Ettercap on utiliit arvutiliidese kaudu läbiva, kuid lisafunktsionaalsusega võrguliikluse analüüsimiseks. Programm võimaldab teil sooritada keskkoha rünnakuid, et sundida teist arvutit edastama pakette teile, mitte ruuterile.
Ettercapiga saate kontrollida oma võrgu turvalisust, seda, kui vastuvõtlik see on seda tüüpi rünnakutele, samuti analüüsida mitme arvuti liiklust ja isegi seda käigu pealt muuta. Selles artiklis vaatleme, kuidas Ettercapi kasutada liikluse analüüsimiseks ja muutmiseks.
Mis on mees keskel rünnak?
Vaikimisi saadab arvuti kõik võrgupaketid, mis tuleb internetti saata, ruuterile, mis omakorda saadab need järgmisele ruuterile, kuni pakett sihtkohta jõuab. Kuid teatud põhjustel ei pruugita paketti edastada ruuterisse, vaid otse teie arvutisse ja alles seejärel ruuterisse.
Arvuti, mille kaudu paketid liiguvad, saab analüüsida allikat, sihtkoha aadressi ja kui need pole krüptitud, siis nende kogu sisu.
MITM-i (Man In Middle Attack) sooritamiseks on kaks võimalust:
- ARP rünnak- ARP-protokolli funktsioone kasutades teatab teie arvuti teistele, et see on ruuter, misjärel hakatakse talle saatma kõiki pakette;
- DNS-rünnak- kui arvuti proovib saada domeenile IP-aadressi, asendame selle aadressi enda omaga, kuid selle tüübi toimimiseks on vaja kasutada ARP meetodit.
Ettercap Linuxi programm suudab sooritada mõlemat tüüpi rünnakuid. Lisaks saab utiliit sooritada teenuse keelamise rünnakuid ja skannida porte. Nüüd vaatame, kuidas Ettercapi installida ja kasutada.
Ettercapi paigaldamine
See on võrguturbe spetsialistide seas üsna populaarne programm, seega on see saadaval enamiku distributsioonide ametlikes hoidlates. Näiteks Ettercapi installimiseks Ubuntu käitamiseks:
$ sudo apt install ettercap-gtk
Fedoral või muudel sellel põhinevatel distributsioonidel näeb käsk välja sarnane:
$ sudo yum install ettercap-gtk
Ettercap Linuxi installimise ülesande oleme lõpetanud, kuid enne selle kasutamist peame konfiguratsioonifailis muutma mitmeid sätteid.
$ sudo vi /etc/ettercap/etter.conf
Et programmiteenus töötaks superkasutajana, peab ridadel ec_uid ja ec_gid olema väärtus 0:
ec_uid = 0 # vaikeseade pole keegi
ec_gid = 0 # vaikeväärtus pole keegi
redir_command_on = "iptables -t nat -A PREROUTING -i %iface -p tcp --dport % port -j REDIRECT --to-port %rport"
redir_command_off = "iptables -t nat -D PREROUTING -i %iface -p tcp --dport % port -j REDIRECT --to-port %rport"
Neid kasutatakse võimalusel SSL-ühenduste ümbersuunamiseks tavalisele HTTP-le. Seejärel salvestage muudatused ja programm on kasutamiseks valmis.
Ettercap GUI kasutamine
Programm võib töötada mitmes režiimis - graafilise liidesega, ilma ja teenusena. Kaalume töötamist graafilises liideses. GTK liidesega programmi käivitamiseks kasutage suvandit -G:
$ sudo -E ettercap -G
ARP-mürgistuse rünnak Ettercapis
Nagu ma juba ütlesin, saame selle rünnakuga sundida sihtarvutit saatma pakette mitte ruuterile, vaid meile. Kõik toimib üsna lihtsalt. Arvuti teab ruuteri IP-d, sai selle võrguga ühenduse loomisel. Kuid iga kord, kui tal on vaja pakett saata, peab ta selle universaalse IP-aadressi teisendama kasutatava võrgutehnoloogia madala taseme aadressiks, näiteks juhtmega Interneti jaoks on see MAC-aadress.
Selleks kasutatakse ARP-protokolli. Arvuti saadab kõigile võrgus olevatele seadmetele päringu, näiteks "kes on 192.168.1.1" ja ruuter saadab selle aadressi nähes vastuseks oma MAC-i. Seejärel salvestatakse see vahemällu. Kuid me saame Ettercapi abil paluda sihtarvutil värskendada oma ARP-vahemälu ja anda sellele ruuteri MAC-aadressi asemel meie MAC-aadress. Seejärel kantakse kõik pakid meile ja saadame need kuhu vaja.
