Ettercap, bir bilgisayar arayüzünden geçen ağ trafiğini analiz etmeye yönelik, ancak ek işlevlere sahip bir yardımcı programdır. Program, başka bir bilgisayarı yönlendirici yerine size paket aktarmaya zorlamak için ortadaki adam saldırıları gerçekleştirmenize olanak tanır.
Ettercap ile ağınızın güvenliğini, bu tür saldırılara ne kadar duyarlı olduğunu kontrol edebilir, birden fazla bilgisayardan gelen trafiği analiz edebilir ve hatta anında değiştirebilirsiniz. Bu yazıda trafiği analiz etmek ve değiştirmek için Ettercap'in nasıl kullanılacağına bakacağız.
Ortadaki Adam saldırısı nedir?
Varsayılan olarak bilgisayar, İnternet'e gönderilmesi gereken tüm ağ paketlerini yönlendiriciye gönderir ve bu paketler, paket hedefine ulaşana kadar bunları bir sonraki yönlendiriciye gönderir. Ancak belirli nedenlerden dolayı paket yönlendiriciye değil, doğrudan bilgisayarınıza ve ancak o zaman yönlendiriciye iletilebilir.
Paketlerin geçeceği bilgisayar, kaynağı, hedef adresi ve şifrelenmemişse tüm içeriğini analiz edebilir.
MITM (Ortadaki Adam Saldırısı) gerçekleştirmenin iki yolu vardır:
- ARP saldırısı- ARP protokolünün özelliklerini kullanarak, bilgisayarınız başkalarına kendisinin bir yönlendirici olduğunu söyler ve ardından tüm paketler ona gönderilmeye başlar;
- DNS saldırısı- Bir bilgisayar bir alan adı için IP adresi almaya çalıştığında bu adresi kendi adresimizle değiştiririz ancak bu türün çalışması için ARP yöntemini kullanmanız gerekir.
Ettercap Linux programı her iki saldırı türünü de gerçekleştirebilir. Ayrıca yardımcı program, hizmet reddi saldırıları gerçekleştirebilir ve bağlantı noktalarını tarayabilir. Şimdi Ettercap'in nasıl kurulup kullanılacağına bakalım.
Ettercap'in Kurulumu
Bu, ağ güvenliği uzmanları arasında oldukça popüler bir programdır, bu nedenle çoğu dağıtımın resmi depolarında mevcuttur. Örneğin, Ettercap'ı Ubuntu'ya yüklemek için şunu çalıştırın:
$ sudo apt install ettercap-gtk
Fedora'da veya buna dayalı diğer dağıtımlarda komut benzer görünecektir:
$ sudo yum install ettercap-gtk
Ettercap Linux kurulum görevini tamamladık ancak kullanmadan önce konfigürasyon dosyasındaki birkaç ayarı değiştirmemiz gerekiyor.
$ sudo vi /etc/ettercap/etter.conf
Program hizmetinin süper kullanıcı olarak çalışması için ec_uid ve ec_gid satırları 0 değerine sahip olmalıdır:
ec_uid = 0 # kimse varsayılan değil
ec_gid = 0 # kimse varsayılan değil
redir_command_on = "iptables -t nat -A ÖN YÖNLENDİRME -i %iface -p tcp --dport %port -j REDIRECT --to-port %rport"
redir_command_off = "iptables -t nat -D ÖN YÖNLENDİRME -i %iface -p tcp --dport %port -j REDIRECT --port %rport'a"
Mümkünse SSL bağlantılarını normal HTTP'ye yönlendirmek için kullanılırlar. Daha sonra değişiklikleri kaydedin ve program kullanıma hazırdır.
Ettercap GUI'yi kullanma
Program çeşitli modlarda çalışabilir - grafik arayüzlü, hizmetsiz ve hizmet olarak. Grafiksel bir arayüzde çalışmayı düşüneceğiz. GTK arayüzüyle bir program çalıştırmak için -G seçeneğini kullanın:
$ sudo -E ettercap -G
Ettercap'ta ARP zehirlenmesi saldırısı
Daha önce de söylediğim gibi bu saldırı ile hedef bilgisayarı router'a değil bize paket göndermeye zorlayabiliriz. Her şey oldukça basit çalışıyor. Bilgisayar yönlendiricinin IP'sini biliyor; ağa bağlanırken aldı. Ancak her paket göndermesi gerektiğinde, bu evrensel IP adresini kullanılan ağ teknolojisinin düşük seviyeli bir adresine dönüştürmesi gerekir; örneğin kablolu İnternet için bu bir MAC adresidir.
Bunun için ARP protokolü kullanılır. Bilgisayar, ağdaki tüm cihazlara, örneğin "192.168.1.1 kimdir" gibi bir istek gönderir ve yönlendirici, adresini görerek yanıt olarak MAC'ini gönderir. Daha sonra önbelleğe kaydedilecektir. Ancak hedef bilgisayardan ARP önbelleğini güncellemesini ve ona yönlendiricinin MAC adresi yerine kendi MAC adresimizi vermesini istemek için Ettercap'ı kullanabiliriz. Daha sonra tüm paketler bize aktarılacak ve ihtiyaç duyulan yere göndereceğiz.
