Ettercap on apuohjelma tietokonerajapinnan kautta kulkevan verkkoliikenteen analysointiin, mutta siinä on lisätoimintoja. Ohjelman avulla voit suorittaa man-in-the-middle-hyökkäyksiä pakottaaksesi toisen tietokoneen lähettämään paketteja sinulle reitittimen sijaan.
Ettercapilla voit tarkistaa verkkosi turvallisuuden, kuinka alttiina se on tämäntyyppisille hyökkäyksille, sekä analysoida useiden tietokoneiden liikennettä ja jopa muokata sitä lennossa. Tässä artikkelissa tarkastellaan, kuinka Ettercapilla analysoidaan ja muokataan liikennettä.
Mikä on Mies keskellä -hyökkäys?
Oletusarvoisesti tietokone lähettää kaikki Internetiin lähetettävät verkkopaketit reitittimelle, joka puolestaan lähettää ne seuraavalle reitittimelle, kunnes paketti saavuttaa määränpäänsä. Mutta tietyistä syistä pakettia ei ehkä lähetetä reitittimeen, vaan suoraan tietokoneellesi ja vasta sitten reitittimeen.
Tietokone, jonka kautta paketit kulkevat, voi analysoida lähteen, kohdeosoitteen ja jos niitä ei ole salattu, niin niiden koko sisällön.
On kaksi tapaa suorittaa MITM (Man In Middle Attack):
- ARP-hyökkäys- ARP-protokollan ominaisuuksien avulla tietokoneesi kertoo muille, että se on reititin, minkä jälkeen kaikki paketit alkavat lähettää sille;
- DNS-hyökkäys- Kun tietokone yrittää saada IP-osoitteen verkkotunnukselle, korvaamme tämän osoitteen omalla osoitteellamme, mutta jotta tämä tyyppi toimisi, sinun on käytettävä ARP-menetelmää.
Ettercap Linux -ohjelma voi suorittaa molempia hyökkäyksiä. Lisäksi apuohjelma voi suorittaa palvelunestohyökkäyksiä ja tarkistaa portteja. Katsotaanpa nyt Ettercapin asentamista ja käyttöä.
Ettercapin asennus
Tämä on melko suosittu ohjelma verkkoturva-asiantuntijoiden keskuudessa, joten se on saatavilla useimpien jakelujen virallisissa arkistoissa. Esimerkiksi Ettercapin asentaminen Ubuntu-ajoon:
$ sudo apt install ettercap-gtk
Fedorassa tai muissa siihen perustuvissa jakeluissa komento näyttää samalta:
$ sudo yum asenna ettercap-gtk
Olemme suorittaneet Ettercap Linuxin asennuksen, mutta ennen sen käyttöä meidän on muutettava useita asetuksia asetustiedostossa.
$ sudo vi /etc/ettercap/etter.conf
Riveillä ec_uid ja ec_gid on oltava arvo 0, jotta ohjelmapalvelu voi toimia pääkäyttäjänä:
ec_uid = 0 # nobody on oletusarvo
ec_gid = 0 # nobody on oletusarvo
redir_command_on = "iptables -t nat -A PREROUTING -i %iface -p tcp --dport %port -j REDIRECT --porttiin %rport"
redir_command_off = "iptables -t nat -D PREROUTING -i %iface -p tcp --dport %port -j REDIRECT --porttiin %rport"
Niitä käytetään SSL-yhteyksien uudelleenohjaamiseen tavalliseen HTTP:hen, jos mahdollista. Tallenna sitten muutokset ja ohjelma on valmis käytettäväksi.
Ettercap GUI:n käyttö
Ohjelma voi toimia useissa tiloissa - graafisella käyttöliittymällä, ilman ja palveluna. Harkitsemme työskentelyä graafisessa käyttöliittymässä. Jos haluat suorittaa ohjelman GTK-liittymällä, käytä -G-vaihtoehtoa:
$ sudo -E ettercap -G
ARP-myrkytyshyökkäys Ettercapissa
Kuten jo sanoin, tällä hyökkäyksellä voimme pakottaa kohdetietokoneen lähettämään paketteja ei reitittimelle, vaan meille. Kaikki toimii hyvin yksinkertaisesti. Tietokone tietää reitittimen IP:n ja sai sen verkkoon kytkeytyessään. Mutta joka kerta, kun hänen on lähetettävä paketti, hänen on muutettava tämä yleinen IP-osoite käytetyn verkkoteknologian matalan tason osoitteeksi, esimerkiksi langallisessa Internetissä se on MAC-osoite.
Tätä varten käytetään ARP-protokollaa. Tietokone lähettää kaikille verkon laitteille pyynnön, esimerkiksi "kuka on 192.168.1.1", ja reititin, nähtyään osoitteensa, lähettää vastauksena MAC-koodinsa. Sitten se tallennetaan välimuistiin. Mutta voimme käyttää Ettercapia pyytääksemme kohdetietokonetta päivittämään ARP-välimuistinsa ja antamaan sille MAC-osoitteemme reitittimen MAC-osoitteen sijaan. Sitten kaikki paketit siirretään meille ja lähetämme ne tarvittaessa.
