Linux Storm Forum

http://ftp.linuxstorm.org/projects/barca/

GGNiuf to sniffer gg. Niestety, do tej pory na Linuksa był wg moich wiadomości tylko 1 sniffer gg (ggsnif). Z powodu jego wad zdecydowałem się napisać coś nowego. Każdemu kto miał z nim jakiś bliższy kontakt nie trzeba przypominac że kompilacja samego dsniffa to już wyczyn, do tego trzeba spatchować msgsnarfa. Ponadto największą wadą ggsnifa jest konieczność resetu klientów gg w trakcie snifowania.
GGNiuf działa inaczej. Jest to skrypt perla i oprócz siebie samego nie wymaga nic więcej z jednym wyjątkiem. Musisz mieć zainstalowany w systemie moduł do Perla zwany jako Net::Pcap (co i jak - odsyłam do komentarza w samym skrypcie) - dosłownie pół minuty roboty. Przechwycone wiadomości wyświetla w przejrzystym, kolorowym formacie, loguje też włączenie komunikatora do sieci. Ponadto jednocześnie wszystko zapisuje do pliku /var/log/ggniuf.log dzięki czemu można łatwo zapoznać się z całością rozmowy w poźniejszym czasie. Nie wymaga resetu komunikatorów, a testowany był we "współpracy" z Kadu, Ekg oraz najnowszą obecnie wesją Gadu-Gadu. Sniffer działa także w sytuacji gdy pakiety uzyskaliśmy w drodze arp-spoofingu, mało tego, wyeliminowane jest wtedy podwójne wyświetlanie komunkatów dzięki sprawdzaniu TTL.
Tyle chwalenia się Oczywiście proszę o testowanie i komentowanie. W szczególności interesują mnie komunikaty o błędnym wyświetlaniu czegokolwiek oraz o nielogowaniu pakietów z któregoś z komunikatorów. Zawsze proszę o podanie maksimum szczegółów, zwłaszcza nazwy komunikatora i sposobu w jaki dostajemy pakiety (czy sniffujemy na serwerze czy też z wykorzystaniem np. arp-spoofingu), a już byłbym wniebowzięty gdybym dostał same pakiety np. w formie pliku Ethereala.
Skrypt jest w pełni sprawny, nie zanotowałem żadnych błędów. Może kiedyś dodam sniffowanie hasha i seeda haseł, ale to już więcej roboty...
W razie problemów czytaj komentarz w skrypcie, to najważniesjsza część:

# TROUBLESHOOTING
#
# If you can't run script properly, read error message and do what it says.
# Probably you'll need to install newest lipcap (http://www.tcpdump.org)
# or/and special perl module: Net::Pcap. This module can be downloaded from
# http://search.cpan.org/~kcarnut/Net-Pcap-0.05/ and installed by typing
# 'perl Makefile.PL && make && make test && make install'. Second way to
# install Net::Pcap is logging as root and typing 'perl -MCPAN -eshell'.
# Then, you can install module with command 'install Net::Pcap'.

Ta strona z Net Pcapem nie dziala...:(

Can't locate Net/Pcap.pm in @INC (@INC contains:

To chyba znaczy ze nie ma tego :/

Był błąd w komentarzu. Zamiast:

http://search.cpan.org/~kcarnut/Net-Pcap-0.0.5/

ma być:

http://search.cpan.org/~kcarnut/Net-Pcap-0.05/

Ale to chyba niewielki problem? ;]

No nie jest to problem... gorzej z uruchomieniem tego skryptu.. gdyz jak probuje uruchomic ggniuf wyskakuje blad z tym net-pcap'em a jak instaluje tego net-pcap'a to mi wyskakuje blad podczas 'make' i juz calkiem nie wiem jak to naprawic:/

Przytocz tu to co wywala Ci make. Robisz po kolei tak jak napisałem w komentarzach do skryptu?

Za to ja mam taki problem gdy wpisuje perl makefile.pl :

Could not open 'Pcap.pm': No such file or directory at /usr/lib/perl5/5.8.5/ExtUtils/MM_Unix.pm line 3110.

O co chodzi? :] widze ze nie moge otworzyc jakiegos pliku pcap.pm i nie mam utworzonego folderu z pcapem. Skąd to mam wziąc?