Asume asja kallale ja sooritame attercap arp spofing rünnaku. Avage Ettercapis menüü Nuusuta ja valige Ühtne nuusutamine. Seejärel valige oma võrguliides, näiteks eth0 või wlan0:
Programmi aken muutub ja meie käsutuses on palju rohkem funktsioone. Nüüd peate võrku skannima. Selleks avage menüü Saatejuhid ja vajutage Kontrolli hoste. Isegi kui midagi ei tööta, saate failist laadida hostide loendi:
Rünnaku alustamiseks tuleb määrata sihtmärk 1 ja sihtmärk 2. Esimese sihtmärgina tuleb määrata masina ip, mida me ründama hakkame, ja sihtmärgina 2 ruuteri ip. Kasutage eesmärkide lisamiseks nuppe Lisa sihtmärk 1 Ja Lisage Traget 2:
Märkige avanevas aknas ruut Nuusutage kaugühendusi kõigi selle arvuti kaugühenduste pealtkuulamiseks:
Nüüd menüüs asendusprotsessi alustamiseks Alusta vali Alusta nuusutamist.
Pärast seda hakkab programm saatma võrku pakette koos taotlusega 192.168.1.3, et värskendada ARP-vahemälu ja asendada ruuteri MAC-aadress teie omaga. Rünnak on käivitatud ja edukalt sooritatud. Saate menüü avada Vaade -> Ühendused ja vaadake sihtseadme aktiivseid ühendusi:
Kui pakett ei olnud krüptitud, saame edastatud teavet vaadata hiirega ühendusele klõpsates. Saadetud teave kuvatakse vasakul ja vastuvõetud teave paremal:
DNS-i võltsimise rünnak Ettercapi abil
Saidinimede teisendamiseks võrgu IP-aadressideks kasutatakse spetsiaalset teenust - DNS. Kui arvuti vajab saidi IP-d, küsib see seda DNS-serverilt. Kui aga teete juba MITM-i rünnakut, saame asendada serveri vastuse nii, et veebisaidi serveri IP asemel tagastatakse meie IP. Kõigepealt peame redigeerima faili /etc/ettercap/etter.dns:
$ sudo vi /etc/ettercap/etter.dns
google.com.ua A 127.0.0.1
See kirje tähendab, et asendame google.com.ua peamise IP-aadressi 127.0.0.1-ga. Pange tähele, et see rünnak ei käivitu ilma eelmiseta. Järgmisena avage menüü Pluginad -> Halda pistikprogramme:
Seejärel topeltklõpsake pistikprogrammil dns_spoof:
Pistikprogramm aktiveeritakse ja saate seadme IP-d kontrollida. DNS on tõepoolest muudetud. Näiteks saate sihtmasinas käivitada:
$ ping google.com.ua
$ping www.ettercap.org
Lisaks nendele pistikprogrammidele on ka teisi, millega saate vajalikke toiminguid teha.
Ettercap filtrid
Filtrid võimaldavad muuta programmi läbinud pakette lennult. Asendusfunktsiooni abil saate paketid ära visata või neis vajalikke muudatusi teha. Filtrid töötavad ka ainult MITM-i rünnaku ajal. Tingimuste süntaks, mille järgi me pakette filtreerime, on väga sarnane wiresharkile. Vaatame lihtsat filtrit, mis asendab kõik pildid meie omadega:
$ vi test.filter
if (ip.proto == TCP && tcp.dst == 80) (
if (search(DATA.data, "Accept-Encoding")) (
asenda ("Accept-Encoding", "Accept-Rubbish!");
# märkus: asendusstring on sama pikk kui algne string
msg("zapped Accept-Encoding!\n");
}
}
if (ip.proto == TCP && tcp.src == 80) (
asenda("img src="/, "img src=\"https://pbs.twimg.com/profile_images/655061121007616000/NCV0qQnS.png\" ");
asenda ("IMG SRC=", "img src=\"https://pbs.twimg.com/profile_images/655061121007616000/NCV0qQnS.png\" ");
msg("Filtri jooks.\n");
}
Kellel on programmeerimiskeeltega töötamise kogemus, siis siin peaks kõik selge olema. Kui protokoll on TCP ja sihtport on 80, jätkame otsingut ja otsime Accept-Encoding. Seejärel asendame selle sõna mis tahes muu, kuid samaväärse pikkusega. Sest kui brauser saadab Accept-Encoding gzipi, tihendatakse andmed ja me ei filtreeri seal midagi. Järgmisena asendame serveri vastuses lähtepordi 80 kõik pildid meie omadega. Nüüd tuleb filter kompileerida:
$ etterfilter test.filter -o test.ef
Jääb vaid filter menüü abil laadida Filtrid -> Laadi filter:
Valige failisüsteemis filtrifail:
Filter laaditakse ja saate avada kõik saidid, mis ei kasuta https-i, et veenduda, et kõik töötab. MITM-i rünnaku peatamiseks avage menüü MITM ja valige Peatage kõik Mitmi rünnakud. Meie Ettercapi õpetus hakkab lõppema, kuid...