Hadi işimize bakalım ve bir attercap arp sahtekarlığı saldırısı gerçekleştirelim. Ettercap'ta menüyü açın Koklama ve seç Birleşik Koklama. Ardından ağ arayüzünüzü seçin, örneğin eth0 veya wlan0:
Program penceresi değişecek ve daha birçok fonksiyon kullanımımıza sunulacak. Şimdi ağı taramanız gerekiyor. Bunu yapmak için menüyü açın Toplantı sahipleri ve bas Ana bilgisayarları tarayın. Bir şey işe yaramasa bile bir dosyadan ana bilgisayarların listesini yükleyebilirsiniz:
Saldırı başlatmak için hedef 1 ve hedef 2'yi belirtmemiz gerekiyor. İlk hedef olarak saldıracağımız makinenin IP'sini, hedef 2 olarak da yönlendiricinin IP'sini belirtmemiz gerekiyor. Hedef eklemek için düğmeleri kullanın Hedef 1 Ekle Ve Traget 2'yi Ekle:
Açılan pencerede kutuyu işaretleyin Uzak bağlantıları kokla Bu bilgisayardaki tüm uzak bağlantılara müdahale etmek için:
Şimdi menüde değişiklik işlemini başlatmak için Başlangıç seçme Koklamaya başlayın.
Bundan sonra program, ARP önbelleğini güncellemek ve yönlendiricinin MAC adresini sizinkiyle değiştirmek için 192.168.1.3 isteğiyle ağa paketler göndermeye başlayacaktır. Saldırı başlatıldı ve başarıyla gerçekleştirildi. Menüyü açabilirsiniz Görüş -> Bağlantılar ve hedef cihaz için aktif bağlantıları görün:
Paket şifrelenmemişse, fareyle bağlantıya tıklayarak iletilen bilgileri görüntüleyebiliriz. Gönderilen bilgiler solda ve alınan bilgiler sağda görüntülenir:
Ettercap kullanarak DNS sahtekarlığı saldırısı
Site adlarını ağ IP adreslerine dönüştürmek için özel bir hizmet kullanılır - DNS. Bir bilgisayar bir sitenin IP'sine ihtiyaç duyduğunda DNS sunucusundan bunu ister. Ancak zaten bir MITM saldırısı gerçekleştiriyorsanız, sunucunun yanıtını web sitesi sunucusunun IP'si yerine bizim IP'mizin döndürüleceği şekilde değiştirebiliriz. Öncelikle /etc/ettercap/etter.dns dosyasını düzenlememiz gerekiyor:
$ sudo vi /etc/ettercap/etter.dns
google.com.ua A 127.0.0.1
Bu giriş, google.com.ua'nın ana IP'sini 127.0.0.1 ile değiştireceğimiz anlamına gelir. Bu saldırının bir önceki olmadan gerçekleştirilemeyeceğini unutmayın. Daha sonra menüyü açın Eklentiler -> Eklentileri Yönet:
Daha sonra eklentiye çift tıklayın dns_spoof:
Eklenti etkinleştirilecek ve cihazdaki IP'yi kontrol edebilirsiniz. DNS gerçekten değişti. Örneğin, hedef makinede çalıştırabilirsiniz:
$ ping google.com.ua
$ping www.ettercap.org
Bu eklentilere ek olarak gerekli işlemleri gerçekleştirebileceğiniz başka eklentiler de vardır.
Ettercap filtreleri
Filtreler, programdan geçirilen paketleri anında değiştirmenize olanak tanır. Değiştirme işlevini kullanarak paketleri atabilir veya bunlarda gerekli değişiklikleri yapabilirsiniz. Filtreler ayrıca yalnızca MITM saldırısı çalışırken çalışır. Paketleri filtreleyeceğimiz koşulların sözdizimi,wireshark'a çok benzer. Tüm resimleri bizimkilerle değiştirecek basit bir filtreye bakalım:
$ vi test.filtre
if (ip.proto == TCP && tcp.dst == 80) (
if (search(DATA.data, "Kabul-Kodlama")) (
replacement("Kabul-Kodlama", "Kabul-Çöp!");
# not: değiştirilen dize orijinal dizeyle aynı uzunluktadır
msg("Zapped Kodlama Kabul Edildi!\n");
}
}
if (ip.proto == TCP && tcp.src == 80) (
değiştirin("img src="/, "img src=\"https://pbs.twimg.com/profile_images/655061121007616000/NCV0qQnS.png\" ");
değiştirin("IMG SRC=", "img src=\"https://pbs.twimg.com/profile_images/655061121007616000/NCV0qQnS.png\" ");
msg("Filtre Araştırıldı.\n");
}
Programlama dilleriyle çalışma deneyimi olanlar için burada her şey açık olmalıdır. Protokol TCP ve hedef port 80 ise aramaya devam ediyoruz ve Accept-Encoding'i arıyoruz. Daha sonra bu kelimeyi başka bir kelimeyle değiştiririz, ancak uzunluğu eşdeğerdir. Çünkü tarayıcı Accept-Encoding gzip gönderirse veriler sıkıştırılacak ve orada hiçbir şeyi filtrelemeyeceğiz. Daha sonra, sunucu yanıtında, kaynak bağlantı noktası 80'de, tüm görüntüleri bizimkilerle değiştiriyoruz. Şimdi filtrenin derlenmesi gerekiyor:
$ etterfilter test.filter -o test.ef
Geriye kalan tek şey menüyü kullanarak filtreyi yüklemek Filtreler -> Yük Filtresi:
Dosya sistemindeki filtre dosyasını seçin:
Filtre yüklenecek ve her şeyin çalıştığından emin olmak için https kullanmayan herhangi bir siteyi açabilirsiniz. MITM saldırısını durdurmak için menüyü açın MITM ve seç Tüm Mitm saldırılarını durdurun. Ettercap eğitimimiz sona eriyor ama...