Mennään töihin ja suoritetaan attercap arp -huijaushyökkäys. Avaa Ettercapissa valikko Haistella ja valitse Unified Snifing. Valitse sitten verkkoliittymäsi, esimerkiksi eth0 tai wlan0:
Ohjelma-ikkuna muuttuu ja monia muita toimintoja tulee saatavillemme. Nyt sinun täytyy skannata verkko. Voit tehdä tämän avaamalla valikon Isännät ja paina Skannaa isännät. Vaikka jokin ei toimisi, voit ladata luettelon isännistä tiedostosta:
Hyökkäyksen aloittamiseksi meidän on määritettävä kohde 1 ja kohde 2. Ensimmäiseksi kohteeksi meidän on määritettävä sen koneen IP, johon aiomme hyökätä, ja kohteena 2 reitittimen ip. Käytä painikkeita lisätäksesi tavoitteita Lisää kohde 1 Ja Lisää Traget 2:
Valitse avautuvassa ikkunassa valintaruutu Haista etäyhteydet kaapata kaikki etäyhteydet tästä tietokoneesta:
Aloita nyt vaihtoprosessi valikossa alkaa valitse Aloita nuuskiminen.
Tämän jälkeen ohjelma alkaa lähettää paketteja verkkoon ja pyytää 192.168.1.3 päivittämään ARP-välimuistin ja korvaamaan reitittimen MAC-osoitteen omallasi. Hyökkäys on käynnistetty ja toteutettu onnistuneesti. Voit avata valikon Näytä -> Liitännät ja katso kohdelaitteen aktiiviset yhteydet:
Jos pakettia ei ole salattu, voimme tarkastella lähetettyjä tietoja napsauttamalla yhteyttä hiirellä. Lähetetyt tiedot näkyvät vasemmalla ja vastaanotetut tiedot oikealla:
DNS-huijaushyökkäys Ettercapilla
Sivuston nimien muuntamiseen verkon IP-osoitteiksi käytetään erityistä palvelua - DNS. Kun tietokone tarvitsee sivuston IP-osoitteen, se pyytää sitä DNS-palvelimelta. Mutta jos olet jo suorittamassa MITM-hyökkäystä, voimme korvata palvelimen vastauksen siten, että IP-osoite palautetaan sivustopalvelimen IP:n sijaan. Ensin meidän on muokattava /etc/ettercap/etter.dns-tiedostoa:
$ sudo vi /etc/ettercap/etter.dns
google.com.ua A 127.0.0.1
Tämä merkintä tarkoittaa, että korvaamme google.com.ua:n pää-IP:n osoitteella 127.0.0.1. Huomaa, että tämä hyökkäys ei toimi ilman edellistä. Avaa seuraavaksi valikko Plugins -> Hallitse laajennuksia:
Kaksoisnapsauta sitten laajennusta dns_spoof:
Plugin aktivoituu ja voit tarkistaa laitteen IP-osoitteen. DNS on todellakin muuttunut. Voit esimerkiksi ajaa kohdekoneessa:
$ ping google.com.ua
$ping www.ettercap.org
Näiden lisäosien lisäksi on muita, joilla voit suorittaa tarvittavat toiminnot.
Ettercap suodattimet
Suodattimien avulla voit muokata ohjelman läpi kulkevia paketteja lennossa. Voit hylätä paketteja tai tehdä niihin tarvittavia muutoksia käyttämällä korvaustoimintoa. Suodattimet toimivat myös vain, kun MITM-hyökkäys on käynnissä. Niiden ehtojen syntaksi, joilla suodatamme paketteja, on hyvin samanlainen kuin wireshark. Katsotaanpa yksinkertaista suodatinta, joka korvaa kaikki kuvat omallamme:
$ vi test.filter
if (ip.proto == TCP && tcp.dst == 80) (
if (search(DATA.data, "Accept-Encoding")) (
korvaa("Hyväksy-koodaus", "Hyväksy-Roska!");
# huomautus: korvaava merkkijono on samanpituinen kuin alkuperäinen merkkijono
msg("zapped Accept-Encoding!\n");
}
}
if (ip.proto == TCP && tcp.src == 80) (
korvaa("img src="/, "img src=\"https://pbs.twimg.com/profile_images/655061121007616000/NCV0qQnS.png\" ");
korvaa("IMG SRC=", "img src=\"https://pbs.twimg.com/profile_images/655061121007616000/NCV0qQnS.png\" ");
msg("Suodattimen määrä.\n");
}
Niille, joilla on kokemusta ohjelmointikielten kanssa työskentelemisestä, kaiken pitäisi olla selvää tässä. Jos protokolla on TCP ja kohdeportti on 80, jatkamme hakua ja etsimme Accept-Encoding. Sitten korvaamme tämän sanan millä tahansa muulla, mutta samanpituisella. Koska jos selain lähettää Accept-Encoding gzipin, tiedot pakataan, emmekä suodata siellä mitään. Seuraavaksi palvelinvastauksessa, lähdeportissa 80, korvaamme kaikki kuvat omallamme. Nyt suodatin on koottava:
$ etterfilter test.filter -o test.ef
Jäljelle jää vain suodattimen lataaminen valikon avulla Suodattimet -> Lataa suodatin:
Valitse suodatintiedosto tiedostojärjestelmästä:
Suodatin ladataan ja voit avata minkä tahansa sivuston, joka ei käytä https:ää varmistaaksesi, että kaikki toimii. Pysäytä MITM-hyökkäys avaamalla valikko MITM ja valitse Pysäytä kaikki Mitm-hyökkäykset. Ettercap-opetusohjelmamme lähenee loppuaan, mutta...
