Ettercap este un utilitar pentru analiza traficului de rețea care trece printr-o interfață de computer, dar cu funcționalitate suplimentară. Programul vă permite să efectuați atacuri man-in-the-middle pentru a forța un alt computer să vă transmită pachete, mai degrabă decât ruterului.
Cu Ettercap, puteți verifica securitatea rețelei dvs., cât de susceptibilă este aceasta la acest tip de atac, precum și să analizați traficul de pe mai multe computere și chiar să îl modificați din mers. În acest articol ne vom uita la modul de utilizare a Ettercap pentru a analiza și modifica traficul.
Ce este un atac Man in the Middle?
În mod implicit, computerul trimite toate pachetele de rețea care trebuie trimise la Internet către router, care, la rândul său, le trimite către următorul router până când pachetul ajunge la destinație. Dar, din anumite motive, este posibil ca pachetul să nu fie transmis către router, ci direct către computer și abia apoi către router.
Calculatorul prin care vor trece pachetele poate analiza sursa, adresa de destinație, iar dacă nu sunt criptate, atunci conținutul lor complet.
Există două moduri de a efectua MITM (Man In Middle Attack):
- Atacul ARP- folosind caracteristicile protocolului ARP, computerul dumneavoastră le spune altora că este un router, după care încep să îi fie trimise toate pachetele;
- Atacul DNS- când un computer încearcă să obțină o adresă IP pentru un domeniu, înlocuim această adresă cu a noastră, dar pentru ca acest tip să funcționeze, trebuie să folosiți metoda ARP.
Programul Ettercap Linux poate efectua ambele tipuri de atacuri. În plus, utilitarul poate efectua atacuri de denial of service și poate scana porturi. Acum să vedem cum să instalați și să utilizați Ettercap.
Instalarea Ettercap
Acesta este un program destul de popular printre specialiștii în securitatea rețelei, deci este disponibil în depozitele oficiale ale majorității distribuțiilor. De exemplu, pentru a instala Ettercap pe Ubuntu, rulați:
$ sudo apt install ettercap-gtk
Pe Fedora sau alte distribuții bazate pe acesta, comanda va arăta similar:
$ sudo yum install ettercap-gtk
Am finalizat sarcina de a instala Ettercap Linux, dar înainte de a-l folosi, trebuie să modificăm mai multe setări în fișierul de configurare.
$ sudo vi /etc/ettercap/etter.conf
Liniile ec_uid și ec_gid trebuie să aibă valoarea 0 pentru ca serviciul de program să ruleze ca superutilizator:
ec_uid = 0 # nimeni nu este implicit
ec_gid = 0 # nimeni nu este implicit
redir_command_on = "iptables -t nat -A PREROUTING -i %iface -p tcp --dport %port -j REDIRECT --to-port %rport"
redir_command_off = "iptables -t nat -D PREROUTING -i %iface -p tcp --dport %port -j REDIRECT --to-port %rport"
Acestea sunt folosite pentru a redirecționa conexiunile SSL către HTTP obișnuit, dacă este posibil. Apoi salvați modificările și programul este gata de utilizare.
Folosind Ettercap GUI
Programul poate funcționa în mai multe moduri - cu o interfață grafică, fără și ca serviciu. Vom lua în considerare lucrul într-o interfață grafică. Pentru a rula un program cu interfața GTK, utilizați opțiunea -G:
$ sudo -E ettercap -G
Atacul de otrăvire cu ARP în Ettercap
După cum am spus deja, cu acest atac putem forța computerul țintă să trimită pachete nu către router, ci către noi. Totul funcționează destul de simplu. Computerul știe IP-ul routerului; l-a primit atunci când se conectează la rețea. Dar de fiecare dată când trebuie să trimită un pachet, trebuie să transforme această adresă IP universală într-o adresă de nivel scăzut a tehnologiei de rețea folosită, de exemplu, pentru un internet prin cablu este o adresă MAC.
Protocolul ARP este utilizat pentru aceasta. Computerul trimite o solicitare tuturor dispozitivelor din rețea, de exemplu, „cine este 192.168.1.1”, iar routerul, văzând adresa sa, își va trimite MAC ca răspuns. Apoi va fi salvat în cache. Dar putem folosi Ettercap pentru a cere computerului țintă să-și actualizeze memoria cache ARP și să-i dea adresa noastră MAC în loc de adresa MAC a routerului. Apoi toate pachetele ne vor fi transferate, iar noi le vom trimite acolo unde este nevoie.