Kendinizi nasıl korursunuz?
Muhtemelen makaleyi okuduktan sonra, bilgisayarınızı bu tür saldırılardan nasıl koruyacağınız konusunda makul bir sorunuz var? Bunun için Linux işletim sistemi de dahil olmak üzere çeşitli araçlar vardır:
- XArp- ARP protokolü aracılığıyla MAC adreslerini taklit etme girişimlerini tespit edebilen ve buna karşı koyabilen grafiksel bir yardımcı program. Windows ve Linux'ta çalışabilir;
- homurdanma- diğer şeylerin yanı sıra ARP protokolüne yapılan saldırıları tespit eden oldukça iyi bilinen bir izinsiz giriş önleme sistemi;
- ArpON- ARP tablosunu izleyen ve onu MAC adresi sahtekarlığından koruyan küçük bir hizmet.
Programı yalnızca ağlarınızın veya uygulamalarınızın güvenliğini test etmek için kullanın ve ayrıca bilgi alanındaki yasa dışı eylemlerin de cezalandırılabileceğini unutmayın.
Programın nasıl çalıştığını gösteren videoyu tamamlamak için:
kayıt olmanız gerekiyor,
yorum bırakmak
Ettercap, bir bilgisayar arayüzünden geçen ağ trafiğini analiz etmeye yönelik, ancak ek işlevlere sahip bir yardımcı programdır. Program, başka bir bilgisayarı yönlendirici yerine size paket aktarmaya zorlamak için ortadaki adam saldırıları gerçekleştirmenize olanak tanır.
Ettercap ile ağınızın güvenliğini, bu tür saldırılara ne kadar duyarlı olduğunu kontrol edebilir, birden fazla bilgisayardan gelen trafiği analiz edebilir ve hatta anında değiştirebilirsiniz. Bu yazıda trafiği analiz etmek ve değiştirmek için Ettercap'in nasıl kullanılacağına bakacağız.
Varsayılan olarak bilgisayar, İnternet'e gönderilmesi gereken tüm ağ paketlerini yönlendiriciye gönderir ve bu paketler, paket hedefine ulaşana kadar bunları bir sonraki yönlendiriciye gönderir. Ancak belirli nedenlerden dolayı paket yönlendiriciye değil, doğrudan bilgisayarınıza ve ancak o zaman yönlendiriciye iletilebilir.
Paketlerin geçeceği bilgisayar, kaynağı, hedef adresi ve şifrelenmemişse tüm içeriğini analiz edebilir.
MITM (Ortadaki Adam Saldırısı) gerçekleştirmenin iki yolu vardır:
- ARP saldırısı- ARP protokolünün özelliklerini kullanarak, bilgisayarınız başkalarına kendisinin bir yönlendirici olduğunu söyler ve ardından tüm paketler ona gönderilmeye başlar;
- DNS saldırısı- Bir bilgisayar bir alan adı için IP adresi almaya çalıştığında bu adresi kendi adresimizle değiştiririz ancak bu türün çalışması için ARP yöntemini kullanmanız gerekir.
Ettercap Linux programı her iki saldırı türünü de gerçekleştirebilir. Ayrıca yardımcı program, hizmet reddi saldırıları gerçekleştirebilir ve bağlantı noktalarını tarayabilir. Şimdi Ettercap'in nasıl kurulup kullanılacağına bakalım.
Ettercap'in Kurulumu
Bu, ağ güvenliği uzmanları arasında oldukça popüler bir programdır, bu nedenle çoğu dağıtımın resmi depolarında mevcuttur. Örneğin, Ettercap'ı Ubuntu'ya yüklemek için şunu çalıştırın:
sudo apt install ettercap-gtk
Fedora'da veya buna dayalı diğer dağıtımlarda komut benzer görünecektir:
sudo yum install ettercap-gtk
Ettercap Linux kurulum görevini tamamladık ancak kullanmadan önce konfigürasyon dosyasındaki birkaç ayarı değiştirmemiz gerekiyor.
sudo vi /etc/ettercap/etter.conf
Program hizmetinin süper kullanıcı olarak çalışması için ec_uid ve ec_gid satırları 0 değerine sahip olmalıdır:
ec_uid = 0 # kimse varsayılan değil
ec_gid = 0 # kimse varsayılan değil
redir_command_on = "iptables -t nat -A ÖN YÖNLENDİRME -i %iface -p tcp --dport %port -j REDIRECT --to-port %rport"
redir_command_off = "iptables -t nat -D ÖN YÖNLENDİRME -i %iface -p tcp --dport %port -j REDIRECT --port %rport'a"
Mümkünse SSL bağlantılarını normal HTTP'ye yönlendirmek için kullanılırlar. Daha sonra değişiklikleri kaydedin ve program kullanıma hazırdır.