Kuinka suojella itseäsi?
Luultavasti artikkelin lukemisen jälkeen sinulla on järkevä kysymys, kuinka suojata tietokoneesi tämän tyyppisiltä hyökkäyksiltä? Tätä varten on useita työkaluja, mukaan lukien Linux-käyttöjärjestelmä:
- XArp- graafinen apuohjelma, joka voi havaita yritykset huijata MAC-osoitteita ARP-protokollan kautta ja torjua niitä. Voi toimia Windowsissa ja Linuxissa;
- Snort- melko tunnettu tunkeutumisenestojärjestelmä, joka muun muassa havaitsee hyökkäykset ARP-protokollaa vastaan;
- ArpON- pieni palvelu, joka valvoo ARP-taulukkoa ja suojaa sitä MAC-osoitteen huijaukselta.
Käytä ohjelmaa vain verkkojesi tai sovellusten turvallisuuden testaamiseen, äläkä myöskään unohda, että laittomat toimet tietotilassa ovat myös rangaistavaa.
Viimeistele ohjelman toimintaa osoittava video:
sinun täytyy rekisteröityä,
jättääksesi kommentin
Ettercap on apuohjelma tietokonerajapinnan kautta kulkevan verkkoliikenteen analysointiin, mutta siinä on lisätoimintoja. Ohjelman avulla voit suorittaa man-in-the-middle-hyökkäyksiä pakottaaksesi toisen tietokoneen lähettämään paketteja sinulle reitittimen sijaan.
Ettercapilla voit tarkistaa verkkosi turvallisuuden, kuinka alttiina se on tämäntyyppisille hyökkäyksille, sekä analysoida useiden tietokoneiden liikennettä ja jopa muokata sitä lennossa. Tässä artikkelissa tarkastellaan, kuinka Ettercapilla analysoidaan ja muokataan liikennettä.
Oletusarvoisesti tietokone lähettää kaikki Internetiin lähetettävät verkkopaketit reitittimelle, joka puolestaan lähettää ne seuraavalle reitittimelle, kunnes paketti saavuttaa määränpäänsä. Mutta tietyistä syistä pakettia ei ehkä lähetetä reitittimeen, vaan suoraan tietokoneellesi ja vasta sitten reitittimeen.
Tietokone, jonka kautta paketit kulkevat, voi analysoida lähteen, kohdeosoitteen ja jos niitä ei ole salattu, niin niiden koko sisällön.
On kaksi tapaa suorittaa MITM (Man In Middle Attack):
- ARP-hyökkäys- ARP-protokollan ominaisuuksien avulla tietokoneesi kertoo muille, että se on reititin, minkä jälkeen kaikki paketit alkavat lähettää sille;
- DNS-hyökkäys- Kun tietokone yrittää saada IP-osoitteen verkkotunnukselle, korvaamme tämän osoitteen omalla osoitteellamme, mutta jotta tämä tyyppi toimisi, sinun on käytettävä ARP-menetelmää.
Ettercap Linux -ohjelma voi suorittaa molempia hyökkäyksiä. Lisäksi apuohjelma voi suorittaa palvelunestohyökkäyksiä ja tarkistaa portteja. Katsotaanpa nyt Ettercapin asentamista ja käyttöä.
Ettercapin asennus
Tämä on melko suosittu ohjelma verkkoturva-asiantuntijoiden keskuudessa, joten se on saatavilla useimpien jakelujen virallisissa arkistoissa. Esimerkiksi Ettercapin asentaminen Ubuntu-ajoon:
sudo apt install ettercap-gtk
Fedorassa tai muissa siihen perustuvissa jakeluissa komento näyttää samalta:
sudo yum asenna ettercap-gtk
Olemme suorittaneet Ettercap Linuxin asennuksen, mutta ennen sen käyttöä meidän on muutettava useita asetuksia asetustiedostossa.
sudo vi /etc/ettercap/etter.conf
Riveillä ec_uid ja ec_gid on oltava arvo 0, jotta ohjelmapalvelu voi toimia pääkäyttäjänä:
ec_uid = 0 # nobody on oletusarvo
ec_gid = 0 # nobody on oletusarvo
redir_command_on = "iptables -t nat -A PREROUTING -i %iface -p tcp --dport %port -j REDIRECT --porttiin %rport"
redir_command_off = "iptables -t nat -D PREROUTING -i %iface -p tcp --dport %port -j REDIRECT --porttiin %rport"
Niitä käytetään SSL-yhteyksien uudelleenohjaamiseen tavalliseen HTTP:hen, jos mahdollista. Tallenna sitten muutokset ja ohjelma on valmis käytettäväksi.