Să trecem la treabă și să efectuăm un atac attercap arp spofing. În Ettercap, deschideți meniul Adulmecași selectați Snifing unificat. Apoi selectați interfața de rețea, de exemplu eth0 sau wlan0:
Fereastra programului se va schimba și multe alte funcții vor fi disponibile pentru noi. Acum trebuie să scanați rețeaua. Pentru a face acest lucru, deschideți meniul Gazdeși apăsați Scanați gazde. Chiar dacă ceva nu funcționează, puteți încărca o listă de gazde dintr-un fișier:
Pentru a începe un atac, trebuie să specificăm ținta 1 și ținta 2. Ca primă țintă, trebuie să specificăm ip-ul mașinii pe care urmează să-l atacăm, iar ca țintă 2, ip-ul routerului. Folosiți butoanele pentru a adăuga obiective Adăugați ținta 1Și Adăugați Traget 2:
În fereastra care se deschide, bifați caseta Adulmecă conexiunile de la distanță pentru a intercepta toate conexiunile la distanță de pe acest computer:
Acum, pentru a începe procesul de înlocuire în meniu start Selectați Începeți să adulmecați.
După aceasta, programul va începe să trimită pachete în rețea cu o solicitare pentru 192.168.1.3 pentru a actualiza memoria cache ARP și a înlocui adresa MAC a routerului cu a ta. Atacul a fost lansat și a fost executat cu succes. Puteți deschide meniul Vedere -> Conexiuniși vedeți conexiunile active pentru dispozitivul țintă:
Dacă pachetul nu a fost criptat, atunci putem vizualiza informațiile transmise făcând clic pe conexiunea cu mouse-ul. Informațiile trimise sunt afișate în stânga, iar informațiile primite în dreapta:
Atac de falsificare DNS folosind Ettercap
Pentru a converti numele site-urilor în adrese IP de rețea, se folosește un serviciu special - DNS. Când un computer are nevoie de IP-ul unui site, îl solicită serverului DNS. Dar dacă efectuați deja un atac MITM, putem înlocui răspunsul serverului, astfel încât IP-ul nostru să fie returnat în loc de IP-ul serverului site-ului. Mai întâi trebuie să edităm fișierul /etc/ettercap/etter.dns:
$ sudo vi /etc/ettercap/etter.dns
google.com.ua A 127.0.0.1
Această intrare înseamnă că vom înlocui IP-ul principal al google.com.ua cu 127.0.0.1. Rețineți că acest atac nu se execută fără cel anterior. Apoi deschide meniul Pluginuri -> Gestionați pluginurile:
Apoi faceți dublu clic pe plugin dns_spoof:
Pluginul va fi activat și puteți verifica IP-ul de pe dispozitiv. DNS-ul este într-adevăr schimbat. De exemplu, puteți rula pe mașina țintă:
$ ping google.com.ua
$ping www.ettercap.org
Pe lângă aceste plugin-uri, există și altele cu ajutorul cărora puteți efectua acțiunile necesare.
Filtre Ettercap
Filtrele vă permit să modificați din mers pachetele trecute prin program. Puteți să renunțați la pachete sau să le faceți modificările necesare utilizând funcția de înlocuire. De asemenea, filtrele funcționează numai în timp ce un atac MITM rulează. Sintaxa condițiilor prin care vom filtra pachetele este foarte asemănătoare cu wireshark. Să ne uităm la un filtru simplu care va înlocui toate imaginile cu ale noastre:
$ vi test.filter
dacă (ip.proto == TCP && tcp.dst == 80) (
dacă (căutare(DATA.date, „Accept-Codificare”)) (
înlocuire("Accept-Codare", "Accept-Gunoi!");
# notă: șirul de înlocuire are aceeași lungime ca șirul original
msg("Zapat Accept-Encoding!\n");
}
}
dacă (ip.proto == TCP && tcp.src == 80) (
înlocuiți("img src="/, "img src=\"https://pbs.twimg.com/profile_images/655061121007616000/NCV0qQnS.png\" ");
înlocuiți("IMG SRC=", "img src=\"https://pbs.twimg.com/profile_images/655061121007616000/NCV0qQnS.png\" ");
msg("Filtrul rulat.\n");
}
Pentru cei care au experiență în lucrul cu limbaje de programare, totul ar trebui să fie clar aici. Dacă protocolul este TCP și portul de destinație este 80, continuăm căutarea și căutăm Accept-Encoding. Apoi înlocuim acest cuvânt cu oricare altul, dar echivalent ca lungime. Pentru că dacă browserul trimite Accept-Encoding gzip, datele vor fi comprimate și nu vom filtra nimic acolo. Apoi, în răspunsul serverului, portul sursă 80, înlocuim toate imaginile cu ale noastre. Acum filtrul trebuie compilat:
$ etterfilter test.filter -o test.ef
Tot ce rămâne este să încărcați filtrul folosind meniul Filtre -> Încărcați filtrul:
Selectați fișierul de filtrare în sistemul de fișiere:
Filtrul va fi încărcat și puteți deschide orice site care nu folosește https pentru a vă asigura că totul funcționează. Pentru a opri un atac MITM, deschideți meniul MITMși selectați Opriți toate atacurile Mitm. Tutorialul nostru Ettercap se apropie de sfârșit, dar...