Ettercap GUI'yi kullanma
Program çeşitli modlarda çalışabilir - grafik arayüzlü, hizmetsiz ve hizmet olarak. Grafiksel bir arayüzde çalışmayı düşüneceğiz. GTK arayüzüyle bir program çalıştırmak için -G seçeneğini kullanın:
sudo -E ettercap -G
Ettercap'ta ARP zehirlenmesi saldırısı
Daha önce de söylediğim gibi bu saldırı ile hedef bilgisayarı router'a değil bize paket göndermeye zorlayabiliriz. Her şey oldukça basit çalışıyor. Bilgisayar yönlendiricinin IP'sini biliyor; ağa bağlanırken aldı. Ancak her paket göndermesi gerektiğinde, bu evrensel IP adresini kullanılan ağ teknolojisinin düşük seviyeli bir adresine dönüştürmesi gerekir; örneğin kablolu İnternet için bu bir MAC adresidir.
Bunun için ARP protokolü kullanılır. Bilgisayar, ağdaki tüm cihazlara, örneğin "192.168.1.1 kimdir" gibi bir istek gönderir ve yönlendirici, adresini görerek yanıt olarak MAC'ini gönderir. Daha sonra önbelleğe kaydedilecektir. Ancak hedef bilgisayardan ARP önbelleğini güncellemesini ve ona yönlendiricinin MAC adresi yerine kendi MAC adresimizi vermesini istemek için Ettercap'ı kullanabiliriz. Daha sonra tüm paketler bize aktarılacak ve ihtiyaç duyulan yere göndereceğiz.
Hadi işimize bakalım ve bir attercap arp sahtekarlığı saldırısı gerçekleştirelim. Ettercap'ta menüyü açın Koklama ve seç Birleşik Koklama. Ardından ağ arayüzünüzü seçin, örneğin eth0 veya wlan0:
Program penceresi değişecek ve daha birçok fonksiyon kullanımımıza sunulacak. Şimdi ağı taramanız gerekiyor. Bunu yapmak için menüyü açın Toplantı sahipleri ve bas Ana bilgisayarları tarayın. Bir şey işe yaramasa bile bir dosyadan ana bilgisayarların listesini yükleyebilirsiniz:
Saldırı başlatmak için hedef 1 ve hedef 2'yi belirtmemiz gerekiyor. İlk hedef olarak saldıracağımız makinenin IP'sini, hedef 2 olarak da yönlendiricinin IP'sini belirtmemiz gerekiyor. Hedef eklemek için düğmeleri kullanın Hedef 1 Ekle Ve Traget 2'yi Ekle:
Açılan pencerede kutuyu işaretleyin Uzak bağlantıları kokla Bu bilgisayardaki tüm uzak bağlantılara müdahale etmek için:
Şimdi menüde değişiklik işlemini başlatmak için Başlangıç seçme Koklamaya başlayın.
Bundan sonra program, ARP önbelleğini güncellemek ve yönlendiricinin MAC adresini sizinkiyle değiştirmek için 192.168.1.3 isteğiyle ağa paketler göndermeye başlayacaktır. Saldırı başlatıldı ve başarıyla gerçekleştirildi. Menüyü açabilirsiniz Görüş -> Bağlantılar ve hedef cihaz için aktif bağlantıları görün:
Paket şifrelenmemişse, fareyle bağlantıya tıklayarak iletilen bilgileri görüntüleyebiliriz. Gönderilen bilgiler solda ve alınan bilgiler sağda görüntülenir:
Ettercap kullanarak DNS sahtekarlığı saldırısı
Site adlarını ağ IP adreslerine dönüştürmek için özel bir hizmet kullanılır - DNS. Bir bilgisayar bir sitenin IP'sine ihtiyaç duyduğunda DNS sunucusundan bunu ister. Ancak zaten bir MITM saldırısı gerçekleştiriyorsanız, sunucunun yanıtını web sitesi sunucusunun IP'si yerine bizim IP'mizin döndürüleceği şekilde değiştirebiliriz. Öncelikle /etc/ettercap/etter.dns dosyasını düzenlememiz gerekiyor:
sudo vi /etc/ettercap/etter.dns
google.com.ua A 127.0.0.1
Bu giriş, google.com.ua'nın ana IP'sini 127.0.0.1 ile değiştireceğimiz anlamına gelir. Bu saldırının bir önceki olmadan gerçekleştirilemeyeceğini unutmayın. Daha sonra menüyü açın Eklentiler -> Eklentileri Yönet:
Daha sonra eklentiye çift tıklayın dns_spoof:
Eklenti etkinleştirilecek ve cihazdaki IP'yi kontrol edebilirsiniz. DNS gerçekten değişti. Örneğin, hedef makinede çalıştırabilirsiniz:
google.com.ua'ya ping atın
ping www.ettercap.org
Bu eklentilere ek olarak gerekli işlemleri gerçekleştirebileceğiniz başka eklentiler de vardır.
