terça-feira, 24 de julho de 2012

Urlsnarf gera log de acesso a sites

Ontem falei sobre o Dsniff, um sniffer voltado para descoberta de senhas. E comentei que ele possui outras aplicações interessantes. O Urlsnarf é uma delas.

O Urlsnarf analisa o tráfego da rede e gera log de navegação no estilo do Squid. Essa log pode ser analisada com qualquer ferramenta que trate logs desse tipo, como o Sarg ou o Webanaliser.

O Urlsnarf pode trabalhar coletando dados diretamente na Interface, ou então lendo um arquivo gerado pelo Tcpdump. Abaixo um exemplo do comando com a saída em formato de log.

$urlsnarf -p tmp/dsniff2 
200.136.27.146 - - [24/Jul/2012:10:23:42 -0300] "GET http://imagemjc.uol.com.br/imagem/bg_barra_parceiro.jpg HTTP/1.1" - - "http://natelinha.uol.com.br/noticias/2012/07/22/avenida-carminha-e-max-comemoram-o-fim-de-nina-em-casa-de-swing-144646.php" "Mozilla/5.0 (Windows NT 5.1) AppleWebKit/536.11 (KHTML, like Gecko) Chrome/20.0.1132.57 Safari/536.11"


200.136.27.146 - - [24/Jul/2012:10:24:00 -0300] "POST http://netguest-email-1.netguestdns.com.br/Services/svcRealTimeService.asmx/GetUpdates HTTP/1.1" - - "http://netguest-email-1.netguestdns.com.br/Default.aspx" "Mozilla/5.0 (Windows NT 6.1; rv:5.0.1) Gecko/20100101 Firefox/5.0.1"


200.136.27.146 - - [24/Jul/2012:10:24:18 -0300] "GET http://www.lojaphotos.com.br/produto/2224970/FOTOGRAFIA-DE-CASAMENTO HTTP/1.1" - - "http://www.google.com.br/url?sa=t&rct=j&q=livro%20fotografia%20de%20casamento&source=web&cd=1&ved=0CHIQFjAA&url=http%3A%2F%2Fwww.lojaphotos.com.br%2Fproduto%2F2224970%2FFOTOGRAFIA-DE-CASAMENTO&ei=BFwNUOiUNIGe8gSAvpi2Cg&usg=AFQjCNHHbVzwORGWaEjyQSbSjsk-cDLm2A" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:2.0) Gecko/20100101 Firefox/4.0"


186.201.143.61 - - [24/Jul/2012:10:24:36 -0300] "GET http://midia.cmais.com.br/assets/image/image-3-b/8b9649ac13bdaf482c4250be7244064b9fda41d8.jpg HTTP/1.1" - - "http://cmais.com.br/jornalismo" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)"

Você pode ter um relatório de acessos a web sem ter necessariamente um proxy, como o Squid. Veja abaixo um exemplo de como essa log pode ficar depois de passar pelo Sarg.