Cum să te protejezi?
Probabil, după ce ați citit articolul, aveți o întrebare rezonabilă, cum să vă protejați computerul de acest tip de atac? Există mai multe instrumente pentru aceasta, inclusiv pentru sistemul de operare Linux:
- XArp- un utilitar grafic care poate detecta încercările de falsificare a adreselor MAC prin protocolul ARP și de a le contracara. Poate lucra în Windows și Linux;
- Sforâie- un sistem anti-intruziune destul de cunoscut care, printre altele, detectează atacuri asupra protocolului ARP;
- ArpON- un mic serviciu care monitorizează tabelul ARP și îl protejează de falsificarea adresei MAC.
Utilizați programul doar pentru a testa securitatea rețelelor sau aplicațiilor dvs. și, de asemenea, nu uitați că acțiunile ilegale în spațiul informațional sunt și ele pedepsite.
Pentru a finaliza videoclipul care demonstrează cum funcționează programul:
trebuie sa te inregistrezi,
sa lasi un comentariu
Ettercap este un utilitar pentru analiza traficului de rețea care trece printr-o interfață de computer, dar cu funcționalitate suplimentară. Programul vă permite să efectuați atacuri man-in-the-middle pentru a forța un alt computer să vă transmită pachete, mai degrabă decât ruterului.
Cu Ettercap, puteți verifica securitatea rețelei dvs., cât de susceptibilă este aceasta la acest tip de atac, precum și să analizați traficul de pe mai multe computere și chiar să îl modificați din mers. În acest articol ne vom uita la modul de utilizare a Ettercap pentru a analiza și modifica traficul.
În mod implicit, computerul trimite toate pachetele de rețea care trebuie trimise la Internet către router, care, la rândul său, le trimite către următorul router până când pachetul ajunge la destinație. Dar, din anumite motive, este posibil ca pachetul să nu fie transmis către router, ci direct către computer și abia apoi către router.
Calculatorul prin care vor trece pachetele poate analiza sursa, adresa de destinație, iar dacă nu sunt criptate, atunci conținutul lor complet.
Există două moduri de a efectua MITM (Man In Middle Attack):
- Atacul ARP- folosind caracteristicile protocolului ARP, computerul dumneavoastră le spune altora că este un router, după care încep să îi fie trimise toate pachetele;
- Atacul DNS- când un computer încearcă să obțină o adresă IP pentru un domeniu, înlocuim această adresă cu a noastră, dar pentru ca acest tip să funcționeze, trebuie să folosiți metoda ARP.
Programul Ettercap Linux poate efectua ambele tipuri de atacuri. În plus, utilitarul poate efectua atacuri de denial of service și poate scana porturi. Acum să vedem cum să instalați și să utilizați Ettercap.
Instalarea Ettercap
Acesta este un program destul de popular printre specialiștii în securitatea rețelei, deci este disponibil în depozitele oficiale ale majorității distribuțiilor. De exemplu, pentru a instala Ettercap pe Ubuntu, rulați:
sudo apt install ettercap-gtk
Pe Fedora sau alte distribuții bazate pe acesta, comanda va arăta similar:
sudo yum install ettercap-gtk
Am finalizat sarcina de a instala Ettercap Linux, dar înainte de a-l folosi, trebuie să modificăm mai multe setări în fișierul de configurare.
sudo vi /etc/ettercap/etter.conf
Liniile ec_uid și ec_gid trebuie să aibă valoarea 0 pentru ca serviciul de program să ruleze ca superutilizator:
ec_uid = 0 # nimeni nu este implicit
ec_gid = 0 # nimeni nu este implicit
redir_command_on = "iptables -t nat -A PREROUTING -i %iface -p tcp --dport %port -j REDIRECT --to-port %rport"
redir_command_off = "iptables -t nat -D PREROUTING -i %iface -p tcp --dport %port -j REDIRECT --to-port %rport"
Acestea sunt folosite pentru a redirecționa conexiunile SSL către HTTP obișnuit, dacă este posibil. Apoi salvați modificările și programul este gata de utilizare.
