Ettercap ir utilīta, lai analizētu tīkla trafiku, kas iet caur datora saskarni, bet ar papildu funkcionalitāti. Programma ļauj veikt "cilvēka vidū" uzbrukumus, lai piespiestu citu datoru pārsūtīt paketes jums, nevis maršrutētājam.
Izmantojot Ettercap, varat pārbaudīt sava tīkla drošību, to, cik tas ir uzņēmīgs pret šāda veida uzbrukumiem, kā arī analizēt trafiku no vairākiem datoriem un pat modificēt to lidojuma laikā. Šajā rakstā mēs apskatīsim, kā izmantot Ettercap, lai analizētu un modificētu trafiku.
Kas ir uzbrukums Cilvēkam vidū?
Pēc noklusējuma dators visas tīkla paketes, kas jānosūta uz internetu, nosūta maršrutētājam, kas, savukārt, nosūta tās nākamajam maršrutētājam, līdz pakete sasniedz galamērķi. Bet noteiktu iemeslu dēļ pakete var tikt pārsūtīta nevis uz maršrutētāju, bet tieši uz jūsu datoru un tikai pēc tam uz maršrutētāju.
Dators, caur kuru tiks nosūtītas paketes, var analizēt avotu, galamērķa adresi un, ja tās nav šifrētas, to pilnu saturu.
Ir divi veidi, kā veikt MITM (Man In Middle Attack):
- ARP uzbrukums- izmantojot ARP protokola iespējas, jūsu dators paziņo citiem, ka tas ir maršrutētājs, pēc kura visas paketes sāk sūtīt uz to;
- DNS uzbrukums- kad dators mēģina iegūt IP adresi domēnam, mēs šo adresi aizstājam ar savu, taču, lai šis tips darbotos, ir jāizmanto ARP metode.
Programma Ettercap Linux var veikt abus uzbrukumu veidus. Turklāt utilīta var veikt pakalpojuma atteikuma uzbrukumus un skenēt portus. Tagad apskatīsim, kā instalēt un lietot Ettercap.
Ettercap instalēšana
Šī ir diezgan populāra programma tīkla drošības speciālistu vidū, tāpēc tā ir pieejama vairuma izplatījumu oficiālajos krātuvēs. Piemēram, lai instalētu Ettercap Ubuntu palaišanā:
$ sudo apt instalēt ettercap-gtk
Fedora vai citos uz to balstītos izplatījumos komanda izskatīsies līdzīgi:
$ sudo yum instalējiet ettercap-gtk
Esam pabeiguši Ettercap Linux instalēšanas uzdevumu, taču pirms tā izmantošanas ir jāmaina vairāki iestatījumi konfigurācijas failā.
$ sudo vi /etc/ettercap/etter.conf
Lai programmas pakalpojums darbotos kā superlietotājs, rindām ec_uid un ec_gid jābūt vērtībai 0:
ec_uid = 0 # neviens nav noklusējums
ec_gid = 0 # neviens nav noklusējums
redir_command_on = "iptables -t nat -A PREROUTING -i %iface -p tcp --dport %port -j REDIRECT --to-port %rport"
redir_command_off = "iptables -t nat -D PREROUTING -i %iface -p tcp --dport %port -j REDIRECT --to-port %rport"
Tos izmanto, lai, ja iespējams, novirzītu SSL savienojumus uz parasto HTTP. Pēc tam saglabājiet izmaiņas, un programma ir gatava lietošanai.
Izmantojot Ettercap GUI
Programma var darboties vairākos režīmos – ar grafisko interfeisu, bez un kā servisu. Mēs apsvērsim darbu grafiskā interfeisā. Lai palaistu programmu ar GTK interfeisu, izmantojiet opciju -G:
$ sudo -E ettercap -G
ARP saindēšanās uzbrukums Eterkapā
Kā jau teicu, ar šo uzbrukumu mēs varam piespiest mērķa datoru sūtīt paketes nevis maršrutētājam, bet gan mums. Viss darbojas pavisam vienkārši. Dators zina maršrutētāja IP; tas to saņēma, izveidojot savienojumu ar tīklu. Bet katru reizi, kad viņam ir jānosūta pakete, viņam šī universālā IP adrese ir jāpārvērš par izmantotās tīkla tehnoloģijas zema līmeņa adresi, piemēram, vadu internetam tā ir MAC adrese.
Šim nolūkam tiek izmantots ARP protokols. Dators nosūta pieprasījumu visām tīklā esošajām ierīcēm, piemēram, “kurš ir 192.168.1.1”, un maršrutētājs, redzot tā adresi, nosūtīs savu MAC atbildi. Pēc tam tas tiks saglabāts kešatmiņā. Taču mēs varam izmantot Ettercap, lai lūgtu mērķa datoram atjaunināt savu ARP kešatmiņu un piešķirt tam mūsu MAC adresi, nevis maršrutētāja MAC adresi. Tad visas pakas tiks nodotas mums, un mēs tās nosūtīsim, kur nepieciešams.
