Ettercap

De WikiCat IT
Dreceres ràpides: navegació, cerca

L'Ettercap és un programa que serveix per fer ARP Spoofing o ARP Poisoning: Enverinament d'ARP.

Aquest tipus d'atac es pot fer servir en xarxes Ethernet (o wifi) i permet interceptar trames d'una xarxa LAN amb Switch. El Switch reparteix les trames a les màquines a partir de la seva MAC, de manera que per poder interceptar les trames d'una altra màquina la única cosa que podem fer és enganyar el Switch, cosa que aquest programa pot fer.

Existeixen tres tipus d'atac:

  • Atac passiu: L'atacant intercepta les trames, però no les modifica, i s'envien al receptor tal com han arribat.
  • Atac actiu: L'atacant pot modificar les dades o afegir-ne, etc.
  • Aturar el tràfic: L'atacant pot denegar algun servei a la víctima.

Instal·lació

Primer instal·lem les dependències de l'Ettercap

apt-get install ncurses-bin libnet1-dev libssl-dev libltdl3-dev libpcre3-dev libpcap0.8-dev

Després instal·lem l'ettercap:

apt-get install ettercap-graphical

Configuració

Hem d'activar el forwarding de paquets i modificar el fitxer de configuració de l'Ettercap per a què reenvïi paquets SSL.

sysctl -w net.ipv4.ip_forward=1

Editem el fitxer etter.conf

gedit /etc/ettercap/etter.conf

Descomentem la següent línia:

redir_command_on = "iptables -t nat -A PREROUTING -i %iface -p tcp --dport %port -j REDIRECT --to-port %rport"

Execució

Tenim diferents maneres d'execució.

  • Ncurses:
ettercap -C -i eth0
  • mode gràfic:
ettercap -G -i eth0

Exemple d'Intercepció de trànsit: ARP Poisoning

Preparació del Sniffer

Anem a fer un exemple d'intercepció del trànsit amb Ettercap: 1. Execució en mode gràfic:

ettercap -G -i eth0

L'ettercap té el següent aspecte:

ettercap1.png

2. Triem el mètode d'sniffar en el menú Sniff:

Sniff/Unified Sniffing i posem la tarja de xarxa a través de la qual volem sniffar. En el meu cas eth0

Un cop fet això, el menú canvarà aradicalment.

ettercap2.png

3. Scannegem els hosts:

Hosts/Scann for Hosts i començarà a mirar els hosts que hi ha en el mateix segment de xarxa on estem:

ettercap3.png

4. Mirem els hosts que hi ha:

Hosts/Hosts List

ettercap4.png

5. Sel·leccionem les víctimes: Sempre hi ha d'haver dues víctimes:

a) La màquina que volguem sniffar. --> ADD TO TARGET 1

b) El router --> ADD TO TARGET 2

Suposem que volem esnifar en aquest cas el trànsit que circula entre la màquina amb IP 192.168.1.169 i el router. Sel·leccionem la IP 192.168.1.169 i piquem a ADD TO TARGET 1 i després seleccionem la IP del router (192.168.1.1) i cliquem a ADD TO TARGET 2

D'aquesta manera ens situem entre la màquina i el router.

6. Comencem a sniffar

Start / Start Sniffing

7. Comencem l'atac Man In the Middle

MItM / ARP Poisoning i Escollim l'opció Sniff Remote Connections

Ara ja podem començar a esnifar paquets

Captura de paquets

Per veure els paquets produïts pel trànsit de la màquina en qüestió hem d'anar al menú View View / Connections

Si, per exemple, la víctima entra al seu compte de gmail, la seva contrasenya i login seran capturats automàticament.

Cal dir, però que el navegador de la víctima li avisarà que està abandonant una connexió segura.

A continuació tindríem l'avís que dóna el Mozilla Firefox a la víctima; un altre navegador donaria un altre mena de missatge.

A continuació tenim les dades de la sessió de la víctima capturades per l'Ettercap:

DNS Spoofing amb google

Un pas més seria fer DNS Spoofing. En aquest exemple s'explica com fer-ho amb el google, però es podria fer amb qualsevol pàgina:

Configuració del fitxer etter.dns

Editem l'arxiu /etc/ettercap/etter.dns:

sudo gedit /etc/ettercap/etter.dns

I afegim el següent codi:

*.google.co.in A 192.168.X.Y
*.google.com A 192.168.X.Y
google.com A 192.168.X.Y
www.google.com PTR 192.168.X.Y
www.google.co.in PTR 192.168.X.Y

On 192.168.X.Y és la IP de la màquina que farà de servidor DNS fals.

Execució Ettercap

A Continuació executem l'ettercap com en el cas anterior (Atac MitM ARP Poisoning), i en acabat anem al menú plugins / Manage the plugins

m6etter1.png

I escollim el dns Spoofing (dns_spoof), que ha d'aparèixer amb un asterisc:

m6etter2.png

Víctima i riscos

Després de fer això, l'atacant no només haurà suplantat la MAC del router, sinó que, a més, la màquina víctima farà la resolució dels DNS a un servidor DNS fals (que no té perquè ser servidor, sinó qualsevol màquina). D'aquesta manera, si fem ping a google, ens respondrà una IP que no serà la del google. ping abans de l'atac:

m6etter3.png

ping després de l'atac:

m6etter4.png

Eines de l'usuari
Espais de noms

Variants
Navegació
Eines