Folosind Ettercap GUI
Programul poate funcționa în mai multe moduri - cu o interfață grafică, fără și ca serviciu. Vom lua în considerare lucrul într-o interfață grafică. Pentru a rula un program cu interfața GTK, utilizați opțiunea -G:
sudo -E ettercap -G
Atacul de otrăvire cu ARP în Ettercap
După cum am spus deja, cu acest atac putem forța computerul țintă să trimită pachete nu către router, ci către noi. Totul funcționează destul de simplu. Computerul știe IP-ul routerului; l-a primit atunci când se conectează la rețea. Dar de fiecare dată când trebuie să trimită un pachet, trebuie să transforme această adresă IP universală într-o adresă de nivel scăzut a tehnologiei de rețea folosită, de exemplu, pentru un internet prin cablu este o adresă MAC.
Protocolul ARP este utilizat pentru aceasta. Computerul trimite o solicitare tuturor dispozitivelor din rețea, de exemplu, „cine este 192.168.1.1”, iar routerul, văzând adresa sa, își va trimite MAC ca răspuns. Apoi va fi salvat în cache. Dar putem folosi Ettercap pentru a cere computerului țintă să-și actualizeze memoria cache ARP și să-i dea adresa noastră MAC în loc de adresa MAC a routerului. Apoi toate pachetele ne vor fi transferate, iar noi le vom trimite acolo unde este nevoie.
Să trecem la treabă și să efectuăm un atac attercap arp spofing. În Ettercap, deschideți meniul Adulmecași selectați Snifing unificat. Apoi selectați interfața de rețea, de exemplu eth0 sau wlan0:
Fereastra programului se va schimba și multe alte funcții vor fi disponibile pentru noi. Acum trebuie să scanați rețeaua. Pentru a face acest lucru, deschideți meniul Gazdeși apăsați Scanați gazde. Chiar dacă ceva nu funcționează, puteți încărca o listă de gazde dintr-un fișier:
Pentru a începe un atac, trebuie să specificăm ținta 1 și ținta 2. Ca primă țintă, trebuie să specificăm ip-ul mașinii pe care urmează să-l atacăm, iar ca țintă 2, ip-ul routerului. Folosiți butoanele pentru a adăuga obiective Adăugați ținta 1Și Adăugați Traget 2:
În fereastra care se deschide, bifați caseta Adulmecă conexiunile de la distanță pentru a intercepta toate conexiunile la distanță de pe acest computer:
Acum, pentru a începe procesul de înlocuire în meniu start Selectați Începeți să adulmecați.
După aceasta, programul va începe să trimită pachete în rețea cu o solicitare pentru 192.168.1.3 pentru a actualiza memoria cache ARP și a înlocui adresa MAC a routerului cu a ta. Atacul a fost lansat și a fost executat cu succes. Puteți deschide meniul Vedere -> Conexiuniși vedeți conexiunile active pentru dispozitivul țintă:
Dacă pachetul nu a fost criptat, atunci putem vizualiza informațiile transmise făcând clic pe conexiunea cu mouse-ul. Informațiile trimise sunt afișate în stânga, iar informațiile primite în dreapta:
Atac de falsificare DNS folosind Ettercap
Pentru a converti numele site-urilor în adrese IP de rețea, se folosește un serviciu special - DNS. Când un computer are nevoie de IP-ul unui site, îl solicită serverului DNS. Dar dacă efectuați deja un atac MITM, putem înlocui răspunsul serverului, astfel încât IP-ul nostru să fie returnat în loc de IP-ul serverului site-ului. Mai întâi trebuie să edităm fișierul /etc/ettercap/etter.dns:
sudo vi /etc/ettercap/etter.dns
google.com.ua A 127.0.0.1
Această intrare înseamnă că vom înlocui IP-ul principal al google.com.ua cu 127.0.0.1. Rețineți că acest atac nu se execută fără cel anterior. Apoi deschide meniul Pluginuri -> Gestionați pluginurile:
Apoi faceți dublu clic pe plugin dns_spoof:
Pluginul va fi activat și puteți verifica IP-ul de pe dispozitiv. DNS-ul este într-adevăr schimbat. De exemplu, puteți rula pe mașina țintă:
ping google.com.ua
ping www.ettercap.org
Pe lângă aceste plugin-uri, există și altele cu ajutorul cărora puteți efectua acțiunile necesare.