Sāksim darbu un veiksim attercap arp spofing uzbrukumu. Programmā Ettercap atveriet izvēlni Šņaukāties un atlasiet Vienotā šņaukšana. Pēc tam atlasiet tīkla saskarni, piemēram, eth0 vai wlan0:
Programmas logs mainīsies un mums būs pieejamas daudzas citas funkcijas. Tagad jums ir nepieciešams skenēt tīklu. Lai to izdarītu, atveriet izvēlni Saimnieki un nospiediet Skenēt saimniekus. Pat ja kaut kas nedarbojas, varat ielādēt saimniekdatoru sarakstu no faila:
Lai sāktu uzbrukumu, mums ir jānorāda mērķis 1 un mērķis 2. Kā pirmais mērķis mums ir jānorāda tās mašīnas IP, kurai mēs gatavojamies uzbrukt, un kā mērķis 2 — maršrutētāja IP. Izmantojiet pogas, lai pievienotu mērķus Pievienojiet mērķi 1 Un Pievienojiet Traget 2:
Atvērtajā logā atzīmējiet izvēles rūtiņu Sniff attālos savienojumus lai pārtvertu visus attālos savienojumus no šī datora:
Tagad, lai sāktu aizstāšanas procesu izvēlnē Sākt atlasiet Sāciet sniffing.
Pēc tam programma sāks sūtīt paketes uz tīklu ar pieprasījumu 192.168.1.3 atjaunināt ARP kešatmiņu un aizstāt maršrutētāja MAC adresi ar jūsu. Uzbrukums ir uzsākts un veiksmīgi izpildīts. Jūs varat atvērt izvēlni Skatīt -> Savienojumi un skatiet mērķa ierīces aktīvos savienojumus:
Ja pakete nebija šifrēta, tad pārsūtīto informāciju varam apskatīt, ar peli noklikšķinot uz savienojuma. Nosūtītā informācija tiek parādīta kreisajā pusē, bet saņemtā - labajā pusē:
DNS viltošanas uzbrukums, izmantojot Ettercap
Lai pārveidotu vietņu nosaukumus tīkla IP adresēs, tiek izmantots īpašs pakalpojums - DNS. Ja datoram ir nepieciešams vietnes IP, tas to pieprasa DNS serverim. Bet, ja jūs jau veicat MITM uzbrukumu, mēs varam aizstāt servera atbildi, lai vietnes servera IP vietā tiktu atgriezta mūsu IP. Vispirms mums ir jārediģē /etc/ettercap/etter.dns fails:
$ sudo vi /etc/ettercap/etter.dns
google.com.ua A 127.0.0.1
Šis ieraksts nozīmē, ka mēs aizstāsim google.com.ua galveno IP ar 127.0.0.1. Ņemiet vērā, ka šis uzbrukums netiek izpildīts bez iepriekšējā. Pēc tam atveriet izvēlni Spraudņi -> Pārvaldīt spraudņus:
Pēc tam veiciet dubultklikšķi uz spraudņa dns_spoof:
Spraudnis tiks aktivizēts, un jūs varat pārbaudīt ierīces IP. DNS tiešām ir mainīts. Piemēram, jūs varat palaist mērķa mašīnā:
$ ping google.com.ua
$ping www.ettercap.org
Papildus šiem spraudņiem ir arī citi, ar kuriem varat veikt nepieciešamās darbības.
Ettercap filtri
Filtri ļauj modificēt paketes, kas tiek nodotas caur programmu. Varat izmest pakotnes vai veikt tajās nepieciešamās izmaiņas, izmantojot aizstāšanas funkciju. Filtri darbojas arī tikai tad, kad darbojas MITM uzbrukums. Nosacījumu sintakse, pēc kuriem mēs filtrēsim paketes, ir ļoti līdzīga wireshark. Apskatīsim vienkāršu filtru, kas visus attēlus aizstās ar mūsējiem:
$ vi test.filter
if (ip.proto == TCP && tcp.dst == 80) (
if (search(DATA.data, "Accept-Encoding")) (
aizstāt ("Pieņemt-kodējums", "Pieņemt-atkritumi!");
# piezīme: nomaiņas virkne ir tāda paša garuma kā sākotnējā virkne
msg("zapped Accept-Encoding!\n");
}
}
if (ip.proto == TCP && tcp.src == 80) (
aizstāt ("img src="/, "img src=\"https://pbs.twimg.com/profile_images/655061121007616000/NCV0qQnS.png\" ");
aizstāt ("IMG SRC=", "img src=\"https://pbs.twimg.com/profile_images/655061121007616000/NCV0qQnS.png\" ");
msg("Filtra darbības laiks.\n");
}
Tiem, kam ir pieredze darbā ar programmēšanas valodām, šeit visam jābūt skaidram. Ja protokols ir TCP un mērķa ports ir 80, mēs turpinām meklēšanu un meklējam Accept-Encoding. Tad mēs aizstājam šo vārdu ar jebkuru citu, bet līdzvērtīgu garumu. Jo, ja pārlūkprogramma nosūta Accept-Encoding gzip, dati tiks saspiesti un mēs tur neko nefiltrēsim. Tālāk, servera atbildē, avota portā 80, mēs visus attēlus aizstājam ar savējiem. Tagad filtrs ir jāapkopo:
$ etterfilter test.filter -o test.ef
Atliek tikai ielādēt filtru, izmantojot izvēlni Filtri -> Ielādēt filtru:
Failu sistēmā atlasiet filtra failu:
Filtrs tiks ielādēts, un jūs varat atvērt jebkuru vietni, kurā netiek izmantots https, lai pārliecinātos, ka viss darbojas. Lai apturētu MITM uzbrukumu, atveriet izvēlni MITM un atlasiet Apturiet visus Mitm uzbrukumus. Mūsu Ettercap apmācība tuvojas beigām, bet...