Kuidas end kaitsta?
Tõenäoliselt tekib teil pärast artikli lugemist mõistlik küsimus, kuidas kaitsta oma arvutit seda tüüpi rünnakute eest? Selleks on mitu tööriista, sealhulgas Linuxi operatsioonisüsteemi jaoks:
- XArp- graafiline utiliit, mis suudab tuvastada MAC-aadresside võltsimise katsed ARP-protokolli kaudu ja sellele vastu astuda. Oskab töötada Windowsis ja Linuxis;
- Nurruta- üsna tuntud sissetungimisvastane süsteem, mis muuhulgas tuvastab rünnakud ARP-protokolli vastu;
- ArpON- väike teenus, mis jälgib ARP-tabelit ja kaitseb seda MAC-aadressi võltsimise eest.
Kasutage programmi ainult oma võrkude või rakenduste turvalisuse testimiseks, samuti ärge unustage, et ebaseaduslikud tegevused inforuumis on samuti karistatavad.
Programmi toimimist demonstreeriva video lõpetamiseks tehke järgmist.
pead registreeruma,
kommentaari jätmiseks
Ettercap on utiliit arvutiliidese kaudu läbiva, kuid lisafunktsionaalsusega võrguliikluse analüüsimiseks. Programm võimaldab teil sooritada keskkoha rünnakuid, et sundida teist arvutit edastama pakette teile, mitte ruuterile.
Ettercapiga saate kontrollida oma võrgu turvalisust, seda, kui vastuvõtlik see on seda tüüpi rünnakutele, samuti analüüsida mitme arvuti liiklust ja isegi seda käigu pealt muuta. Selles artiklis vaatleme, kuidas Ettercapi kasutada liikluse analüüsimiseks ja muutmiseks.
Vaikimisi saadab arvuti kõik võrgupaketid, mis tuleb internetti saata, ruuterile, mis omakorda saadab need järgmisele ruuterile, kuni pakett sihtkohta jõuab. Kuid teatud põhjustel ei pruugita paketti edastada ruuterisse, vaid otse teie arvutisse ja alles seejärel ruuterisse.
Arvuti, mille kaudu paketid liiguvad, saab analüüsida allikat, sihtkoha aadressi ja kui need pole krüptitud, siis nende kogu sisu.
MITM-i (Man In Middle Attack) sooritamiseks on kaks võimalust:
- ARP rünnak- ARP-protokolli funktsioone kasutades teatab teie arvuti teistele, et see on ruuter, misjärel hakatakse talle saatma kõiki pakette;
- DNS-rünnak- kui arvuti proovib saada domeenile IP-aadressi, asendame selle aadressi enda omaga, kuid selle tüübi toimimiseks on vaja kasutada ARP meetodit.
Ettercap Linuxi programm suudab sooritada mõlemat tüüpi rünnakuid. Lisaks saab utiliit sooritada teenuse keelamise rünnakuid ja skannida porte. Nüüd vaatame, kuidas Ettercapi installida ja kasutada.
Ettercapi paigaldamine
See on võrguturbe spetsialistide seas üsna populaarne programm, seega on see saadaval enamiku distributsioonide ametlikes hoidlates. Näiteks Ettercapi installimiseks Ubuntu käitamiseks:
sudo apt install ettercap-gtk
Fedoral või muudel sellel põhinevatel distributsioonidel näeb käsk välja sarnane:
sudo yum install ettercap-gtk
Ettercap Linuxi installimise ülesande oleme lõpetanud, kuid enne selle kasutamist peame konfiguratsioonifailis muutma mitmeid sätteid.
sudo vi /etc/ettercap/etter.conf
Et programmiteenus töötaks superkasutajana, peab ridadel ec_uid ja ec_gid olema väärtus 0:
ec_uid = 0 # vaikeseade pole keegi
ec_gid = 0 # vaikeväärtus pole keegi
redir_command_on = "iptables -t nat -A PREROUTING -i %iface -p tcp --dport % port -j REDIRECT --to-port %rport"
redir_command_off = "iptables -t nat -D PREROUTING -i %iface -p tcp --dport % port -j REDIRECT --to-port %rport"
Neid kasutatakse võimalusel SSL-ühenduste ümbersuunamiseks tavalisele HTTP-le. Seejärel salvestage muudatused ja programm on kasutamiseks valmis.