Ettercap GUI:n käyttö
Ohjelma voi toimia useissa tiloissa - graafisella käyttöliittymällä, ilman ja palveluna. Harkitsemme työskentelyä graafisessa käyttöliittymässä. Jos haluat suorittaa ohjelman GTK-liittymällä, käytä -G-vaihtoehtoa:
sudo -E ettercap -G
ARP-myrkytyshyökkäys Ettercapissa
Kuten jo sanoin, tällä hyökkäyksellä voimme pakottaa kohdetietokoneen lähettämään paketteja ei reitittimelle, vaan meille. Kaikki toimii hyvin yksinkertaisesti. Tietokone tietää reitittimen IP:n ja sai sen verkkoon kytkeytyessään. Mutta joka kerta, kun hänen on lähetettävä paketti, hänen on muutettava tämä yleinen IP-osoite käytetyn verkkoteknologian matalan tason osoitteeksi, esimerkiksi langallisessa Internetissä se on MAC-osoite.
Tätä varten käytetään ARP-protokollaa. Tietokone lähettää kaikille verkon laitteille pyynnön, esimerkiksi "kuka on 192.168.1.1", ja reititin, nähtyään osoitteensa, lähettää vastauksena MAC-koodinsa. Sitten se tallennetaan välimuistiin. Mutta voimme käyttää Ettercapia pyytääksemme kohdetietokonetta päivittämään ARP-välimuistinsa ja antamaan sille MAC-osoitteemme reitittimen MAC-osoitteen sijaan. Sitten kaikki paketit siirretään meille ja lähetämme ne tarvittaessa.
Mennään töihin ja suoritetaan attercap arp -huijaushyökkäys. Avaa Ettercapissa valikko Haistella ja valitse Unified Snifing. Valitse sitten verkkoliittymäsi, esimerkiksi eth0 tai wlan0:
Ohjelma-ikkuna muuttuu ja monia muita toimintoja tulee saatavillemme. Nyt sinun täytyy skannata verkko. Voit tehdä tämän avaamalla valikon Isännät ja paina Skannaa isännät. Vaikka jokin ei toimisi, voit ladata luettelon isännistä tiedostosta:
Hyökkäyksen aloittamiseksi meidän on määritettävä kohde 1 ja kohde 2. Ensimmäiseksi kohteeksi meidän on määritettävä sen koneen IP, johon aiomme hyökätä, ja kohteena 2 reitittimen ip. Käytä painikkeita lisätäksesi tavoitteita Lisää kohde 1 Ja Lisää Traget 2:
Valitse avautuvassa ikkunassa valintaruutu Haista etäyhteydet kaapata kaikki etäyhteydet tästä tietokoneesta:
Aloita nyt vaihtoprosessi valikossa alkaa valitse Aloita nuuskiminen.
Tämän jälkeen ohjelma alkaa lähettää paketteja verkkoon ja pyytää 192.168.1.3 päivittämään ARP-välimuistin ja korvaamaan reitittimen MAC-osoitteen omallasi. Hyökkäys on käynnistetty ja toteutettu onnistuneesti. Voit avata valikon Näytä -> Liitännät ja katso kohdelaitteen aktiiviset yhteydet:
Jos pakettia ei ole salattu, voimme tarkastella lähetettyjä tietoja napsauttamalla yhteyttä hiirellä. Lähetetyt tiedot näkyvät vasemmalla ja vastaanotetut tiedot oikealla:
DNS-huijaushyökkäys Ettercapilla
Sivuston nimien muuntamiseen verkon IP-osoitteiksi käytetään erityistä palvelua - DNS. Kun tietokone tarvitsee sivuston IP-osoitteen, se pyytää sitä DNS-palvelimelta. Mutta jos olet jo suorittamassa MITM-hyökkäystä, voimme korvata palvelimen vastauksen siten, että IP-osoite palautetaan sivustopalvelimen IP:n sijaan. Ensin meidän on muokattava /etc/ettercap/etter.dns-tiedostoa:
sudo vi /etc/ettercap/etter.dns
google.com.ua A 127.0.0.1
Tämä merkintä tarkoittaa, että korvaamme google.com.ua:n pää-IP:n osoitteella 127.0.0.1. Huomaa, että tämä hyökkäys ei toimi ilman edellistä. Avaa seuraavaksi valikko Plugins -> Hallitse laajennuksia:
Kaksoisnapsauta sitten laajennusta dns_spoof:
Plugin aktivoituu ja voit tarkistaa laitteen IP-osoitteen. DNS on todellakin muuttunut. Voit esimerkiksi ajaa kohdekoneessa:
ping google.com.ua
ping www.ettercap.org
Näiden lisäosien lisäksi on muita, joilla voit suorittaa tarvittavat toiminnot.
