !       show sources + 1st level query names

   @       show sources + 2nd level query names

   #       show sources + 3rd level query names

   $       show sources + 4th level query names

   %       show sources + 5th level query names

   ^       show sources + 6th level query names

   &       show sources + 7th level query names

• show sources + 8th level query names

   (       show sources + 9th level query names

   ^R      reset the counters

   ^X      exit the program

   space   redraw

   ?       help

MODE NON-INTERACTIF

   Si stdout n'est pas un tty, dnstop s'exécute en mode non interactif.  Dans ce cas, vous devez fournir

   un fichier de sauvegarde pour la lecture, au lieu de capturer des paquets en direct.  Après avoir lu l'intégralité du fichier

   dnstop imprime les 50 premières entrées de chaque table.

Paquet : dnsutils, Clients fournis avec BIND

Ce paquet fournit divers programmes clients reliés à DNS

Il est fortement conseillé de lire les doc et les man

Dig permet de tracer le chemin de recherche DNS en utilisant l’option +trace. Cette option permet d’effectuer des requêtes itératives pour résoudre la recherche de noms. Elle interrogera les serveurs de noms à partir de la racine et parcourra ensuite l’arbre de l’espace de noms à l’aide de requêtes itératives suivant les renvois en cours de route :

la commande dig appartient au metapaquet “dnsutils”

apt-get install dnsutils

dig [serveur] [nom] [type]

dig debian.org

Pour afficher uniquement l’adresse IP associée au nom de domaine, entrez ce qui suit :

dig debian.org +short

L’option +trace répertorie chaque serveur différent que la requête passe jusqu’à sa destination finale.

dig debian-facile.org +trace

dig debian.org MX

dig La commande dig dans Linux est utilisée pour collecter des informations DNS. Il signifie Domain Information Groper et collecte des données sur les serveurs de noms de domaine

exemple:

nslookup est un programme informatique de recherche d'information dans le Domain Name System, qui associe nom de domaine et adresses IP. nslookup permet donc

d'interroger les serveurs DNS pour obtenir les informations définies pour un domaine déterminé.

exemple:

nsupdate est utilisé pour soumettre des demandes de mise à jour DNS

L' option -d fait fonctionner nsupdate en mode débogage. Cela fournit des informations de suivi sur les demandes de mise à jour effectuées et les réponses reçues du serveur de noms.

L' option -t définit le temps maximum qu'une demande de mise à jour peut prendre avant d'être abandonnée. La valeur par défaut est de 300 secondes. Zéro peut être utilisé pour désactiver le délai d'attente.

L' option -u définit l'intervalle entre les nouvelles tentatives UDP. La valeur par défaut est de 3 secondes. Si zéro, l'intervalle sera calculé à partir de l'intervalle de temporisation et du nombre de tentatives UDP.

L' option -r définit le nombre de tentatives UDP. La valeur par défaut est 3. Si zéro, une seule demande de mise à jour sera effectuée.