Ettercap GUI kasutamine
Programm võib töötada mitmes režiimis - graafilise liidesega, ilma ja teenusena. Kaalume töötamist graafilises liideses. GTK liidesega programmi käivitamiseks kasutage suvandit -G:
sudo -E ettercap -G
ARP-mürgistuse rünnak Ettercapis
Nagu ma juba ütlesin, saame selle rünnakuga sundida sihtarvutit saatma pakette mitte ruuterile, vaid meile. Kõik toimib üsna lihtsalt. Arvuti teab ruuteri IP-d, sai selle võrguga ühenduse loomisel. Kuid iga kord, kui tal on vaja pakett saata, peab ta selle universaalse IP-aadressi teisendama kasutatava võrgutehnoloogia madala taseme aadressiks, näiteks juhtmega Interneti jaoks on see MAC-aadress.
Selleks kasutatakse ARP-protokolli. Arvuti saadab kõigile võrgus olevatele seadmetele päringu, näiteks "kes on 192.168.1.1" ja ruuter saadab selle aadressi nähes vastuseks oma MAC-i. Seejärel salvestatakse see vahemällu. Kuid me saame Ettercapi abil paluda sihtarvutil värskendada oma ARP-vahemälu ja anda sellele ruuteri MAC-aadressi asemel meie MAC-aadress. Seejärel kantakse kõik pakid meile ja saadame need kuhu vaja.
Asume asja kallale ja sooritame attercap arp spofing rünnaku. Avage Ettercapis menüü Nuusuta ja valige Ühtne nuusutamine. Seejärel valige oma võrguliides, näiteks eth0 või wlan0:
Programmi aken muutub ja meie käsutuses on palju rohkem funktsioone. Nüüd peate võrku skannima. Selleks avage menüü Saatejuhid ja vajutage Kontrolli hoste. Isegi kui midagi ei tööta, saate failist laadida hostide loendi:
Rünnaku alustamiseks tuleb määrata sihtmärk 1 ja sihtmärk 2. Esimese sihtmärgina tuleb määrata masina ip, mida me ründama hakkame, ja sihtmärgina 2 ruuteri ip. Kasutage eesmärkide lisamiseks nuppe Lisa sihtmärk 1 Ja Lisage Traget 2:
Märkige avanevas aknas ruut Nuusutage kaugühendusi kõigi selle arvuti kaugühenduste pealtkuulamiseks:
Nüüd menüüs asendusprotsessi alustamiseks Alusta vali Alusta nuusutamist.
Pärast seda hakkab programm saatma võrku pakette koos taotlusega 192.168.1.3, et värskendada ARP-vahemälu ja asendada ruuteri MAC-aadress teie omaga. Rünnak on käivitatud ja edukalt sooritatud. Saate menüü avada Vaade -> Ühendused ja vaadake sihtseadme aktiivseid ühendusi:
Kui pakett ei olnud krüptitud, saame edastatud teavet vaadata hiirega ühendusele klõpsates. Saadetud teave kuvatakse vasakul ja vastuvõetud teave paremal:
DNS-i võltsimise rünnak Ettercapi abil
Saidinimede teisendamiseks võrgu IP-aadressideks kasutatakse spetsiaalset teenust - DNS. Kui arvuti vajab saidi IP-d, küsib see seda DNS-serverilt. Kui aga teete juba MITM-i rünnakut, saame asendada serveri vastuse nii, et veebisaidi serveri IP asemel tagastatakse meie IP. Kõigepealt peame redigeerima faili /etc/ettercap/etter.dns:
sudo vi /etc/ettercap/etter.dns
google.com.ua A 127.0.0.1
See kirje tähendab, et asendame google.com.ua peamise IP-aadressi 127.0.0.1-ga. Pange tähele, et see rünnak ei käivitu ilma eelmiseta. Järgmisena avage menüü Pluginad -> Halda pistikprogramme:
Seejärel topeltklõpsake pistikprogrammil dns_spoof:
Pistikprogramm aktiveeritakse ja saate seadme IP-d kontrollida. DNS on tõepoolest muudetud. Näiteks saate sihtmasinas käivitada:
ping google.com.ua
ping www.ettercap.org
Lisaks nendele pistikprogrammidele on ka teisi, millega saate vajalikke toiminguid teha.