Ettercap suodattimet
Suodattimien avulla voit muokata ohjelman läpi kulkevia paketteja lennossa. Voit hylätä paketteja tai tehdä niihin tarvittavia muutoksia käyttämällä korvaustoimintoa. Suodattimet toimivat myös vain, kun MITM-hyökkäys on käynnissä. Niiden ehtojen syntaksi, joilla suodatamme paketteja, on hyvin samanlainen kuin wireshark. Katsotaanpa yksinkertaista suodatinta, joka korvaa kaikki kuvat omallamme:
if (ip.proto == TCP && tcp.dst == 80) (
if (search(DATA.data, "Accept-Encoding")) (
korvaa("Hyväksy-koodaus", "Hyväksy-Roska!");
# huomautus: korvaava merkkijono on samanpituinen kuin alkuperäinen merkkijono
msg("zapped Accept-Encoding!\n");
}
}
if (ip.proto == TCP && tcp.src == 80) (
korvaa("img src=", "img src=\"https://pbs.twimg.com/profile_images/655061121007616000/NCV0qQnS.png\" ");
korvaa("IMG SRC=", "img src=\"https://pbs.twimg.com/profile_images/655061121007616000/NCV0qQnS.png\" ");
msg("Suodattimen määrä.\n");
}
Niille, joilla on kokemusta ohjelmointikielten kanssa työskentelemisestä, kaiken pitäisi olla selvää tässä. Jos protokolla on TCP ja kohdeportti on 80, jatkamme hakua ja etsimme Accept-Encoding. Sitten korvaamme tämän sanan millä tahansa muulla, mutta samanpituisella. Koska jos selain lähettää Accept-Encoding gzipin, tiedot pakataan, emmekä suodata siellä mitään. Seuraavaksi palvelinvastauksessa, lähdeportissa 80, korvaamme kaikki kuvat omallamme. Nyt suodatin on koottava:
etterfilter test.filter -o test.ef
Jäljelle jää vain suodattimen lataaminen valikon avulla Suodattimet -> Lataa suodatin:
Valitse suodatintiedosto tiedostojärjestelmästä:
Suodatin ladataan ja voit avata minkä tahansa sivuston, joka ei käytä https:ää varmistaaksesi, että kaikki toimii. Pysäytä MITM-hyökkäys avaamalla valikko MITM ja valitse Pysäytä kaikki Mitm-hyökkäykset. Ettercap-opetusohjelmamme lähenee loppuaan, mutta...
Kuinka suojella itseäsi?
Luultavasti artikkelin lukemisen jälkeen sinulla on järkevä kysymys, kuinka suojata tietokoneesi tämän tyyppisiltä hyökkäyksiltä? Tätä varten on useita työkaluja, mukaan lukien Linux-käyttöjärjestelmä:
- XArp- graafinen apuohjelma, joka voi havaita yritykset huijata MAC-osoitteita ARP-protokollan kautta ja torjua niitä. Voi toimia Windowsissa ja Linuxissa;
- Snort- melko tunnettu tunkeutumisenestojärjestelmä, joka muun muassa havaitsee hyökkäykset ARP-protokollaa vastaan;
- ArpON- pieni palvelu, joka valvoo ARP-taulukkoa ja suojaa sitä MAC-osoitteen huijaukselta.
johtopäätöksiä
Tässä artikkelissa tarkastelimme, kuinka käyttää Ettercap-ohjelmaa, verkkopakettien analysointiohjelmaa ja Man-in-the-Middle -hyökkäyksien suorittamista. Käytä ohjelmaa vain verkkojesi tai sovellusten turvallisuuden testaamiseen, äläkä myöskään unohda, että laittomat toimet tietotilassa ovat myös rangaistavaa.
Viimeistele ohjelman toimintaa osoittava video:
Tämä artikkeli näyttää, kuinka voit siepata liikennettä paikallisessa verkossasi Ettercapilla. MITM-hyökkäysten (Man In The Middle -hyökkäykset) käyttö tähän tarkoitukseen.
– avoimen lähdekoodin apuohjelma tietokoneverkkojen turvallisuuden analysointiin. Joiden päätarkoitus on MITM-hyökkäykset (Man In The Middle -hyökkäykset). Sillä on kyky haistaa live-yhteyksiä, suodattaa sisältöä lennossa sekä monia muita mielenkiintoisia ominaisuuksia. Tukee sekä aktiivisia että passiivisia protokollahyökkäyksiä ja sisältää suuren määrän verkko- ja isäntäanalyysitoimintoja.
Lisätietoja löytyy osoitteesta
Ettercapin asennus/konfigurointi
Voit ladata ja asentaa Ettercapin lähteestä - . Vaihtoehtoisesti voit käyttää seuraavaa komentoa:
# apt-get install ettercap-gtk ettercap-common
Löydämme siitä nämä rivit ja poistamme kommentit:
# jos käytät iptablesia: redir_command_on = "iptables -t nat -A PREROUTING -i %iface -p tcp --dport %port -j REDIRECT --porttiin %rport" redir_command_off = "iptables -t nat -D PREROUTING - i %iface -p tcp --dport %port -j REDIRECT --porttiin %rport"
# jos käytät iptablesia: redir_command_on = "iptables -t nat -A PREROUTING -i %iface -p tcp --dport %port -j REDIRECT --to-port %rport" redir_command_off = "iptables -t nat -D PREROUTING -i %iface -p tcp --dport %port -j REDIRECT --to-port %rport" |
Kun kaikki yllä olevat toiminnot on suoritettu, käynnistä Ettercap. Joillekin ihmisille, mukaan lukien minulle, Ettercap ei kuitenkaan toimi. Virheet kuten " LÄHETÄ L3 VIRHE". Estä tällaisten virheiden esiintyminen käyttämällä seuraavaa komentoa:
# echo "1" > /proc/sys/net/ipv4/ip_forward # cat /proc/sys/net/ipv4/ip_forward 1
# echo "1" > /proc/sys/net/ipv4/ip_forward # cat /proc/sys/net/ipv4/ip_forward |
Nyt kaiken pitäisi toimia hyvin, eikä virheitä pitäisi ilmetä.