Kā sevi pasargāt?
Droši vien pēc raksta izlasīšanas tev radās pamatots jautājums, kā pasargāt savu datoru no šāda veida uzbrukumiem? Šim nolūkam ir vairāki rīki, tostarp operētājsistēmai Linux:
- XArp- grafiskā utilīta, kas var atklāt mēģinājumus viltot MAC adreses, izmantojot ARP protokolu, un novērst to. Var strādāt operētājsistēmās Windows un Linux;
- Šņāc- diezgan plaši pazīstama pretielaušanās sistēma, kas cita starpā atklāj uzbrukumus ARP protokolam;
- ArpON- neliels pakalpojums, kas uzrauga ARP tabulu un aizsargā to no MAC adreses viltošanas.
Izmantojiet programmu tikai savu tīklu vai aplikāciju drošības pārbaudei, kā arī neaizmirstiet, ka arī par nelikumīgām darbībām informatīvajā telpā ir paredzēts sods.
Lai pabeigtu videoklipu, kurā parādīts, kā programma darbojas:
jāreģistrējas,
lai atstātu komentāru
Ettercap ir utilīta, lai analizētu tīkla trafiku, kas iet caur datora saskarni, bet ar papildu funkcionalitāti. Programma ļauj veikt "cilvēka vidū" uzbrukumus, lai piespiestu citu datoru pārsūtīt paketes jums, nevis maršrutētājam.
Izmantojot Ettercap, varat pārbaudīt sava tīkla drošību, to, cik tas ir uzņēmīgs pret šāda veida uzbrukumiem, kā arī analizēt trafiku no vairākiem datoriem un pat modificēt to lidojuma laikā. Šajā rakstā mēs apskatīsim, kā izmantot Ettercap, lai analizētu un modificētu trafiku.
Pēc noklusējuma dators visas tīkla paketes, kas jānosūta uz internetu, nosūta maršrutētājam, kas, savukārt, nosūta tās nākamajam maršrutētājam, līdz pakete sasniedz galamērķi. Bet noteiktu iemeslu dēļ pakete var tikt pārsūtīta nevis uz maršrutētāju, bet tieši uz jūsu datoru un tikai pēc tam uz maršrutētāju.
Dators, caur kuru tiks nosūtītas paketes, var analizēt avotu, galamērķa adresi un, ja tās nav šifrētas, to pilnu saturu.
Ir divi veidi, kā veikt MITM (Man In Middle Attack):
- ARP uzbrukums- izmantojot ARP protokola iespējas, jūsu dators paziņo citiem, ka tas ir maršrutētājs, pēc kura visas paketes sāk sūtīt uz to;
- DNS uzbrukums- kad dators mēģina iegūt IP adresi domēnam, mēs šo adresi aizstājam ar savu, taču, lai šis tips darbotos, ir jāizmanto ARP metode.
Programma Ettercap Linux var veikt abus uzbrukumu veidus. Turklāt utilīta var veikt pakalpojuma atteikuma uzbrukumus un skenēt portus. Tagad apskatīsim, kā instalēt un lietot Ettercap.
Ettercap instalēšana
Šī ir diezgan populāra programma tīkla drošības speciālistu vidū, tāpēc tā ir pieejama vairuma izplatījumu oficiālajos krātuvēs. Piemēram, lai instalētu Ettercap Ubuntu palaišanā:
sudo apt instalēt ettercap-gtk
Fedora vai citos uz to balstītos izplatījumos komanda izskatīsies līdzīgi:
sudo yum instalējiet ettercap-gtk
Esam pabeiguši Ettercap Linux instalēšanas uzdevumu, taču pirms tā izmantošanas ir jāmaina vairāki iestatījumi konfigurācijas failā.
sudo vi /etc/ettercap/etter.conf
Lai programmas pakalpojums darbotos kā superlietotājs, rindām ec_uid un ec_gid jābūt vērtībai 0:
ec_uid = 0 # neviens nav noklusējums
ec_gid = 0 # neviens nav noklusējums
redir_command_on = "iptables -t nat -A PREROUTING -i %iface -p tcp --dport %port -j REDIRECT --to-port %rport"
redir_command_off = "iptables -t nat -D PREROUTING -i %iface -p tcp --dport %port -j REDIRECT --to-port %rport"
Tos izmanto, lai, ja iespējams, novirzītu SSL savienojumus uz parasto HTTP. Pēc tam saglabājiet izmaiņas, un programma ir gatava lietošanai.