Ettercap filtrid
Filtrid võimaldavad muuta programmi läbinud pakette lennult. Asendusfunktsiooni abil saate paketid ära visata või neis vajalikke muudatusi teha. Filtrid töötavad ka ainult MITM-i rünnaku ajal. Tingimuste süntaks, mille järgi me pakette filtreerime, on väga sarnane wiresharkile. Vaatame lihtsat filtrit, mis asendab kõik pildid meie omadega:
if (ip.proto == TCP && tcp.dst == 80) (
if (search(DATA.data, "Accept-Encoding")) (
asenda ("Accept-Encoding", "Accept-Rubbish!");
# märkus: asendusstring on sama pikk kui algne string
msg("zapped Accept-Encoding!\n");
}
}
if (ip.proto == TCP && tcp.src == 80) (
asenda("img src=", "img src=\"https://pbs.twimg.com/profile_images/655061121007616000/NCV0qQnS.png\" ");
asenda ("IMG SRC=", "img src=\"https://pbs.twimg.com/profile_images/655061121007616000/NCV0qQnS.png\" ");
msg("Filtri jooks.\n");
}
Kellel on programmeerimiskeeltega töötamise kogemus, siis siin peaks kõik selge olema. Kui protokoll on TCP ja sihtport on 80, jätkame otsingut ja otsime Accept-Encoding. Seejärel asendame selle sõna mis tahes muu, kuid samaväärse pikkusega. Sest kui brauser saadab Accept-Encoding gzipi, tihendatakse andmed ja me ei filtreeri seal midagi. Järgmisena asendame serveri vastuses lähtepordi 80 kõik pildid meie omadega. Nüüd tuleb filter kompileerida:
etterfilter test.filter -o test.ef
Jääb vaid filter menüü abil laadida Filtrid -> Laadi filter:
Valige failisüsteemis filtrifail:
Filter laaditakse ja saate avada kõik saidid, mis ei kasuta https-i, et veenduda, et kõik töötab. MITM-i rünnaku peatamiseks avage menüü MITM ja valige Peatage kõik Mitmi rünnakud. Meie Ettercapi õpetus hakkab lõppema, kuid...
Kuidas end kaitsta?
Tõenäoliselt tekib teil pärast artikli lugemist mõistlik küsimus, kuidas kaitsta oma arvutit seda tüüpi rünnakute eest? Selleks on mitu tööriista, sealhulgas Linuxi operatsioonisüsteemi jaoks:
- XArp- graafiline utiliit, mis suudab tuvastada MAC-aadresside võltsimise katsed ARP-protokolli kaudu ja sellele vastu astuda. Oskab töötada Windowsis ja Linuxis;
- Nurruta- üsna tuntud sissetungimisvastane süsteem, mis muuhulgas tuvastab rünnakud ARP-protokolli vastu;
- ArpON- väike teenus, mis jälgib ARP-tabelit ja kaitseb seda MAC-aadressi võltsimise eest.
järeldused
Selles artiklis vaatlesime, kuidas kasutada Ettercapi – programmi võrgupakettide analüüsimiseks ja Man-in-the-Middle rünnakute sooritamiseks. Kasutage programmi ainult oma võrkude või rakenduste turvalisuse testimiseks, samuti ärge unustage, et ebaseaduslikud tegevused inforuumis on samuti karistatavad.
Programmi toimimist demonstreeriva video lõpetamiseks tehke järgmist.
See artikkel näitab, kuidas Ettercapi abil kohalikus võrgus liiklust pealtkuulada. Kasutades selleks MITM-i rünnakuid (Man In The Middle attacks).
– avatud lähtekoodiga utiliit arvutivõrkude turvalisuse analüüsimiseks. Mille peamine eesmärk on MITM-rünnakud (Man In The Middle attacks). Sellel on võimalus reaalajas ühendusi nuusutada, sisu käigupealt filtreerida ja palju muid huvitavaid funktsioone. Toetab nii aktiivseid kui ka passiivseid protokollirünnakuid ning sisaldab suurt hulka võrgu- ja hostianalüüsi funktsioone.
Lisateavet leiate aadressilt
Ettercapi installimine/konfigureerimine
Ettercapi saate alla laadida ja installida allikast - . Alternatiivina võite kasutada järgmist käsku:
# apt-get install ettercap-gtk ettercap-common
Leiame sellest need read ja tühistame nende kommentaarid:
# kui kasutad iptablesi: redir_command_on = "iptables -t nat -A PREROUTING -i %iface -p tcp --dport %port -j REDIRECT --to-port %rport" redir_command_off = "iptables -t nat -D PREROUTING - i % iface -p tcp --dport % port -j REDIRECT --porti %rport"
# kui kasutate iptablesi: redir_command_on = "iptables -t nat -A PREROUTING -i %iface -p tcp --dport % port -j REDIRECT --to-port %rport" redir_command_off = "iptables -t nat -D PREROUTING -i %iface -p tcp --dport % port -j REDIRECT --to-port %rport" |
Pärast kõigi ülaltoodud toimingute tegemist käivitage Ettercap. Mõne inimese jaoks, sealhulgas minu jaoks, Ettercap aga ei tööta. Vead nagu " SAADA L3 VIGA“. Selliste vigade ilmumise vältimiseks kasutage järgmist käsku:
# echo "1" > /proc/sys/net/ipv4/ip_forward # cat /proc/sys/net/ipv4/ip_forward 1
# echo "1" > /proc/sys/net/ipv4/ip_forward # cat /proc/sys/net/ipv4/ip_forward |
Nüüd peaks kõik toimima hästi ja vigu ei tohiks ilmneda.