Filtre Ettercap
Filtrele vă permit să modificați din mers pachetele trecute prin program. Puteți să renunțați la pachete sau să le faceți modificările necesare utilizând funcția de înlocuire. De asemenea, filtrele funcționează numai în timp ce un atac MITM rulează. Sintaxa condițiilor prin care vom filtra pachetele este foarte asemănătoare cu wireshark. Să ne uităm la un filtru simplu care va înlocui toate imaginile cu ale noastre:
dacă (ip.proto == TCP && tcp.dst == 80) (
dacă (căutare(DATA.date, „Accept-Codificare”)) (
înlocuire("Accept-Codare", "Accept-Gunoi!");
# notă: șirul de înlocuire are aceeași lungime ca șirul original
msg("Zapat Accept-Encoding!\n");
}
}
dacă (ip.proto == TCP && tcp.src == 80) (
înlocuiți("img src=", "img src=\"https://pbs.twimg.com/profile_images/655061121007616000/NCV0qQnS.png\" ");
înlocuiți("IMG SRC=", "img src=\"https://pbs.twimg.com/profile_images/655061121007616000/NCV0qQnS.png\" ");
msg("Filtrul rulat.\n");
}
Pentru cei care au experiență în lucrul cu limbaje de programare, totul ar trebui să fie clar aici. Dacă protocolul este TCP și portul de destinație este 80, continuăm căutarea și căutăm Accept-Encoding. Apoi înlocuim acest cuvânt cu oricare altul, dar echivalent ca lungime. Pentru că dacă browserul trimite Accept-Encoding gzip, datele vor fi comprimate și nu vom filtra nimic acolo. Apoi, în răspunsul serverului, portul sursă 80, înlocuim toate imaginile cu ale noastre. Acum filtrul trebuie compilat:
etterfilter test.filter -o test.ef
Tot ce rămâne este să încărcați filtrul folosind meniul Filtre -> Încărcați filtrul:
Selectați fișierul de filtrare în sistemul de fișiere:
Filtrul va fi încărcat și puteți deschide orice site care nu folosește https pentru a vă asigura că totul funcționează. Pentru a opri un atac MITM, deschideți meniul MITMși selectați Opriți toate atacurile Mitm. Tutorialul nostru Ettercap se apropie de sfârșit, dar...
Cum să te protejezi?
Probabil, după ce ați citit articolul, aveți o întrebare rezonabilă, cum să vă protejați computerul de acest tip de atac? Există mai multe instrumente pentru aceasta, inclusiv pentru sistemul de operare Linux:
- XArp- un utilitar grafic care poate detecta încercările de falsificare a adreselor MAC prin protocolul ARP și de a le contracara. Poate lucra în Windows și Linux;
- Sforâie- un sistem anti-intruziune destul de cunoscut care, printre altele, detectează atacuri asupra protocolului ARP;
- ArpON- un mic serviciu care monitorizează tabelul ARP și îl protejează de falsificarea adresei MAC.
concluzii
În acest articol, am analizat cum să folosim Ettercap, un program pentru analiza pachetelor de rețea și pentru efectuarea de atacuri Man-in-the-Middle. Utilizați programul doar pentru a testa securitatea rețelelor sau aplicațiilor dvs. și, de asemenea, nu uitați că acțiunile ilegale în spațiul informațional sunt și ele pedepsite.
Pentru a finaliza videoclipul care demonstrează cum funcționează programul:
Acest articol vă va arăta cum să interceptați traficul din rețeaua locală folosind Ettercap. Folosind atacuri MITM (atacuri Man In The Middle) în acest scop.
– utilitar open source pentru analiza securității rețelelor de calculatoare. Principalul scop este atacurile MITM (Man In The Middle attacks). Are capacitatea de a adulmeca conexiunile live, de a filtra conținutul din mers, precum și multe alte caracteristici interesante. Suportă atât atacuri active, cât și pasive de protocol și include un număr mare de funcții de analiză a rețelei și gazdei.