ARP-myrkytys
Aiemmin kuvattiin, mikä "" on ja miksi sitä tarvitaan. Tässä kuvataan myös kuinka se toteutetaan Ettercapilla.
Katso ensin käytettävä verkkoarkkitehtuuri (katso alla oleva kuva). Tämä on välttämätöntä, jotta sinulla on hyvä käsitys siitä, mistä on kyse:
Käynnistä Ettercap:
Edessämme avautuu sovellusikkuna, joka näkyy alla: 
Napsauta painiketta Haistella-> Yhtenäinen nuuskiminen. Valitse sen jälkeen käytettävä käyttöliittymä. minulla on tämä eth0:
Paina ylävalikossa painikkeita Isännät–Etsi isäntiä:
Nyt klikataan uudestaan Isännät–Isäntäluettelo. Näkyviin tulee alla olevan kuvan mukainen ikkuna:
Tässä meidän on valittava tavoitteet, ts. valitse kone, joka toimii "uhrina" ja yhdyskäytävänä. Kuten käyttämämme verkon arkkitehtuurista voidaan nähdä, "uhri" on kone, jolla on IP-osoite = 192.168.1.3. No, porttina IP-osoite = 192.168.1.1. Valitse siksi 192.168.1.3 ja paina -painiketta Lisää kohteeseen 1. Napsauta nyt 192.168.1.1 ja paina -painiketta Lisää kohteeseen 2.
Klikkaus OK. Jäljelle jää vain käynnistää se. Voit tehdä tämän napsauttamalla painiketta alkaa–Aloita nuuskiminen.
Nuuskiminen on alkanut. Jää vain odottaa, kunnes käyttäjä syöttää tietonsa esimerkiksi sähköpostitililtään.
Ohjelma suunniteltiin kytketyn lähiverkon liikenneanalysaattoriksi, mutta ajan myötä siitä tuli universaali työkalu verkkopakettien sieppaamiseen, analysointiin ja tallentamiseen. Se voi toimia verkoissa, joissa on kytkimet ja keskittimet, ja sillä on monia epätavallisia ominaisuuksia. Erityisesti se tukee sekä aktiivista että passiivista analysointia suuresta määrästä verkkoprotokollia, mukaan lukien ne, jotka käyttävät salausta. On työkaluja verkon topologian analysointiin ja asennettujen käyttöjärjestelmien tunnistamiseen.
Tavoitteidensa saavuttamiseksi Ettercap-ohjelma käyttää viittä erilaista analyysimenetelmää: IP- ja MAC-suodatusta, ARP-sieppausta ja jälkimmäisen kahta lajiketta - Smart-ARP ja Public-ARP.
IP-suodatustilassa paketit tarkistetaan vastaamaan IP-osoite/portti-yhdistelmää (lähettäjä ja vastaanottaja). MAC-suodatustilassa lähettäjän ja vastaanottajan MAC-osoitteet tarkistetaan (tämä on kätevää, kun muodostetaan yhteyksiä yhdyskäytävän kautta). ARP-kaappaustilassa "näkymätön mies keskellä" -hyökkäys suoritetaan valitulle kahdelle kytketyn verkon solmulle. Tämä saavutetaan vahingoittamalla tietoisesti isäntien ARP-välimuistia, jolloin liikenne välitetään automaattisesti. Smart-ARP- ja Public-ARP-tilat toteutetaan samalla tavalla, mutta niiden tavoitteena on siepata liikennettä uhrisolmun ja kaikkien muiden solmujen välillä. Ensimmäisessä tapauksessa määritetään luettelo isännistä, toisessa ohjelma lähettää yleislähetys ARP-paketteja.
Ohjelman ominaisuudet:
- voi muokata ohittavia paketteja (molempiin suuntiin);
- osaa analysoida SSH1- ja HTTPS-protokollien yhteyksiä (vaikka yhteys muodostetaan välityspalvelimen kautta);
- voi liittää ulkoisia moduuleja;
- voi purkaa useiden verkkoprotokollien käyttäjätunnuksia ja salasanoja (mukaan lukien Telnet, FTP, POP, SSH1, SMB, LDAP, NFS, IMAP4, VNC ja monet muut);
- voi lisätä ja poistaa paketteja istunnon aikana;
- voi passiivisesti skannata verkkoa (lähettämättä paketteja) ja tuhota yhteyksiä.
Ohjelma ei vaadi alkuasetuksia. Voit määrittää kaikki tarvittavat asetukset komentorivillä tai liittää ulkoisen asetustiedoston.