ARP mürgistus
Eelnevalt kirjeldati, mis on "" ja miks seda vaja on. Siin kirjeldatakse ka seda, kuidas seda Ettercapi abil rakendada.
Kõigepealt vaadake kasutatavat võrguarhitektuuri (vt joonist allpool). See on vajalik selleks, et saaksite hästi aru, mis kust tuleb:
Käivitage Ettercap:
Meie ette ilmub rakenduse aken, nagu allpool näidatud: 
Klõpsake nuppu Nuusuta-> Ühtne nuusutamine. Pärast seda valige kasutatav liides. mul on see eth0:
Ülemises menüüs vajutage nuppe Saatejuhid–Otsige hoste:
Nüüd klõpsame uuesti Saatejuhid–Võõrustajate loend. Ilmub aken, nagu on näidatud alloleval joonisel:
Siin tuleb selekteerida eesmärgid, st. valige masin, mis toimib "ohvrina" ja lüüsina. Nagu meie kasutatava võrgu arhitektuurist näha, on "ohver" masin IP-aadress = 192.168.1.3. Noh, kui värav IP-aadress = 192.168.1.1. Seetõttu valige 192.168.1.3 ja vajutage nuppu Lisa sihtmärgile 1. Nüüd klõpsake 192.168.1.1 ja vajutage nuppu Lisa sihtmärgile 2.
Klõpsake Okei. Jääb vaid see käivitada. Selleks klõpsake nuppu Alusta–Hakka nuusutama.
Nuuskamine on alanud. Jääb üle vaid oodata, kuni kasutaja sisestab oma andmed, näiteks oma meilikontolt.
Programm töötati välja lülitatud kohtvõrkude liiklusanalüsaatorina, kuid aja jooksul muutus see universaalseks tööriistaks võrgupakettide pealtkuulamiseks, analüüsimiseks ja salvestamiseks. See võib töötada lülitite ja jaoturitega võrkudes ning sellel on palju ebatavalisi omadusi. Eelkõige toetab see suure hulga võrguprotokollide, sealhulgas krüptimist kasutavate protokollide nii aktiivset kui ka passiivset analüüsi. Võrgu topoloogia analüüsimiseks ja installitud operatsioonisüsteemide tuvastamiseks on olemas tööriistad.
Ettercap programm kasutab oma eesmärkide saavutamiseks 5 erinevat analüüsimeetodit: IP ja MAC filtreerimine, ARP pealtkuulamine ning viimase kahte varianti - Smart-ARP ja Public-ARP.
IP-filtreerimisrežiimis kontrollitakse pakette, et need vastaksid IP-aadressi/pordi kombinatsioonile (saatja ja saaja). MAC-filtreerimisrežiimis kontrollitakse saatja ja saaja MAC-aadresse (see on mugav lüüsi kaudu ühenduste loomisel). ARP-i kaaperdamisrežiimis viiakse kommuteeritud võrgu valitud kahele sõlmele läbi rünnak "nähtamatu mees keskel". See saavutatakse hostide ARP-vahemälu tahtliku rikkumisega, põhjustades liikluse automaatse edastamise. Smart-ARP ja Public-ARP režiimid on rakendatud sarnaselt, kuid nende eesmärk on kinni pidada liiklus ohvrisõlme ja kõigi teiste sõlmede vahel. Esimesel juhul määratakse hostide loend, teisel juhul saadab programm leviedastuse ARP-pakette.
Programmi omadused:
- saab muuta läbivaid pakette (mõlemas suunas);
- oskab analüüsida SSH1 ja HTTPS protokollide ühendusi (isegi kui ühendus luuakse puhverserveri kaudu);
- saab ühendada väliseid mooduleid;
- suudab dekrüpteerida paljude võrguprotokollide kasutajanimesid ja paroole (sh Telnet, FTP, POP, SSH1, SMB, LDAP, NFS, IMAP4, VNC ja paljud teised);
- saab seansi jooksul pakette lisada ja eemaldada;
- saab passiivselt skannida võrku (ilma pakette saatmata) ja ühendusi hävitada.