Ettercap filtreleri
Filtreler, programdan geçirilen paketleri anında değiştirmenize olanak tanır. Değiştirme işlevini kullanarak paketleri atabilir veya bunlarda gerekli değişiklikleri yapabilirsiniz. Filtreler ayrıca yalnızca MITM saldırısı çalışırken çalışır. Paketleri filtreleyeceğimiz koşulların sözdizimi,wireshark'a çok benzer. Tüm resimleri bizimkilerle değiştirecek basit bir filtreye bakalım:
if (ip.proto == TCP && tcp.dst == 80) (
if (search(DATA.data, "Kabul-Kodlama")) (
replacement("Kabul-Kodlama", "Kabul-Çöp!");
# not: değiştirilen dize orijinal dizeyle aynı uzunluktadır
msg("Zapped Kodlama Kabul Edildi!\n");
}
}
if (ip.proto == TCP && tcp.src == 80) (
değiştirin("img src=", "img src=\"https://pbs.twimg.com/profile_images/655061121007616000/NCV0qQnS.png\" ");
değiştirin("IMG SRC=", "img src=\"https://pbs.twimg.com/profile_images/655061121007616000/NCV0qQnS.png\" ");
msg("Filtre Araştırıldı.\n");
}
Programlama dilleriyle çalışma deneyimi olanlar için burada her şey açık olmalıdır. Protokol TCP ve hedef port 80 ise aramaya devam ediyoruz ve Accept-Encoding'i arıyoruz. Daha sonra bu kelimeyi başka bir kelimeyle değiştiririz, ancak uzunluğu eşdeğerdir. Çünkü tarayıcı Accept-Encoding gzip gönderirse veriler sıkıştırılacak ve orada hiçbir şeyi filtrelemeyeceğiz. Daha sonra, sunucu yanıtında, kaynak bağlantı noktası 80'de, tüm görüntüleri bizimkilerle değiştiriyoruz. Şimdi filtrenin derlenmesi gerekiyor:
etterfilter test.filter -o test.ef
Geriye kalan tek şey menüyü kullanarak filtreyi yüklemek Filtreler -> Yük Filtresi:
Dosya sistemindeki filtre dosyasını seçin:
Filtre yüklenecek ve her şeyin çalıştığından emin olmak için https kullanmayan herhangi bir siteyi açabilirsiniz. MITM saldırısını durdurmak için menüyü açın MITM ve seç Tüm Mitm saldırılarını durdurun. Ettercap eğitimimiz sona eriyor ama...
Kendinizi nasıl korursunuz?
Muhtemelen makaleyi okuduktan sonra, bilgisayarınızı bu tür saldırılardan nasıl koruyacağınız konusunda makul bir sorunuz var? Bunun için Linux işletim sistemi de dahil olmak üzere çeşitli araçlar vardır:
- XArp- ARP protokolü aracılığıyla MAC adreslerini taklit etme girişimlerini tespit edebilen ve buna karşı koyabilen grafiksel bir yardımcı program. Windows ve Linux'ta çalışabilir;
- homurdanma- diğer şeylerin yanı sıra ARP protokolüne yapılan saldırıları tespit eden oldukça iyi bilinen bir izinsiz giriş önleme sistemi;
- ArpON- ARP tablosunu izleyen ve onu MAC adresi sahtekarlığından koruyan küçük bir hizmet.
sonuçlar
Bu yazımızda ağ paketlerini analiz etmeye ve Ortadaki Adam saldırılarını gerçekleştirmeye yönelik bir program olan Ettercap'ın nasıl kullanılacağına baktık. Programı yalnızca ağlarınızın veya uygulamalarınızın güvenliğini test etmek için kullanın ve ayrıca bilgi alanındaki yasa dışı eylemlerin de cezalandırılabileceğini unutmayın.
Programın nasıl çalıştığını gösteren videoyu tamamlamak için:
Bu makale, Ettercap kullanarak yerel ağınızdaki trafiği nasıl keseceğinizi gösterecektir. Bu amaçla MITM saldırılarını (Man In The Middle saldırıları) kullanmak.
– bilgisayar ağlarının güvenliğini analiz etmek için açık kaynaklı yardımcı program. Asıl amacı MITM saldırılarıdır (Man In The Middle saldırıları). Canlı bağlantıları koklama, içeriği anında filtreleme ve diğer birçok ilginç özelliğe sahiptir. Hem aktif hem de pasif protokol saldırılarını destekler ve çok sayıda ağ ve ana bilgisayar analiz işlevini içerir.