Mai multe informații pot fi găsite la
Instalarea/Configurarea Ettercap
Puteți descărca și instala Ettercap din sursă - . Ca alternativă, puteți utiliza următoarea comandă:
# apt-get install ettercap-gtk ettercap-common
Găsim aceste rânduri în el și le decomentăm:
# dacă utilizați iptables: redir_command_on = "iptables -t nat -A PREROUTING -i %iface -p tcp --dport %port -j REDIRECT --to-port %rport" redir_command_off = "iptables -t nat -D PREROUTING - i %iface -p tcp --dport %port -j REDIRECT --la-port %rport"
# dacă folosești iptables: redir_command_on = "iptables -t nat -A PREROUTING -i %iface -p tcp --dport %port -j REDIRECT --to-port %rport" redir_command_off = "iptables -t nat -D PREROUTING -i %iface -p tcp --dport %port -j REDIRECT --to-port %rport" |
După ce toate operațiunile de mai sus au fost finalizate, lansați Ettercap. Cu toate acestea, pentru unii oameni, inclusiv pentru mine, Ettercap nu va funcționa. Erori precum „ TRIMITE EROARE L3„. Pentru a preveni apariția unor astfel de erori, utilizați următoarea comandă:
# echo "1" > /proc/sys/net/ipv4/ip_forward # cat /proc/sys/net/ipv4/ip_forward 1
# echo "1" > /proc/sys/net/ipv4/ip_forward # cat /proc/sys/net/ipv4/ip_forward |
Acum totul ar trebui să funcționeze bine și nu ar trebui să apară erori.
Intoxicatia cu ARP
S-a descris anterior ce este „“ și de ce este necesar. De asemenea, va fi descris aici cum să-l implementați folosind Ettercap.
Mai întâi, uitați-vă la arhitectura rețelei (vezi figura de mai jos) care va fi utilizată. Acest lucru este necesar pentru a înțelege bine ce vine de unde:
Lansați Ettercap:
O fereastră de aplicație va apărea în fața noastră, după cum se arată mai jos: 
Faceți clic pe butonul Adulmeca-> Adulmecare unificată. După aceea, selectați interfața care este utilizată. am asta eth0:
În meniul de sus, apăsați butoanele Gazde–Scanați pentru gazde:
Acum să facem clic din nou Gazde–Lista gazdelor. Va apărea o fereastră așa cum se arată în figura de mai jos:
Aici trebuie să selectăm obiective, de ex. selectați o mașină care va acționa ca o „victimă” și o poartă de acces. După cum se poate observa din arhitectura rețelei pe care o folosim, „victima” este o mașină cu Adresa IP = 192.168.1.3. Ei bine, ca o poartă de acces Adresa IP = 192.168.1.1. Prin urmare, selectați 192.168.1.3 și apăsați butonul Adăugați la ținta 1. Acum faceți clic pe 192.168.1.1 și apăsați butonul Adăugați la ținta 2.
Clic Bine. Rămâne doar să-l lansăm. Pentru a face acest lucru, faceți clic pe butonul start–Începe să adulmeci.
A început adulmecarea. Tot ce rămâne este să așteptați până când utilizatorul își introduce datele, de exemplu din contul său de e-mail.
Programul a fost conceput ca un analizor de trafic pentru rețele LAN comutate, dar cu timpul s-a transformat într-un instrument universal pentru interceptarea, analizarea și înregistrarea pachetelor de rețea. Poate funcționa în rețele cu switch-uri și hub-uri și are multe proprietăți neobișnuite. În special, acceptă atât analiza activă, cât și pasivă a unui număr mare de protocoale de rețea, inclusiv a celor care utilizează criptarea. Există instrumente pentru analiza topologiei rețelei și identificarea sistemelor de operare instalate.
Pentru a-și atinge obiectivele, programul Ettercap folosește 5 metode de analiză diferite: filtrare IP și MAC, interceptare ARP și două variante ale acestora din urmă - Smart-ARP și Public-ARP.
În modul de filtrare IP, pachetele sunt verificate pentru a se potrivi cu combinația de adresă IP/port (expeditor și destinatar). În modul de filtrare MAC, adresele MAC ale expeditorului și destinatarului sunt verificate (acest lucru este convenabil când se stabilesc conexiuni printr-un gateway). În modul de deturnare ARP, un atac „invizibil om-in-the-middle” este efectuat pe două noduri selectate ale rețelei comutate. Acest lucru se realizează prin coruperea deliberată a memoriei cache ARP a gazdelor, determinând ca traficul să fie redirecționat automat. Modurile Smart-ARP și Public-ARP sunt implementate într-un mod similar, dar scopul lor este de a intercepta traficul dintre nodul victimă și toate celelalte noduri. În primul caz, este specificată o listă de gazde, în al doilea, programul trimite pachete ARP difuzate.
Caracteristicile programului:
- poate modifica pachetele care trec (în ambele direcții);
- poate analiza conexiunile protocoalelor SSH1 și HTTPS (chiar dacă conexiunea este stabilită printr-un server proxy);
- poate conecta module externe;
- poate decripta nume de utilizator și parole pentru un număr mare de protocoale de rețea (inclusiv Telnet, FTP, POP, SSH1, SMB, LDAP, NFS, IMAP4, VNC și multe altele);
- poate adăuga și elimina pachete într-o sesiune;
- poate scana pasiv rețeaua (fără a trimite pachete) și poate distruge conexiunile.