Programm ei vaja esialgset konfigureerimist. Saate määrata kõik vajalikud suvandid käsureal või ühendada välise konfiguratsioonifaili.
Käivitamisel saadab programm ARP päringu iga kohaliku võrgu IP-aadressi kohta. Võimalike IP-aadresside loend määratakse tema enda aadressi ja maski analüüsimise teel ning ARP-vastuste saamisel luuakse loend võrgus töötavatest hostidest. Peaksite olema ettevaatlik, kui võrgumask määrab B-klassi võrgu (255.255.0.0), kuna sel juhul on programm sunnitud saatma 65025 päringut. Nende töötlemine võtab palju aega ja pealegi saab sellist tegevust kiiresti tuvastada.
Programmi saab kasutada kahes režiimis: interaktiivne (graafiline) ja mitteinteraktiivne. Programmi graafiline liides põhineb ncurses teegil. Mitteinteraktiivne režiim on kasulik, kui programmi kutsutakse skriptist taustal andmete kogumiseks.
Programmi kutsumise süntaks on:
# ettercap [ valikuid][IP-sihtkoht:sadam][IP-saatja:port][Saaja MAC][Saatja MAC]
Analüüsimeetodi valimise võimalused:
-a, --arpsniff ARP pealtkuulamine
-s, --nuusutama IP-filtreerimine
-m, --macsniff MAC filtreerimine
Üldotstarbelised valikud:
-N, -lihtne- mitteinteraktiivne režiim.
-z, --vaikne— vaikne režiim (ilma suurte ARP-päringuteta käivitamisel).
- Oh, passiivne— passiivne teabe kogumine.
-b, --laiendus— leviedastuse pingipäringute kasutamine ARP-päringute asemel.
-D, --viivitus<sekundit> — määrab kahe ARP-vastuse vahelise viivituse (sekundites).
-Z, --tormiviivitus<mikrosekundeid> — määrab viivituse (mikrosekundites) ARP-päringute vahel esialgsel võrku sissetungimisel.
-S, -- pettus<IP— adpec> — määrab võrgu skannimisel kasutatava võlts-IP-aadressi.
-H, --hosts<IP-aaadress1 [,IP-adpec2] . . .> — määrab käivitamisel kontrollitud sõlmed.
-d, --dontresolve- ärge teisendage käivitamisel IP-aadresse domeeninimedeks.
-i, --iface<liides> — määrab skannimise liidese.
-n, --võrgumask<mask> — määrab maski, mis määrab skannitava võrgu.
-e, --etterconf<faili> — määrab konfiguratsioonifaili, millest käsurea suvandeid loetakse.
-t, --linktype— sunnib programmi kontrollima, kas võrgus on lüliti.
-j, --loadhosts<faili> — määrab faili, millest sõlmede loend laaditakse.
-k, --savehosts— sõlmede loendi salvestamine faili.
-v, --versioon- paneb programmi kontrollima Ettercapi värskendatud versiooni.
-h, -abi— süntaksiabi väljund.
Vaikse režiimi valikud:
-u, --udp— peatada ainult UDP-pakette.
-R, -- vastupidine— kõigi ühenduste, välja arvatud käsureal määratud ühenduste analüüs.
- Oh, passiivne- passiivne skannimisrežiim.
-р, --plugin<moodul> — välise pistikmooduli käivitamine.
-l, --loend— kõigi kohaliku võrgu sõlmede loendi hankimine.
-C, --koguda— kõigi käsureal määratud hostikontode ja paroolide loendi hankimine.
-f, --sõrmejälg<sõlm> — antud sõlme operatsioonisüsteemi tüübi analüüs.
-x, - kuueteistkümnendvaade— andmete kuvamine kuueteistkümnendsüsteemis.
-L, --logtofile— andmete kirjutamine logifaili.
-q, --vaikne- taustal jooksmine.
-w, --newcert- uue sertifikaadifaili loomine asjatundmatute rünnakute jaoks HTTPS-i seanssidele.
-F, --filter<faili> — filtreerimisreeglite laadimine määratud failist.
-с, --kontroll- paneb programmi kontrollima, kas keegi teine üritab tema enda liiklust pealt kuulata.
Kui helistate programmile ilma suvanditeta (täpsemalt ilma -N suvandita), töötab see interaktiivses režiimis. Programmi aken on jagatud kolmeks osaks. Ülaosas kuvatakse ühendusskeem, mis näitab kahte interakteeruvat sõlme (see akna osa võib esialgu tühi olla). Akna keskosas on loend kohalikust võrgust leitud sõlmedest. Täpsemalt kuvatakse kaks identset loendit, millest saate valida kaks sõlme, et luua ühendusskeemi. Vasakust veerust sõlme valimiseks liigutage kursor sellele ja klõpsake
Akna alumine osa kuvab lisateavet valitud sõlmede kohta. Saadaolevate käskude loendi kuvamiseks klõpsake nuppu
Kui ühendus on kontrolli all, võite hakata andmeid analüüsima. Lubatud on suunata pealtkuulatud andmed faili, segada seanssi ja täita palju muid toiminguid, sealhulgas seansi hävitamine.