Daha fazla bilgiyi şu adreste bulabilirsiniz:
Ettercap'in Kurulumu/Yapılandırılması
Ettercap'i kaynaktan indirip yükleyebilirsiniz - . Alternatif olarak aşağıdaki komutu kullanabilirsiniz:
# apt-get install ettercap-gtk ettercap-ortak
İçinde şu satırları buluyoruz ve yorumlarını kaldırıyoruz:
# iptables kullanıyorsanız: redir_command_on = "iptables -t nat -A ÖN YÖNLENDİRME -i %iface -p tcp --dport %port -j REDIRECT --to-port %rport" redir_command_off = "iptables -t nat -D ÖN YÖNLENDİRME - i %iface -p tcp --dport %port -j REDIRECT --port %rport'a"
# iptables kullanıyorsanız: redir_command_on = "iptables -t nat -A ÖN YÖNLENDİRME -i %iface -p tcp --dport %port -j REDIRECT --to-port %rport" redir_command_off = "iptables -t nat -D ÖN YÖNLENDİRME -i %iface -p tcp --dport %port -j YÖNLENDİRME --to-port %rport'a" |
Yukarıdaki tüm işlemler tamamlandıktan sonra Ettercap'i başlatın. Ancak ben de dahil olmak üzere bazı insanlar için Ettercap işe yaramayacak. “gibi hatalar L3 HATASI GÖNDER“. Bu tür hataların ortaya çıkmasını önlemek için aşağıdaki komutu kullanın:
# echo "1" > /proc/sys/net/ipv4/ip_forward # cat /proc/sys/net/ipv4/ip_forward 1
# echo "1" > /proc/sys/net/ipv4/ip_forward # cat /proc/sys/net/ipv4/ip_forward |
Artık her şey yolunda gitmeli ve hiçbir hata görünmemelidir.
ARP Zehirlenmesi
Daha önce “” ne olduğu ve neden gerekli olduğu anlatılmıştı. Ayrıca Ettercap kullanılarak nasıl uygulanacağı da burada anlatılacaktır.
Öncelikle kullanılacak ağ mimarisine bakın (aşağıdaki şekle bakın). Neyin nereden geldiğini iyi anlayabilmeniz için bu gereklidir:
Ettercap'i başlatın:
Önümüzde aşağıda gösterildiği gibi bir uygulama penceresi görünecektir: 
Düğmeye tıklayın Koklama-> Birleşik koklama. Bundan sonra kullanılan arayüzü seçin. bu bende var et0:
Üst menüdeki düğmelere basın Toplantı sahipleri–Ana bilgisayarları tarayın:
Şimdi tekrar tıklayalım Toplantı sahipleri–Ana makine listesi. Aşağıdaki şekilde gösterildiği gibi bir pencere görünecektir:
Burada hedefleri seçmemiz gerekiyor, yani. “kurban” ve ağ geçidi görevi görecek bir makine seçin. Kullandığımız ağın mimarisinden de görülebileceği gibi “kurban” bir makinedir. IP adresi = 192.168.1.3. Peki, bir ağ geçidi olarak IP adresi = 192.168.1.1. Bu nedenle 192.168.1.3'ü seçip butonuna basın. Hedefe Ekle 1. Şimdi 192.168.1.1'e tıklayın ve düğmeye basın Hedef 2'ye Ekle.
Tıklamak TAMAM. Geriye kalan tek şey onu başlatmak. Bunu yapmak için düğmeye tıklayın Başlangıç–Koklamaya başla.
Koklama başladı. Geriye kalan tek şey, kullanıcının örneğin posta hesabından verilerini girmesini beklemektir.
Program, anahtarlamalı LAN'lar için bir trafik analizörü olarak tasarlandı, ancak zamanla ağ paketlerini yakalamak, analiz etmek ve kaydetmek için evrensel bir araca dönüştü. Anahtarlar ve hub'lar içeren ağlarda çalışabilir ve pek çok sıra dışı özelliğe sahiptir. Özellikle, şifreleme kullananlar da dahil olmak üzere çok sayıda ağ protokolünün hem aktif hem de pasif analizini destekler. Ağ topolojisini analiz etmek ve kurulu işletim sistemlerini tanımlamak için araçlar vardır.
Ettercap programı hedeflerine ulaşmak için 5 farklı analiz yöntemi kullanır: IP ve MAC filtreleme, ARP müdahalesi ve ikincisinin iki türü - Smart-ARP ve Public-ARP.
IP filtreleme modunda, paketlerin IP adresi/bağlantı noktası kombinasyonuyla (gönderen ve alıcı) eşleşip eşleşmediği kontrol edilir. MAC filtreleme modunda, gönderenin ve alıcının MAC adresleri kontrol edilir (bu, bir ağ geçidi üzerinden bağlantı kurulurken kullanışlıdır). ARP ele geçirme modunda, anahtarlanan ağın seçilen iki düğümüne "görünmez ortadaki adam" saldırısı gerçekleştirilir. Bu, ana bilgisayarların ARP önbelleğinin kasıtlı olarak bozulmasıyla gerçekleştirilir ve trafiğin otomatik olarak iletilmesine neden olur. Akıllı-ARP ve Genel-ARP modları benzer şekilde uygulanır, ancak amaçları kurban düğüm ile diğer tüm düğümler arasındaki trafiği engellemektir. İlk durumda, ana bilgisayarların bir listesi belirtilir, ikincisinde ise program yayın ARP paketleri gönderir.