Programul nu necesită configurare inițială. Puteți seta toate opțiunile necesare pe linia de comandă sau puteți conecta un fișier de configurare extern.
Când este lansat, programul trimite o solicitare ARP pentru fiecare adresă IP din rețeaua locală. Lista de adrese IP posibile este determinată prin analiza propriei adrese și măști, iar la primirea răspunsurilor ARP se creează o listă de gazde care operează în rețea. Ar trebui să fiți atenți dacă masca de rețea specifică o rețea de clasă B (255.255.0.0), deoarece în acest caz programul va fi forțat să trimită 65025 de solicitări. Va dura mult timp pentru a le procesa și, în plus, o astfel de activitate poate fi detectată rapid.
Programul poate fi utilizat în două moduri: interactiv (grafic) și non-interactiv. Interfața grafică a programului se bazează pe biblioteca ncurses. Modul non-interactiv este util dacă programul este apelat dintr-un script pentru a colecta date în fundal.
Sintaxa pentru apelarea programului este:
# ettercap [ Opțiuni][IP-portul de destinație][IP-sender:port][Destinatar MAC][Expeditorul MAC]
Opțiuni pentru selectarea unei metode de analiză:
-a, --arpsniff Interceptarea ARP
-s, --snif filtrare IP
-m, --macsniff filtrare MAC
Opțiuni de uz general:
-N, --simplu- mod non-interactiv.
-z, --tăcut— modul „silențios” (fără solicitări ARP masive la pornire).
-Oh, --pasiv— colectarea pasivă de informații.
-b, --lărgire— utilizarea cererilor ping de difuzare în loc de solicitări ARP.
-D, --întârziere<secunde> — specifică întârzierea (în secunde) dintre două răspunsuri ARP.
-Z, --stormdelay<microsecunde> — setează întârzierea (în microsecunde) dintre solicitările ARP în timpul „intruziunii” inițiale în rețea.
-S, --falsă<IP— Adpec> — specifică o adresă IP falsă utilizată la scanarea rețelei.
-H, --gazde<IP-aabordare1 [,IP-adpec2] . . .> — specifică nodurile scanate la pornire.
-d, --dontresolve- nu convertiți adresele IP în nume de domenii la pornire.
-i, --iface<interfata> — setează interfața pentru scanare.
-n, --mască de rețea<masca> — setează o mască care definește rețeaua de scanat.
-e, --etterconf<fişier> — specifică fișierul de configurare din care sunt citite opțiunile liniei de comandă.
-t, --linktype— forțează programul să verifice dacă există un comutator în rețea.
-j, --loadhosts<fişier> — specifică fișierul din care este încărcată lista de noduri.
-k, --savehosts— salvarea listei de noduri într-un fișier.
-v, --versiune- determină programul să verifice dacă există o versiune actualizată a Ettercap.
-h, --ajutor— ieșirea ajutorului de sintaxă.
Opțiuni pentru modul silențios:
-u, --udp— interceptați numai pachete UDP.
-R, --invers— analiza tuturor conexiunilor cu excepția celei specificate pe linia de comandă.
-Oh, --pasiv— modul de scanare pasivă.
-р, --plugin<modul> — lansarea unui modul plug-in extern.
-l, --listă— obținerea unei liste cu toate nodurile rețelei locale.
-C, --strânge— obținerea unei liste cu toate conturile și parolele gazdă specificate pe linia de comandă.
-f, --amprentă<nodul> — analiza tipului de sistem de operare pentru un nod dat.
-x,—vizualizare hexagonală— afișarea datelor în format hexazecimal.
-L, --logtofile— scrierea datelor într-un fișier jurnal.
-q, --liniște— alergați în fundal.
-w, --newcert- Crearea unui nou fișier de certificat pentru un atac ignorant de tip man-in-the-middle asupra sesiunilor HTTPS.
-F, --filtru<fişier> — încărcarea regulilor de filtrare din fișierul specificat.
-с, --verifica- determină programul să verifice dacă altcineva încearcă să-și intercepteze propriul trafic.