Izmantojot Ettercap GUI
Programma var darboties vairākos režīmos – ar grafisko interfeisu, bez un kā servisu. Mēs apsvērsim darbu grafiskā interfeisā. Lai palaistu programmu ar GTK interfeisu, izmantojiet opciju -G:
sudo -E ettercap -G
ARP saindēšanās uzbrukums Eterkapā
Kā jau teicu, ar šo uzbrukumu mēs varam piespiest mērķa datoru sūtīt paketes nevis maršrutētājam, bet gan mums. Viss darbojas pavisam vienkārši. Dators zina maršrutētāja IP; tas to saņēma, izveidojot savienojumu ar tīklu. Bet katru reizi, kad viņam ir jānosūta pakete, viņam šī universālā IP adrese ir jāpārvērš par izmantotās tīkla tehnoloģijas zema līmeņa adresi, piemēram, vadu internetam tā ir MAC adrese.
Šim nolūkam tiek izmantots ARP protokols. Dators nosūta pieprasījumu visām tīklā esošajām ierīcēm, piemēram, “kurš ir 192.168.1.1”, un maršrutētājs, redzot tā adresi, nosūtīs savu MAC atbildi. Pēc tam tas tiks saglabāts kešatmiņā. Taču mēs varam izmantot Ettercap, lai lūgtu mērķa datoram atjaunināt savu ARP kešatmiņu un piešķirt tam mūsu MAC adresi, nevis maršrutētāja MAC adresi. Tad visas pakas tiks nodotas mums, un mēs tās nosūtīsim, kur nepieciešams.
Sāksim darbu un veiksim attercap arp spofing uzbrukumu. Programmā Ettercap atveriet izvēlni Šņaukāties un atlasiet Vienotā šņaukšana. Pēc tam atlasiet tīkla saskarni, piemēram, eth0 vai wlan0:
Programmas logs mainīsies un mums būs pieejamas daudzas citas funkcijas. Tagad jums ir nepieciešams skenēt tīklu. Lai to izdarītu, atveriet izvēlni Saimnieki un nospiediet Skenēt saimniekus. Pat ja kaut kas nedarbojas, varat ielādēt saimniekdatoru sarakstu no faila:
Lai sāktu uzbrukumu, mums ir jānorāda mērķis 1 un mērķis 2. Kā pirmais mērķis mums ir jānorāda tās mašīnas IP, kurai mēs gatavojamies uzbrukt, un kā mērķis 2 — maršrutētāja IP. Izmantojiet pogas, lai pievienotu mērķus Pievienojiet mērķi 1 Un Pievienojiet Traget 2:
Atvērtajā logā atzīmējiet izvēles rūtiņu Sniff attālos savienojumus lai pārtvertu visus attālos savienojumus no šī datora:
Tagad, lai sāktu aizstāšanas procesu izvēlnē Sākt atlasiet Sāciet sniffing.
Pēc tam programma sāks sūtīt paketes uz tīklu ar pieprasījumu 192.168.1.3 atjaunināt ARP kešatmiņu un aizstāt maršrutētāja MAC adresi ar jūsu. Uzbrukums ir uzsākts un veiksmīgi izpildīts. Jūs varat atvērt izvēlni Skatīt -> Savienojumi un skatiet mērķa ierīces aktīvos savienojumus:
Ja pakete nebija šifrēta, tad pārsūtīto informāciju varam apskatīt, ar peli noklikšķinot uz savienojuma. Nosūtītā informācija tiek parādīta kreisajā pusē, bet saņemtā - labajā pusē:
DNS viltošanas uzbrukums, izmantojot Ettercap
Lai pārveidotu vietņu nosaukumus tīkla IP adresēs, tiek izmantots īpašs pakalpojums - DNS. Ja datoram ir nepieciešams vietnes IP, tas to pieprasa DNS serverim. Bet, ja jūs jau veicat MITM uzbrukumu, mēs varam aizstāt servera atbildi, lai vietnes servera IP vietā tiktu atgriezta mūsu IP. Vispirms mums ir jārediģē /etc/ettercap/etter.dns fails:
sudo vi /etc/ettercap/etter.dns
google.com.ua A 127.0.0.1
Šis ieraksts nozīmē, ka mēs aizstāsim google.com.ua galveno IP ar 127.0.0.1. Ņemiet vērā, ka šis uzbrukums netiek izpildīts bez iepriekšējā. Pēc tam atveriet izvēlni Spraudņi -> Pārvaldīt spraudņus:
Pēc tam veiciet dubultklikšķi uz spraudņa dns_spoof:
Spraudnis tiks aktivizēts, un jūs varat pārbaudīt ierīces IP. DNS tiešām ir mainīts. Piemēram, jūs varat palaist mērķa mašīnā:
ping google.com.ua
ping www.ettercap.org
Papildus šiem spraudņiem ir arī citi, ar kuriem varat veikt nepieciešamās darbības.