Programın özellikleri:
- geçen paketleri değiştirebilir (her iki yönde);
- SSH1 ve HTTPS protokollerinin bağlantılarını analiz edebilir (bağlantı bir proxy sunucu üzerinden kurulsa bile);
- harici modülleri bağlayabilir;
- çok sayıda ağ protokolüne (Telnet, FTP, POP, SSH1, SMB, LDAP, NFS, IMAP4, VNC ve diğerleri dahil) ait kullanıcı adlarının ve şifrelerinin şifresini çözebilir;
- bir oturum içinde paket ekleyip kaldırabilir;
- Ağı pasif olarak tarayabilir (paket göndermeden) ve bağlantıları yok edebilir.
Program başlangıç konfigürasyonu gerektirmez. Gerekli tüm seçenekleri komut satırında ayarlayabilir veya harici bir yapılandırma dosyası bağlayabilirsiniz.
Program başlatıldığında yerel ağdaki her IP adresi için bir ARP isteği gönderir. Olası IP adreslerinin listesi, kendi adresi ve maskesi analiz edilerek belirlenir ve ARP yanıtları alındıktan sonra ağ üzerinde çalışan ana bilgisayarların bir listesi oluşturulur. Ağ maskesinin B sınıfı bir ağ (255.255.0.0) belirtmesi durumunda dikkatli olmalısınız, çünkü bu durumda program 65025 istek göndermek zorunda kalacaktır. Bunları işlemek çok zaman alacaktır ve ayrıca bu tür faaliyetler hızlı bir şekilde tespit edilebilir.
Program iki modda kullanılabilir: etkileşimli (grafiksel) ve etkileşimli olmayan. Programın grafik arayüzü ncurses kütüphanesini temel almaktadır. Etkileşimli olmayan mod, programın arka planda veri toplamak için bir komut dosyasından çağrılması durumunda kullanışlıdır.
Programı çağırmak için sözdizimi şöyledir:
# etcap [ seçenekler][IP-hedef:bağlantı noktası][IP-gönderen:bağlantı noktası][Alıcı MAC'ı][Gönderenin MAC'i]
Bir analiz yöntemi seçme seçenekleri:
-a, --arpsniff ARP müdahalesi
-s, --sniff IP filtreleme
-m, --macsniff MAC filtreleme
Genel Amaçlı Seçenekler:
-N, --basit- etkileşimli olmayan mod.
-z, --sessiz— “sessiz” mod (başlangıçta büyük ARP talepleri olmadan).
-Oh, --pasif- bilginin pasif olarak toplanması.
-b, --genişleme— ARP istekleri yerine yayın ping isteklerinin kullanılması.
-D, --gecikme<saniye> — iki ARP yanıtı arasındaki gecikmeyi (saniye cinsinden) belirtir.
-Z, --stormdelay<mikrosaniye> — ağa ilk “izinsiz giriş” sırasında ARP istekleri arasındaki gecikmeyi (mikrosaniye cinsinden) ayarlar.
-S, --spoof<IP— ADgöğüs kası> — ağı tararken kullanılan sahte IP adresini belirtir.
-H, --ana bilgisayarlar<IP-aadres1 [,IP-aDpec2] . . .> — başlangıçta taranan düğümleri belirtir.
-d, --dontresolve- IP adreslerini başlangıçta alan adlarına dönüştürmeyin.
-i, --iface<arayüz> — tarama için arayüzü ayarlar.
-n, --netmask<maske> — taranacak ağı tanımlayan bir maske ayarlar.
-e, --etterconf<dosya> — komut satırı seçeneklerinin okunduğu yapılandırma dosyasını belirtir.
-t, --linktype— programı ağda bir anahtar olup olmadığını kontrol etmeye zorlar.
-j, --loadhosts<dosya> — düğüm listesinin yüklendiği dosyayı belirtir.
-k, --savehosts— düğümlerin listesini bir dosyaya kaydetme.
-v, --versiyon- programın Ettercap'in güncellenmiş bir sürümünü kontrol etmesine neden olur.
-h, --yardım— sözdizimi yardımının çıktısı.
Sessiz mod seçenekleri:
-u, --udp— yalnızca UDP paketlerini yakalayın.
-R, --geri— komut satırında belirtilenler dışındaki tüm bağlantıların analizi.
-Oh, --pasif— pasif tarama modu.
-р, --eklenti<modül> — harici bir eklenti modülünün başlatılması.
-l, --list— tüm yerel ağ düğümlerinin bir listesinin elde edilmesi.
-C, --topla— komut satırında belirtilen tüm toplantı sahibi hesaplarının ve şifrelerinin bir listesinin alınması.
-f, --parmak izi<düğüm> - belirli bir düğüm için işletim sistemi türünün analizi.
-x, —hexview— verileri onaltılık formatta görüntüler.
-L, --logto dosyası— verileri bir günlük dosyasına yazmak.
-q, --sessiz— arka planda çalıştırın.
-w, --yeni sertifika- HTTPS oturumlarına yapılan cahil ortadaki adam saldırıları için yeni bir sertifika dosyası oluşturmak.