Când apelați un program fără opțiuni (mai precis, fără opțiunea -N), acesta rulează în modul interactiv. Fereastra programului este împărțită în trei părți. În partea de sus, este afișată o diagramă de conexiune indicând cele două noduri care interacționează (această parte a ferestrei poate fi inițial goală). Partea din mijloc a ferestrei conține o listă de noduri găsite în rețeaua locală. Mai exact, sunt afișate două liste identice din care puteți selecta două noduri pentru a crea o diagramă de conexiune. Pentru a selecta un nod în coloana din stânga, mutați cursorul pe acesta și faceți clic
Partea de jos a ferestrei afișează informații suplimentare despre nodurile selectate. Pentru o listă de comenzi disponibile, faceți clic
Odată ce conexiunea este sub control, puteți începe să analizați datele. Este permis să direcționați datele interceptate către un fișier, să interferați cu sesiunea și să efectuați multe alte sarcini, inclusiv distrugerea sesiunii.
Iată o serie de exemple care demonstrează caracteristicile lansării programului Ettercap. În primul exemplu, programul rulează interactiv și colectează date pasiv.
Retorică
Scanarea rețelelor wireless wireless este la fel de simplă ca și compilarea aplicațiilor din sursă în sistemul de operare Linux. Dacă doriți să verificați cât de cunoștințe este vecinul dvs. în securitatea computerelor sau tehnologia computerelor în general. Și, de asemenea, învață puțin mai multe despre el decât își dorește el însuși. Și, în același timp, el, de fapt, el însuși te invită să faci asta datorită analfabetismului său. Apoi vă rog să urmăriți mai departe de-a lungul valurilor acestei descrieri.
Eroul acestui articol va fi un program de scurtă durată, dar inteligent și agil, numit . Este foarte comun în lumea Linux și se află în depozitele aproape tuturor distribuțiilor. Ettercap, ca orice program Unix adevărat, are două forme: o interfață de linie de comandă CLI curată, care nu este acoperită de tot felul de butoane și fluiere; o interfață grafică mai grea, dar prietenoasă pentru începători (scrisă în bibliotecile GTK, dar și concepută pentru a funcționa în principal sub Gnome.).
În cadrul programului ettercap, pe lângă faptul că poate face multe ea însăși, există un număr mare de plugin-uri care îi extind semnificativ capacitățile. Prin utilizarea ettercap poți face mult din ceea ce ți-ai dori.
Cu siguranță, ettercap nu singura utilitate de acest gen. Există un la fel de faimos și „sofisticat” aircrack-ng. Dar aici ne vom concentra asupra ettercap. Și veți vedea de ce.
Funcționarea programului ettercap Voi folosi exemplul distribuției Blackbuntu. Acesta este un sistem de operare foarte bun pentru pentesting, care „a apărut” deloc. Este reproiectat și completat cu programele și utilitățile Ubuntu necesare (mai precis, Ubuntu 10.10). Deci, cei care sunt obișnuiți să lucreze cu acest sistem de operare se vor simți familiarizați cu Blackbuntu. Setul de programe pentru pentesting este aproape la fel de bun ca și binecunoscutul BackTrack. Ei bine, designul distribuției merită un subiect separat de discuție. Cu toate acestea, ne divagăm. Să trecem la program ettercap.
Instalarea ettercap pe Ubuntu
Rularea modului de otrăvire arp în ettercap
Pune o bifă Conexiuni Sniff Remoteîn caseta de dialog care apare pentru a configura acest mod.
Sniff Remote în ettercap
Acum trebuie să mergem la meniul de pluginuri și să selectăm unul dintre ele - chk_poison. Lucrarea acestui plugin este clară din numele său - verifică dacă modul nostru de interceptare este activat intoxicație cu arp. Accesați meniul Pluginuri - Gestionați pluginurile, găsiți chk_poison și faceți dublu clic pentru al lansa.
Să trecem la gestionarea pluginurilor în ettercap
Fereastra de gestionare a pluginurilor în ettercap
Dacă modul de interceptare a pornit cu succes, atunci în fereastra de jurnal ar trebui să vedem următoarea intrare:
Se activează pluginul chk_poison... chk_poison: Trebuie să rulați acest plugin în timpul unei sesiuni de otrăvire. Sniffingul unificat a început deja...
Acum vă puteți relaxa și urmări cum decurge procesul de adulmecare în sine. Accesați meniul Vedere - Conexiuniși să vedem ce avem.
Procesul de adulmecare în ettercap
După cum puteți vedea, fereastra Conexiuni destul de informativ. Sunt afișate adresele IP ale mașinilor, starea acestora și numărul de octeți transferați între fiecare dintre ele. Dacă vrem să vedem informații mai detaliate (ce se transmite), selectați o linie din listă și faceți dublu clic pentru a o deschide. Va apărea o fereastră separată care arată pachetele interceptate între aceste mașini.
Ettercap configurat astfel încât să capteze și să salveze automat parolele și loginurile transmise prin rețeaua locală. Mai rămâne doar să aștepți puțin.