A moduł zainstalowałeś?

Ta... Sciągnąłem net pcapa wszedłem do folderu głównego:

perl Makefile.PL
make
make test
make install

Potem zrobiłem tak jak było opisane w readme i nie działa... Te same errory...

Coś ze ścieżkami masz popsute. Zobacz co pisze w MM_Ubix.pm w linii 3110, spróbuj skopiować Pcap.pm do katalogu z MM_Ubix. W katalog /usr/lib/perl5 mi się nie podoba ;) Powinno raczej bić /usr/lib/perl, zrób dowiązanie symboliczne może.

No dobra sprubóje ;]

U mnie rusza, ale mam 2 sieciówki a eth0 i eth1 a chce nasłuchiwać na eth1.Wydaje mi sie że Niuf nasłuchuje na eth0, gdyż nic nie widać, co mam zrobić??

Tak, to pewnie przez to że snifujesz na niewłaściwym interfejsie. Znajdź w GGNiuf linijkę: my $device = 'eth0' - na co zmienić, sam już wiesz ;)
Do arp poisoningu możesz także użyć mojego skryptu arper.sh - http://ftp.linuxstorm.org/projects/barca
Powodzenia ;)

Powstały nowe problemy :] nie widać 99% ruchu wychodzącego od moich sąsiadów.Wydaje mi sie że to przez to że miało być filtrowanie tak, żeby pokazywać tylko raz wiadomość przy arp poisoningu.Efekt jest taki że itak widać po pare razy (używam ETTERCAPA jako switch sniffera) a nie widać rozmów wychodzących od sąsiadów tylko przychodzące, a pod windowsem na tym samym Ettercapie 0.6.9 + UAP gg sniffer było widać wszystko.
2 sprawa arper po uruchomieniu co jakiś czas wypluwa komunikat że nie można dzielić przez 0, dodam że mam wszystkie potrzebne pakiety
Z góry dzieki za pomoc

Błąd w arperze wynika zapewne z tego iż nie przeedytowałeś pliku odpowiednio przed jego uruchomieniem, albo wprowadzasz niewłaściwe dane - warto, byś przytoczył tu dokładnie jaką masz sieć i jakie dane wpisujesz.
Z GGNiufem - szczerze mówiąc nie wiem. Testowało go już dość sporo osób i nie było narzekań na to, że nie loguje rozmów czy to wchodzących czy wychodzących. Nie jest to raczej spowodowane tym trickiem anty-podwójnie wyświetlaniowym :D (miło, że przeanalizowałeś kod), chociaż możesz go wywalić i zobaczyć czy to coś pomoże. Możliwe też, że np. wyszło nowe gg, które przesyła pakiety trochę inne, niż te na które nastawia się GGNiuf. Prosiłbym używających ggniufa o dalsze zgłaszanie czy działa ok, czy też coś szwankuje, to pomoże w ew. poprawieniu kodu.

początek arpera:
=
BRAMA=10.10.10.1 # brama do internetu (adres routera/serwera)
ZAKRES=10.10.10. # rodzaj zakresu IP bez ostatniej pozycji, np. 192.168.0.
POCZATEK=2 # poczatkowy host do scanu w ramach podanego zakresu, np. 1
KONIEC=254 # koncowy host do scanu w ramach podanego zakresu, np. 255
CZAS=10000 # czas pingowania w ms - im dluzszy tym wieksze prawdopodobienstwo
# poprawnych wynikow ale rowniez dluzszy czas skanowania.
# Optimum: 10000
CYKL=30 # czas w ciagu ktorego zatrute zostana wszystkie hosty. Np. gdy
# zatruwamy 3 komputery, co 10 sekund kazdy z nich dostanie jeden
# arp-replay. Standardowo: 30 sekund.

MOJEIP=`/sbin/ifconfig eth1 | grep 'inet addr' | grep Bcast | awk '{print $2}' | awk -F: '{print $2}'`
MOJMAC=`/sbin/ifconfig eth1 | grep HWaddr | awk '{print $5; }'`
=
brama: 10.10.10.1
moje ip : 10.10.10.56
maska :255.255.255,0
sieciówka eth1

co źle ustawiłem??