Kun ohjelma käynnistetään, se lähettää ARP-pyynnön jokaiselle paikallisverkon IP-osoitteelle. Luettelo mahdollisista IP-osoitteista määritetään analysoimalla sen oma osoite ja maski, ja ARP-vastausten saatuaan luodaan luettelo verkossa toimivista isännistä. Kannattaa olla varovainen, jos verkkopeite määrittelee luokan B verkon (255.255.0.0), koska tällöin ohjelman on lähetettävä 65025 pyyntöä. Niiden käsittely vie paljon aikaa, ja lisäksi tällainen toiminta voidaan havaita nopeasti.
Ohjelmaa voidaan käyttää kahdessa tilassa: interaktiivinen (graafinen) ja ei-interaktiivinen. Ohjelman graafinen käyttöliittymä perustuu ncurses-kirjastoon. Ei-interaktiivinen tila on hyödyllinen, jos ohjelma kutsutaan komentosarjasta keräämään tietoja taustalla.
Syntaksi ohjelman kutsumiselle on:
# ettercap [ vaihtoehtoja][IP-kohdeportti][IP-lähettäjä:portti][Vastaanottajan MAC][Lähettäjä MAC]
Vaihtoehdot analyysimenetelmän valitsemiseksi:
-a, --arpsniff ARP-kuuntelu
-s, -- haistelee IP-suodatus
-m, --macsniff MAC-suodatus
Yleiskäyttöiset vaihtoehdot:
-N, --yksinkertaista- ei-interaktiivinen tila.
-z, --hiljainen- "hiljainen" tila (ilman massiivisia ARP-pyyntöjä käynnistyksen yhteydessä).
-Voi, passiivinen— passiivinen tiedonkeruu.
-b, --laajennus— yleislähetysping-pyyntöjen käyttö ARP-pyyntöjen sijaan.
-D, --viive<sekuntia> — määrittää viiveen (sekunteina) kahden ARP-vastauksen välillä.
-Z, --myrskyviive<mikrosekuntia> — asettaa viiveen (mikrosekunteina) ARP-pyyntöjen välillä verkkoon ensimmäisen "tunkeutumisen" aikana.
-S, -- huijaus<IP— adrintalihakset> — määrittää väärennetyn IP-osoitteen, jota käytetään verkon skannauksessa.
-H, --isännät<IP-aosoite1 [,IP-adpec2] . . .> — määrittää käynnistyksen yhteydessä tarkistettavat solmut.
-d, --älä ratkaise- älä muunna IP-osoitteita verkkotunnusten nimiksi käynnistyksen yhteydessä.
-i, --iface<käyttöliittymä> — määrittää käyttöliittymän skannausta varten.
-n, --verkkomask<naamio> — asettaa maskin, joka määrittää tarkistettavan verkon.
-e, --etterconf<tiedosto> — määrittää määritystiedoston, josta komentorivin valinnat luetaan.
-t, --linktype— pakottaa ohjelman tarkistamaan, onko verkossa kytkintä.
-j, --loadhosts<tiedosto> — määrittää tiedoston, josta solmuluettelo ladataan.
-k, --savehosts— solmuluettelon tallentaminen tiedostoon.
-v, --versio- saa ohjelman tarkistamaan, onko Ettercapista päivitetty versio.
-h, -apua- syntaksiohjeen tulos.
Hiljaisen tilan vaihtoehdot:
-u, --udp— siepata vain UDP-paketteja.
-R, --reverse— kaikkien yhteyksien analyysi paitsi komentorivillä määritetyn yhteyden.
-Voi, passiivinen- passiivinen skannaustila.
-р, --plugin<moduuli> — ulkoisen plug-in-moduulin käynnistäminen.
-l, --lista— hankkia luettelo kaikista paikallisverkon solmuista.
-C, --kerää— saada luettelo kaikista komentorivillä määritetyistä isäntätileistä ja salasanoista.
-f, --sormenjälki<solmu> — tietyn solmun käyttöjärjestelmän tyypin analyysi.
-x, - heksanäkymä— näyttää tiedot heksadesimaalimuodossa.
-L, --logtofile— tietojen kirjoittaminen lokitiedostoon.
-q, --hiljainen- ajaa taustalla.
-w, --newcert- Luodaan uusi varmennetiedosto tietämättömälle mies-in-the-middle-hyökkäykselle HTTPS-istuntoja vastaan.
-F, --suodatin<tiedosto> — suodatussääntöjen lataaminen määritetystä tiedostosta.
-с, --check- saa ohjelman tarkistamaan, yrittääkö joku muu siepata sen omaa liikennettä.
Kun kutsut ohjelmaa ilman valintoja (tarkemmin sanottuna ilman -N-optiota), se toimii interaktiivisessa tilassa. Ohjelmaikkuna on jaettu kolmeen osaan. Yläosassa näkyy kytkentäkaavio, joka osoittaa kaksi vuorovaikutuksessa olevaa solmua (tämä ikkunan osa voi aluksi olla tyhjä). Ikkunan keskiosa sisältää luettelon paikallisverkosta löytyvistä solmuista. Tarkemmin sanottuna näytetään kaksi identtistä listaa, joista voit valita kaksi solmua yhteyskaavion luomiseksi. Valitse solmu vasemmasta sarakkeesta siirtämällä kohdistin sen kohdalle ja napsauttamalla
Ikkunan alaosassa näkyy lisätietoja valituista solmuista. Saat luettelon käytettävissä olevista komennoista napsauttamalla
Kun yhteys on hallinnassa, voit alkaa analysoida tietoja. On sallittua ohjata siepattuja tietoja tiedostoon, häiritä istuntoa ja suorittaa monia muita tehtäviä, mukaan lukien istunnon tuhoaminen.
