dsniff marche pas alors que wireshark si.

        Bonjour à tous,

Dans le cadre d'une audit de sécurité, j'ai besoins de prouver aux
"décideur" que les telnet, ftp, pop, etc. non sécurisés sont à bannir du
réseau.

Pour ce faire je pensais utiliser dsniff, et coller sous les yeux des
décideurs la liste des mots de passe de quelques serveurs "critique"
seulement ça marche pas !
- si je lance dsniff puis que je lance une connections FTP, dsniff ne me
donne rien.
- si je lance une capture wireshark ou tcpdump et que je lance la même
connections FTP, je vois bien les paquets d'établissement de la
connections, puis ceux qui contienne le login et le mot de passe.

Avez-vous une piste pour trouver d'ou vient ce disfonctionnement de dsniff ?

j'allais oublié, je suis en testing avec le paquet dsniff
2.4b1+debian-15 et je n'ai pas trouvé de bug sur le paquet pouvant se
rapporté à mon pb.

--
Thomas Clavier                  http://www.tcweb.org
Lille Sans Fil                  http://www.lillesansfil.org
+33 (0)6 20 81 81 30            JabberID : tom@...

    Bonjour,


Le vendredi 01 décembre 2006, Thomas Clavier a écrit...


> Avez-vous une piste pour trouver d'ou vient ce disfonctionnement de dsniff ?

C'est peut-être lié à ta commande elle même ? Comment as tu lancé ta
session dsniff (de quelle machine, vers quelle machine....etc...) ?

Je l'ai utilisé il y a un moment, pas sûr que je puisse t'aider, mais...

--
jm

A.E.L. Sarl (R.C.S CASTRES 490843240)
http://www.affaires-en-ligne.com


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench   
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@...
with a subject of "unsubscribe". Trouble? Contact listmaster@...

Jean-Michel OLTRA a écrit :
> C'est peut-être lié à ta commande elle même ? Comment as tu lancé ta
> session dsniff (de quelle machine, vers quelle machine....etc...) ?
dsniff -c -m -i eth0

--
Thomas Clavier                  http://www.tcweb.org
Lille Sans Fil                  http://www.lillesansfil.org
+33 (0)6 20 81 81 30            JabberID : tom@...

    Bonjour,


Le vendredi 01 décembre 2006, Thomas Clavier a écrit...


> > C'est peut-être lié à ta commande elle même ? Comment as tu lancé ta
> > session dsniff (de quelle machine, vers quelle machine....etc...) ?
> dsniff -c -m -i eth0

J'ai utilisé -n qui semble donner de meilleurs résultats (?).

La faq de dsniff indique qu'il est préférable de commencer à écouter,
puis de réinitialiser la connexion avec tcpkill et d'attendre la
reconnexion de l'utilisateur.

Tu peux également utiliser arpspoof pour rediriger le traffic vers une
machine.

Je suppose, en répondant, que tu as l'autorisation d'utiliser ces outils
sur ton réseau.

--
jm

A.E.L. Sarl (R.C.S CASTRES 490843240)
http://www.affaires-en-ligne.com


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench   
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@...
with a subject of "unsubscribe". Trouble? Contact listmaster@...

Le Vendredi 1 Décembre 2006 16:26, Jean-Michel OLTRA a écrit :
>     Bonjour,
>
>
> Le vendredi 01 décembre 2006, Thomas Clavier a écrit...
>
> > > C'est peut-être lié à ta commande elle même ? Comment as tu lancé ta
> > > session dsniff (de quelle machine, vers quelle machine....etc...) ?
> >
> > dsniff -c -m -i eth0

Chez cela fonctionne si il n'y a pas -m -c !?

Le Vendredi 1 Décembre 2006 11:19, Thomas Clavier a écrit :
> Bonjour à tous,

> Pour ce faire je pensais utiliser dsniff, et coller sous les yeux des
> décideurs la liste des mots de passe de quelques serveurs "critique"
> seulement ça marche pas !

Chez moi donc :
# dsniff -i eth1
dsniff: listening on eth1
-----------------
12/01/06 17:07:27 tcp ns0.gene6.net.3057 -> www.tribune-alternative.net.21
(ftp)
USER titi
PASS xxxxxxxx

-----------------
12/01/06 17:08:11 tcp www.antoinedawans.be.35210 -> pop.free.fr.110 (pop)
USER blabla
PASS xxxxxxxx

Ainsi on montre POP et FTP

Jean-Michel OLTRA a écrit :
> J'ai utilisé -n qui semble donner de meilleurs résultats (?).

pas mieux

> La faq de dsniff indique qu'il est préférable de commencer à écouter,
> puis de réinitialiser la connexion avec tcpkill et d'attendre la
> reconnexion de l'utilisateur.

j'ai testé aussi ...

> Tu peux également utiliser arpspoof pour rediriger le traffic vers une
> machine.

ça c'est dans un second temps, si déjà ça pouvait marcher pour les
données qui entre et sorte directement de la machine ce serait bien.

> Je suppose, en répondant, que tu as l'autorisation d'utiliser ces outils
> sur ton réseau.

oui, forcément, comme indiqué dans le premier message c'est une audit.

--
Thomas Clavier                  http://www.tcweb.org
Lille Sans Fil                  http://www.lillesansfil.org
+33 (0)6 20 81 81 30            JabberID : tom@...

Laurent Besson a écrit :
> Chez cela fonctionne si il n'y a pas -m -c !?

non

--
Thomas Clavier                  http://www.tcweb.org
Lille Sans Fil                  http://www.lillesansfil.org
+33 (0)6 20 81 81 30            JabberID : tom@...

Laurent Besson a écrit : c'est exactement ce que je voulais faire .... mais avec des données qui
leurs semblais bien protégé. Seulement ça marche pas ... même en local.

--
Thomas Clavier                  http://www.tcweb.org
Lille Sans Fil                  http://www.lillesansfil.org
+33 (0)6 20 81 81 30            JabberID : tom@...

    Bonjour,


Le vendredi 01 décembre 2006, Thomas Clavier a écrit...


> c'est exactement ce que je voulais faire .... mais avec des données qui
> leurs semblais bien protégé. Seulement ça marche pas ... même en local.

J'ai essayé sur du POP :

- ça met du temps à être déchiffré;
- ça a marché sur deux comptes sur trois.

Il semble qu'il faille du traffic ?

--
jm

A.E.L. Sarl (R.C.S CASTRES 490843240)
http://www.affaires-en-ligne.com


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench   
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@...
with a subject of "unsubscribe". Trouble? Contact listmaster@...

Le Vendredi 1 Décembre 2006 19:06, Jean-Michel OLTRA a écrit :
> Il semble qu'il faille du traffic ?

Non !
J'ai 30 users, dont sur 3-5 qui reccupèrent régulièrement leurs mails...
Les autre c'est assez ~

Quel version de dnsiff ?
La (les plateformes) ?

    Bonjour,


Le samedi 02 décembre 2006, Laurent Besson a écrit...


> Les autre c'est assez ~

> Quel version de dnsiff ?

J'ai essayé sur une Sarge qui fait passerelle.

version : 2.4b1-9

--
jm

A.E.L. Sarl (R.C.S CASTRES 490843240)
http://www.affaires-en-ligne.com


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench   
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@...
with a subject of "unsubscribe". Trouble? Contact listmaster@...