Ettercap filtri
Filtri ļauj modificēt paketes, kas tiek nodotas caur programmu. Varat izmest pakotnes vai veikt tajās nepieciešamās izmaiņas, izmantojot aizstāšanas funkciju. Filtri darbojas arī tikai tad, kad darbojas MITM uzbrukums. Nosacījumu sintakse, pēc kuriem mēs filtrēsim paketes, ir ļoti līdzīga wireshark. Apskatīsim vienkāršu filtru, kas visus attēlus aizstās ar mūsējiem:
if (ip.proto == TCP && tcp.dst == 80) (
if (search(DATA.data, "Accept-Encoding")) (
aizstāt ("Pieņemt-kodējums", "Pieņemt-atkritumi!");
# piezīme: nomaiņas virkne ir tāda paša garuma kā sākotnējā virkne
msg("zapped Accept-Encoding!\n");
}
}
if (ip.proto == TCP && tcp.src == 80) (
aizstāt ("img src=", "img src=\"https://pbs.twimg.com/profile_images/655061121007616000/NCV0qQnS.png\" ");
aizstāt ("IMG SRC=", "img src=\"https://pbs.twimg.com/profile_images/655061121007616000/NCV0qQnS.png\" ");
msg("Filtra darbības laiks.\n");
}
Tiem, kam ir pieredze darbā ar programmēšanas valodām, šeit visam jābūt skaidram. Ja protokols ir TCP un mērķa ports ir 80, mēs turpinām meklēšanu un meklējam Accept-Encoding. Tad mēs aizstājam šo vārdu ar jebkuru citu, bet līdzvērtīgu garumu. Jo, ja pārlūkprogramma nosūta Accept-Encoding gzip, dati tiks saspiesti un mēs tur neko nefiltrēsim. Tālāk, servera atbildē, avota portā 80, mēs visus attēlus aizstājam ar savējiem. Tagad filtrs ir jāapkopo:
etterfilter test.filter -o test.ef
Atliek tikai ielādēt filtru, izmantojot izvēlni Filtri -> Ielādēt filtru:
Failu sistēmā atlasiet filtra failu:
Filtrs tiks ielādēts, un jūs varat atvērt jebkuru vietni, kurā netiek izmantots https, lai pārliecinātos, ka viss darbojas. Lai apturētu MITM uzbrukumu, atveriet izvēlni MITM un atlasiet Apturiet visus Mitm uzbrukumus. Mūsu Ettercap apmācība tuvojas beigām, bet...
Kā sevi pasargāt?
Droši vien pēc raksta izlasīšanas tev radās pamatots jautājums, kā pasargāt savu datoru no šāda veida uzbrukumiem? Šim nolūkam ir vairāki rīki, tostarp operētājsistēmai Linux:
- XArp- grafiskā utilīta, kas var atklāt mēģinājumus viltot MAC adreses, izmantojot ARP protokolu, un novērst to. Var strādāt operētājsistēmās Windows un Linux;
- Šņāc- diezgan plaši pazīstama pretielaušanās sistēma, kas cita starpā atklāj uzbrukumus ARP protokolam;
- ArpON- neliels pakalpojums, kas uzrauga ARP tabulu un aizsargā to no MAC adreses viltošanas.
secinājumus
Šajā rakstā mēs apskatījām, kā izmantot Ettercap — programmu tīkla pakešu analīzei un Man-in-the-Middle uzbrukumu veikšanai. Izmantojiet programmu tikai savu tīklu vai aplikāciju drošības pārbaudei, kā arī neaizmirstiet, ka arī par nelikumīgām darbībām informatīvajā telpā ir paredzēts sods.
Lai pabeigtu videoklipu, kurā parādīts, kā programma darbojas:
Šis raksts parādīs, kā pārtvert trafiku vietējā tīklā, izmantojot Ettercap. Šim nolūkam tiek izmantoti MITM uzbrukumi (Man In The Middle attacks).
– atvērtā koda utilīta datortīklu drošības analīzei. Kuru galvenais mērķis ir MITM uzbrukumi (Man In The Middle attacks). Tam ir iespēja uztvert tiešos savienojumus, filtrēt saturu lidojuma laikā, kā arī daudzas citas interesantas funkcijas. Atbalsta gan aktīvos, gan pasīvos protokolu uzbrukumus un ietver lielu skaitu tīkla un resursdatora analīzes funkciju.
Vairāk informācijas var atrast
Ettercap instalēšana/konfigurēšana
Jūs varat lejupielādēt un instalēt Ettercap no avota - . Kā alternatīvu varat izmantot šādu komandu:
# apt-get install ettercap-gtk ettercap-common
Mēs tajā atrodam šīs rindas un atceļam tās komentārus:
# ja lietojat iptables: redir_command_on = "iptables -t nat -A PREROUTING -i %iface -p tcp --dport %port -j REDIRECT --to-port %rport" redir_command_off = "iptables -t nat -D PREROUTING - i % iface -p tcp --dport % port -j REDIRECT --uz portu %rport"
# ja izmantojat iptables: redir_command_on = "iptables -t nat -A PREROUTING -i %iface -p tcp --dport %port -j REDIRECT --to-port %rport" redir_command_off = "iptables -t nat -D PREROUTING -i %iface -p tcp --dport % port -j REDIRECT --to-port %rport" |
Kad visas iepriekš minētās darbības ir pabeigtas, palaidiet Ettercap. Tomēr dažiem cilvēkiem, tostarp man, Ettercap nedarbosies. Kļūdas, piemēram, " SŪTĪT L3 KĻŪDA“. Lai novērstu šādu kļūdu parādīšanos, izmantojiet šādu komandu:
# echo "1" > /proc/sys/net/ipv4/ip_forward # cat /proc/sys/net/ipv4/ip_forward 1
# echo "1" > /proc/sys/net/ipv4/ip_forward # cat /proc/sys/net/ipv4/ip_forward |
Tagad visam vajadzētu darboties labi un nevajadzētu parādīties kļūdām.