Tässä on useita esimerkkejä, jotka havainnollistavat Ettercap-ohjelman käynnistämisen ominaisuuksia. Ensimmäisessä esimerkissä ohjelma toimii interaktiivisesti ja kerää tietoja passiivisesti.
Retoriikkaa
Langattomien wifi-verkkojen skannaus on yhtä helppoa kuin sovellusten kääntäminen lähteestä Linux-käyttöjärjestelmässä. Jos haluat tarkistaa naapurisi tietoturvan tai tietotekniikan osaamisen yleensä. Ja myös oppia hänestä hieman enemmän kuin hän itse haluaa. Ja samaan aikaan hän itse asiassa itse kutsuu sinut tekemään tämän lukutaidottomuutensa ansiosta. Sitten pyydän teitä seuraamaan edelleen tämän kuvauksen aaltoja.
Tämän artikkelin sankari on lyhytikäinen, mutta älykäs ja ketterä ohjelma nimeltä . Se on hyvin yleinen Linux-maailmassa ja on lähes kaikkien jakelujen arkistoissa. Ettercap, kuten kaikilla todellisilla Unix-ohjelmilla, on kaksi muotoa: puhdas CLI-komentorivikäyttöliittymä, jota ei peitä kaikenlaiset painikkeet ja pillit; raskaampi, mutta aloittelijaystävällinen graafinen käyttöliittymä (kirjoitettu GTK-kirjastoihin, mutta myös suunniteltu toimimaan ensisijaisesti Gnomen alla.).
Ohjelman alla ettercap, sen lisäksi, että hän voi tehdä paljon itse, on olemassa suuri määrä laajennuksia, jotka laajentavat merkittävästi hänen ominaisuuksiaan. Käyttämällä ettercap voit tehdä paljon mitä haluat.
Varmasti, ettercap ei ole ainoa tällainen apuohjelma. On yhtä kuuluisa ja "hienotettu" aircrack-ng. Mutta tässä keskitytään ettercap. Ja näet miksi.
Ohjelman toiminta ettercap Käytän esimerkkiä Blackbuntu-jakelusta. Tämä on erittäin hyvä käyttöjärjestelmä pentestaukseen, joka "syntyi" ollenkaan. Se on suunniteltu uudelleen ja täydennetty tarvittavilla Ubuntu-ohjelmilla ja -apuohjelmilla (tarkemmin sanottuna Ubuntu 10.10). Joten ne, jotka ovat tottuneet työskentelemään tämän käyttöjärjestelmän kanssa, tuntevat olonsa tutuiksi Blackbuntussa. Pentestauksen ohjelmasarja on lähes yhtä hyvä kuin tunnettu BackTrack. No, jakelun suunnittelu ansaitsee erillisen keskustelunaiheen. Poikkeamme kuitenkin. Mennään ohjelmaan ettercap.
Ettercapin asentaminen Ubuntuun
Arp-myrkytystila käynnissä ettercapissa
Laita rasti Sniff Remote -liitännät näkyviin tulevassa valintaikkunassa tämän tilan määrittämiseksi.
Sniff Remote ettercapissa
Nyt meidän on siirryttävä laajennusvalikkoon ja valittava yksi niistä - chk_poison. Tämän laajennuksen toiminta käy selväksi sen nimestä - se tarkistaa, onko sieppaustilamme käytössä arp myrkytys. Siirry valikkoon Plugins - Hallitse laajennuksia, etsi chk_poison ja käynnistä se kaksoisnapsauttamalla.
Siirrytäänpä laajennuksien hallintaan ettercapissa
Lisäosien hallintaikkuna ettercapissa
Jos sieppaustila on otettu käyttöön onnistuneesti, meidän pitäisi nähdä lokiikkunassa seuraava merkintä:
Aktivoidaan chk_poison-laajennusta... chk_poison: Sinun on suoritettava tämä laajennus myrkytysistunnon aikana. Yhdistetty haistelu on jo aloitettu...
Nyt voit rentoutua ja katsella, kuinka itse haisteleminen etenee. Siirry valikkoon Näytä - Liitännät ja katso mitä saamme.
Nuuskimisprosessi ettercapissa
Kuten näette, ikkuna Liitännät varsin informatiivinen. Koneiden IP-osoitteet, niiden tila ja niiden välillä siirrettyjen tavujen määrä näytetään. Jos haluamme nähdä tarkempia tietoja (mitä lähetetään), valitse rivi luettelosta ja avaa se kaksoisnapsauttamalla sitä. Näkyviin tulee erillinen ikkuna, joka näyttää näiden koneiden välillä siepatut paketit.
Ettercap määritetty niin, että se havaitsee ja tallentaa automaattisesti paikallisverkon kautta lähetetyt salasanat ja kirjautumiset. Ei muuta kuin odottele vähän.