Siin on hulk näiteid, mis demonstreerivad Ettercapi programmi käivitamise funktsioone. Esimeses näites töötab programm interaktiivselt ja kogub andmeid passiivselt.
Retoorika
Traadita WiFi-võrkude skannimine on sama lihtne kui Linuxi operatsioonisüsteemi allikast rakenduste kompileerimine. Kui soovite kontrollida, kui hästi on teie naaber arvutiturbe või arvutitehnoloogia teadmistega üldiselt. Ja ka tema kohta natuke rohkem teada, kui ta ise tahab. Ja samal ajal kutsub ta tegelikult teid seda tegema tänu oma kirjaoskamatusest. Seejärel palun teil selle kirjelduse laineid edasi jälgida.
Selle artikli kangelane on lühiajaline, kuid nutikas ja krapsakas programm nimega . See on Linuxi maailmas väga levinud ja on peaaegu kõigi distributsioonide hoidlates. Ettercap, nagu igal tõelisel Unixi programmil, on kaks vormi: puhas CLI käsurea liides, mida ei hägustavad kõikvõimalikud nupud ja viled; raskem, kuid algajasõbralik graafiline GUI (kirjutatud GTK teekides, kuid mõeldud ka peamiselt Gnome'i all töötamiseks.).
Programmi all ettercap, lisaks sellele, et ta saab palju ise teha, on olemas suur hulk pistikprogramme, mis tema võimalusi oluliselt laiendavad. Kasutades ettercap saate teha palju seda, mida soovite.
kindlasti, ettercap pole ainus sedalaadi utiliit. Seal on sama kuulus ja "keeruline" aircrack-ng. Kuid siin keskendume sellele ettercap. Ja näete, miks.
Programmi toimimine ettercap Kasutan Blackbuntu distributsiooni näidet. See on pentestimiseks väga hea operatsioonisüsteem, mis üldse “tekkis”. See on ümber kujundatud ja täiendatud vajalike Ubuntu programmide ja utiliitidega (täpsemalt Ubuntu 10.10). Nii et need, kes on harjunud selle OS-iga töötama, tunnevad end Blackbuntus tuttavana. Pentestimise programmide komplekt on peaaegu sama hea kui tuntud BackTrack. Noh, jaotuse kujundus väärib eraldi aruteluteema. Siiski kaldume kõrvale. Läheme programmi juurde ettercap.
Ettercap installimine Ubuntule
Arp mürgistusrežiimi käivitamine ettercapis
Pane linnuke peale Nuusutage kaugühendused selle režiimi konfigureerimiseks ilmuvas dialoogiboksis.
Sniff Remote ettercapis
Nüüd peame minema pistikprogrammide menüüsse ja valima neist ühe - chk_poison. Selle pistikprogrammi töö on selle nimest selge – see kontrollib, kas meie pealtkuulamisrežiim on lubatud arp mürgistus. Minge menüüsse Pluginad - Hallake pluginaid, otsige üles chk_poison ja topeltklõpsake selle käivitamiseks.
Liigume edasi pistikprogrammide haldamise juurde ettercapis
Plugina haldamise aken ettercapis
Kui pealtkuulamisrežiim on edukalt sisse lülitatud, peaksime logiaknas nägema järgmist kirjet:
chk_poison plugina aktiveerimine... chk_poison: peate seda pluginat mürgistusseansi ajal käivitama. Ühtne nuusutamine on juba alanud...
Nüüd saate lõõgastuda ja vaadata, kuidas nuuskamisprotsess ise kulgeb. Minge menüüsse Vaade - Ühendused ja vaata, mis meil on.
Nuusutamisprotsess ettercapis
Nagu näete, aken Ühendusedüsna informatiivne. Kuvatakse masinate IP-aadressid, nende olek ja nende vahel edastatud baitide arv. Kui tahame näha täpsemat teavet (mida edastatakse), valige loendist rida ja tehke selle avamiseks topeltklõps. Ilmub eraldi aken, mis näitab nende masinate vahel kinni peetud pakette.
Ettercap konfigureeritud nii, et see püüab automaatselt kinni ja salvestab kohaliku võrgu kaudu edastatud paroolid ja sisselogimised. Jääb üle vaid veidi oodata.