ARP saindēšanās
Iepriekš tika aprakstīts, kas ir ““ un kāpēc tas ir vajadzīgs. Šeit tiks arī aprakstīts, kā to ieviest, izmantojot Ettercap.
Vispirms apskatiet tīkla arhitektūru (skatiet attēlu zemāk), kas tiks izmantota. Tas ir nepieciešams, lai jūs labi saprastu, no kurienes nāk:
Palaidiet Ettercap:
Mūsu priekšā parādīsies lietojumprogrammas logs, kā parādīts zemāk: 
Noklikšķiniet uz pogas Šņaukāties-> Vienota šņaukšana. Pēc tam atlasiet izmantoto saskarni. Man ir šis eth0:
Augšējā izvēlnē nospiediet pogas Saimnieki–Skenējiet saimniekus:
Tagad noklikšķināsim vēlreiz Saimnieki–Saimnieku saraksts. Parādīsies logs, kā parādīts attēlā zemāk:
Šeit mums ir jāizvēlas mērķi, t.i. izvēlieties mašīnu, kas darbosies kā "upuris" un vārteja. Kā redzams no mūsu izmantotā tīkla arhitektūras, “upuris” ir mašīna ar IP adrese = 192.168.1.3. Nu kā vārti IP adrese = 192.168.1.1. Tāpēc atlasiet 192.168.1.3 un nospiediet pogu Pievienot mērķim 1. Tagad noklikšķiniet uz 192.168.1.1 un nospiediet pogu Pievienot mērķim 2.
Klikšķis labi. Atliek tikai to palaist. Lai to izdarītu, noklikšķiniet uz pogas Sākt–Sāc šņaukt.
Ir sākusies šņaukšana. Atliek tikai gaidīt, līdz lietotājs ievadīs savus datus, piemēram, no sava pasta konta.
Programma tika iecerēta kā pārslēgto LAN trafika analizators, taču laika gaitā tā kļuva par universālu rīku tīkla pakešu pārtveršanai, analīzei un ierakstīšanai. Tas var darboties tīklos ar slēdžiem un centrmezgliem, un tam ir daudz neparastu īpašību. Jo īpaši tas atbalsta gan aktīvo, gan pasīvo daudzu tīkla protokolu analīzi, tostarp tos, kas izmanto šifrēšanu. Ir rīki tīkla topoloģijas analīzei un instalēto operētājsistēmu identificēšanai.
Lai sasniegtu savus mērķus, Ettercap programma izmanto 5 dažādas analīzes metodes: IP un MAC filtrēšanu, ARP pārtveršanu un divas pēdējās šķirnes - Smart-ARP un Public-ARP.
IP filtrēšanas režīmā paketes tiek pārbaudītas, lai tās atbilstu IP adreses/porta kombinācijai (sūtītājs un saņēmējs). MAC filtrēšanas režīmā tiek pārbaudītas sūtītāja un saņēmēja MAC adreses (tas ir ērti, veidojot savienojumus caur vārteju). ARP nolaupīšanas režīmā atlasītajiem diviem komutētā tīkla mezgliem tiek veikts uzbrukums “neredzamais cilvēks vidū”. Tas tiek panākts, apzināti sabojājot saimniekdatoru ARP kešatmiņu, izraisot trafika automātisku pārsūtīšanu. Smart-ARP un Public-ARP režīmi tiek īstenoti līdzīgi, taču to mērķis ir pārtvert satiksmi starp upura mezglu un visiem pārējiem mezgliem. Pirmajā gadījumā tiek norādīts saimnieku saraksts, otrajā programma nosūta apraides ARP paketes.
Programmas funkcijas:
- var modificēt caurlaidīgās paketes (abos virzienos);
- var analizēt SSH1 un HTTPS protokolu savienojumus (pat ja savienojums ir izveidots caur starpniekserveri);
- var savienot ārējos moduļus;
- var atšifrēt lietotājvārdus un paroles lielam skaitam tīkla protokolu (tostarp Telnet, FTP, POP, SSH1, SMB, LDAP, NFS, IMAP4, VNC un daudziem citiem);
- var pievienot un noņemt pakotnes sesijas laikā;
- var pasīvi skenēt tīklu (bez pakešu nosūtīšanas) un iznīcināt savienojumus.
Programmai nav nepieciešama sākotnējā konfigurācija. Komandrindā varat iestatīt visas nepieciešamās opcijas vai pievienot ārēju konfigurācijas failu.
Palaižot programmu, tā nosūta ARP pieprasījumu katrai IP adresei lokālajā tīklā. Iespējamo IP adrešu saraksts tiek noteikts, analizējot tās pašas adresi un masku, un, saņemot ARP atbildes, tiek izveidots tīklā strādājošo resursdatoru saraksts. Jums jābūt uzmanīgiem, ja tīkla maska norāda B klases tīklu (255.255.0.0), jo šajā gadījumā programma būs spiesta nosūtīt 65025 pieprasījumus. To apstrāde prasīs daudz laika, turklāt šādu darbību var ātri konstatēt.
Programmu var izmantot divos režīmos: interaktīva (grafiskā) un neinteraktīva. Programmas grafiskais interfeiss ir balstīts uz ncurses bibliotēku. Neinteraktīvais režīms ir noderīgs, ja programma tiek izsaukta no skripta, lai apkopotu datus fonā.
Programmas izsaukšanas sintakse ir šāda:
# ettercap [ iespējas][IP- galamērķis: osta][IP-sūtītājs:ports][Saņēmēja MAC][Sūtītājs MAC]
Analīzes metodes izvēles iespējas:
-a, --arpsniff ARP pārtveršana
-s, -- šņaukāties IP filtrēšana
-m, --macsniff MAC filtrēšana
Vispārējas nozīmes iespējas:
-N, - vienkārši- neinteraktīvs režīms.
-z, --kluss— “klusais” režīms (bez masveida ARP pieprasījumiem startēšanas laikā).
- Ak, pasīvi— pasīva informācijas vākšana.
-b, --paplašināšana— apraides ping pieprasījumu izmantošana ARP pieprasījumu vietā.
-D, --aizkavēšanās<sekundes> — norāda aizkavi (sekundēs) starp divām ARP atbildēm.
-Z, --vētras aizkavēšanās<mikrosekundes> — iestata aizkavi (mikrosekundēs) starp ARP pieprasījumiem sākotnējās “ielaušanās” tīklā.
-S, -- mānīšanās<IP— adpec> — norāda viltotu IP adresi, kas tiek izmantota tīkla skenēšanai.
-H, --saimnieki<IP-aadrese1 [,IP-adpec2] . . .> — norāda startēšanas laikā skenētos mezglus.
-d, -- neatrisināt- startēšanas laikā nepārveidojiet IP adreses domēna nosaukumos.
-i, --iface<saskarne> — iestata skenēšanas saskarni.
-n, --tīkla maska<maska> — iestata masku, kas nosaka skenējamo tīklu.
-e, --etterconf<failu> — norāda konfigurācijas failu, no kura tiek nolasītas komandrindas opcijas.
-t, --linktype— liek programmai pārbaudīt, vai tīklā ir slēdzis.
-j, --loadhosts<failu> — norāda failu, no kura tiek ielādēts mezglu saraksts.
-k, --savehosts— mezglu saraksta saglabāšana failā.
-v, --versija- liek programmai pārbaudīt, vai nav atjaunināta Ettercap versija.
-h, -palīdziet— sintakses palīdzības izvade.
Klusuma režīma opcijas:
-u, --udp— pārtvert tikai UDP paketes.
-R, --reverss— visu savienojumu analīze, izņemot to, kas norādīts komandrindā.
- Ak, pasīvi— pasīvās skenēšanas režīms.
-р, --spraudnis<modulis> — ārējā spraudņa moduļa palaišana.
-l, --saraksts— iegūt visu lokālā tīkla mezglu sarakstu.
-C, --savākt— visu komandrindā norādīto resursdatoru kontu un paroļu saraksta iegūšana.
-f, --pirkstu nospiedums<mezgls> — konkrētā mezgla operētājsistēmas veida analīze.
-x, - heksskats— parādīt datus heksadecimālā formātā.
-L, --logtofile— datu ierakstīšana žurnālfailā.
-q, --kluss— palaist fonā.
-w, --newcert- jauna sertifikāta faila izveidošana nezinoša cilvēka vidū uzbrukumiem HTTPS sesijām.
-F, --filtrs<failu> — filtrēšanas noteikumu ielāde no norādītā faila.
-с, --pārbaudīt- liek programmai pārbaudīt, vai kāds cits nemēģina pārtvert tās trafiku.
Izsaucot programmu bez opcijām (precīzāk, bez opcijas -N), tā darbojas interaktīvā režīmā. Programmas logs ir sadalīts trīs daļās. Augšpusē tiek parādīta savienojuma shēma, kurā norādīti divi mijiedarbīgie mezgli (šī loga daļa sākotnēji var būt tukša). Loga vidusdaļā ir lokālajā tīklā atrasto mezglu saraksts. Precīzāk, tiek parādīti divi identiski saraksti, no kuriem var atlasīt divus mezglus, lai izveidotu savienojuma diagrammu. Lai atlasītu mezglu kreisajā kolonnā, pārvietojiet kursoru uz to un noklikšķiniet uz
Loga apakšējā daļā tiek parādīta papildu informācija par atlasītajiem mezgliem. Lai skatītu pieejamo komandu sarakstu, noklikšķiniet uz
Kad savienojums ir kontrolēts, varat sākt analizēt datus. Ir atļauts pārtvertos datus novirzīt uz failu, traucēt sesiju un veikt daudzus citus uzdevumus, tostarp sesijas iznīcināšanu.
Šeit ir vairāki piemēri, kas parāda Ettercap programmas palaišanas iespējas. Pirmajā piemērā programma darbojas interaktīvi un pasīvi vāc datus.
Retorika
Bezvadu wifi tīklu skenēšana ir tikpat vienkārša kā lietojumprogrammu kompilēšana no avota operētājsistēmā Linux. Ja vēlaties pārbaudīt, cik zinošs ir jūsu kaimiņš datordrošībā vai datortehnoloģijās kopumā. Un arī uzzināt par viņu nedaudz vairāk, nekā viņš pats vēlas. Un tajā pašā laikā viņš patiesībā aicina jūs to darīt, pateicoties viņa analfabētismam. Tad es lūdzu jūs sekot tālāk šī apraksta viļņiem.
Šī raksta varonis būs īslaicīga, bet gudra un izveicīga programma ar nosaukumu . Tas ir ļoti izplatīts Linux pasaulē un atrodas gandrīz visu izplatījumu krātuvēs. Ettercap, tāpat kā jebkurai īstai Unix programmai, ir divas formas: tīrs CLI komandrindas interfeiss, ko neaizmiglo dažādas pogas un svilpes; smagāka, bet iesācējiem draudzīga grafiskā GUI (rakstīta GTK bibliotēkās, bet arī paredzēta darbam galvenokārt ar Gnome.).
Programmas ietvaros ettercap, papildus tam, ka viņa var daudz paveikt pati, ir liels skaits spraudņu, kas ievērojami paplašina viņas iespējas. Izmantojot ettercap jūs varat darīt daudz no tā, ko vēlaties.
noteikti, ettercap nav vienīgā šāda veida lietderība. Ir tikpat slavens un "izsmalcināts" aircrack-ng. Bet šeit mēs koncentrēsimies uz ettercap. Un jūs redzēsiet, kāpēc.
Programmas darbība ettercap Es izmantošu Blackbuntu izplatīšanas piemēru. Šī ir ļoti laba operētājsistēma pentestēšanai, kas vispār “radās”. Tas ir pārveidots un papildināts ar nepieciešamajām Ubuntu programmām un utilītprogrammām (precīzāk, Ubuntu 10.10). Tātad tie, kas ir pieraduši strādāt ar šo OS, Blackbuntu jutīsies pazīstami. Programmu komplekts pentestēšanai ir gandrīz tikpat labs kā labi zināmais BackTrack. Nu, izplatīšanas dizains ir pelnījis atsevišķu diskusiju tēmu. Tomēr mēs novirzāmies. Ejam uz programmu ettercap.
Ettercap instalēšana Ubuntu
Darbojas arp saindēšanās režīms ettarkapā
Ieliec ķeksīti Sniff Remote savienojumi dialoglodziņā, kas parādās, lai konfigurētu šo režīmu.
Sniff Remote in etrcap
Tagad mums jādodas uz spraudņu izvēlni un jāizvēlas viens no tiem - chk_poison. Šī spraudņa darbs ir skaidrs no tā nosaukuma - tas pārbauda, vai mūsu pārtveršanas režīms ir iespējots saindēšanās ar arp. Dodieties uz izvēlni Spraudņi - Pārvaldiet spraudņus, atrodiet chk_poison un veiciet dubultklikšķi, lai to palaistu.
Pāriesim uz spraudņu pārvaldību etrcap
Spraudņu pārvaldības logs etrcap
Ja pārtveršanas režīms ir veiksmīgi ieslēgts, žurnāla logā mums vajadzētu redzēt šādu ierakstu:
Notiek spraudņa chk_poison aktivizēšana... chk_poison: šis spraudnis ir jāpalaiž saindēšanās sesijas laikā. Vienotā sniffing jau ir sākta...
Tagad varat atpūsties un vērot, kā notiek pats šņaukšanas process. Dodieties uz izvēlni Skatīt - Savienojumi un paskatieties, kas mums ir.
Šņaukšanas process ettercap
Kā redzat, logs Savienojumi diezgan informatīvs. Tiek parādītas iekārtu IP adreses, to stāvoklis un starp katru no tām pārsūtīto baitu skaits. Ja vēlamies redzēt detalizētāku informāciju (kas tiek pārraidīts), sarakstā atlasiet rindiņu un veiciet dubultklikšķi, lai to atvērtu. Tiks parādīts atsevišķs logs, kurā būs redzamas paketes, kas pārtvertas starp šīm iekārtām.
Ettercap konfigurēts tā, lai tas automātiski uztvertu un saglabātu vietējā tīklā pārsūtītās paroles un pieteikumvārdus. Atliek tikai nedaudz pagaidīt.