-F, --filtre<dosya> — filtreleme kurallarının belirtilen dosyadan yüklenmesi.
-с, --check- programın başka birinin kendi trafiğini engellemeye çalışıp çalışmadığını kontrol etmesine neden olur.
Bir programı seçenekler olmadan (daha doğrusu -N seçeneği olmadan) çağırdığınızda, etkileşimli modda çalışır. Program penceresi üç bölüme ayrılmıştır. En üstte, etkileşim halindeki iki düğümü gösteren bir bağlantı şeması görüntülenir (pencerenin bu kısmı başlangıçta boş olabilir). Pencerenin orta kısmı yerel ağda bulunan düğümlerin bir listesini içerir. Daha doğrusu, bir bağlantı şeması oluşturmak için iki düğümü seçebileceğiniz iki özdeş liste görüntülenir. Sol sütundaki bir düğümü seçmek için imleci ona getirin ve tıklayın.
Pencerenin alt kısmında seçilen düğümler hakkında ek bilgiler görüntülenir. Kullanılabilir komutların listesi için tıklayın
Bağlantı kontrol altına alındıktan sonra verileri analiz etmeye başlayabilirsiniz. Ele geçirilen verileri bir dosyaya yönlendirmeye, oturuma müdahale etmeye ve oturumu yok etmek de dahil olmak üzere birçok başka görevi gerçekleştirmeye izin veriliyor.
Burada Ettercap programını başlatmanın özelliklerini gösteren birkaç örnek bulunmaktadır. İlk örnekte program etkileşimli olarak çalışıyor ve verileri pasif olarak topluyor.
Retorik
Kablosuz wifi ağlarını taramak, uygulamaları Linux işletim sistemindeki kaynaktan derlemek kadar basittir. Komşunuzun bilgisayar güvenliği veya genel olarak bilgisayar teknolojisi konusunda ne kadar bilgili olduğunu kontrol etmek istiyorsanız. Ayrıca onun hakkında kendisinin istediğinden biraz daha fazlasını öğrenin. Ve aynı zamanda cehaleti sayesinde aslında sizi bunu yapmaya kendisi davet ediyor. O zaman sizden bu tanımlamanın dalgalarını daha da takip etmenizi rica ediyorum.
Bu yazının kahramanı kısa ömürlü ama akıllı ve çevik bir program olacak. Linux dünyasında çok yaygındır ve hemen hemen tüm dağıtımların depolarında bulunur. Ettercap Herhangi bir gerçek Unix programı gibi iki biçime sahiptir: her türlü düğme ve ıslıkla gölgelenmeyen temiz bir CLI komut satırı arayüzü; daha ağır ancak yeni başlayanlar için uygun bir grafiksel GUI (GTK kitaplıklarında yazılmıştır, ancak aynı zamanda öncelikle Gnome altında çalışacak şekilde tasarlanmıştır).
Program kapsamında etcap Kendi başına pek çok şey yapabilmesinin yanı sıra, yeteneklerini önemli ölçüde artıran çok sayıda eklenti de var. Kullanarak etcap istediğiniz birçok şeyi yapabilirsiniz.
Kesinlikle, etcap bu türden tek fayda bu değil. Aynı derecede ünlü ve "sofistike" bir tane var hava saldırısı. Ancak burada şuna odaklanacağız: etcap. Ve nedenini göreceksiniz.
Programın çalışması etcap Blackbuntu dağıtımı örneğini kullanacağım. Bu, “ortaya çıkan” pentest için çok iyi bir işletim sistemidir. Yeniden tasarlandı ve gerekli Ubuntu programları ve yardımcı programları (daha kesin olmak gerekirse Ubuntu 10.10) ile desteklendi. Yani bu işletim sistemiyle çalışmaya alışkın olanlar Blackbuntu'ya aşina olacaklar. Pentest programlarının seti neredeyse bilinen BackTrack kadar iyidir. Dağıtımın tasarımı ayrı bir tartışma konusunu hak ediyor. Ancak konuyu saptırıyoruz. Haydi programa gidelim etcap.
Ubuntu'ya ettercap kurulumu
Ettercap'ta arp zehirlenmesi modunu çalıştırma
Bir onay işareti koy Uzak bağlantıları kokla Bu modu yapılandırmak için görünen iletişim kutusunda.
Ettercap'ta Sniff Remote
Şimdi eklentiler menüsüne gitmemiz ve bunlardan birini seçmemiz gerekiyor - chk_poison. Bu eklentinin çalışması adından açıkça anlaşılıyor; müdahale modumuzun etkin olup olmadığını kontrol ediyor arp zehirlenmesi. Menüye git Eklentiler - Eklentileri Yönetin chk_poison'u bulun ve çalıştırmak için çift tıklayın.
Ettercap'ta eklentileri yönetmeye geçelim
Ettercap'ta eklenti yönetimi penceresi
Müdahale modu başarıyla açıldıysa, günlük penceresinde aşağıdaki girişi görmeliyiz:
Chk_poison eklentisi etkinleştiriliyor... chk_poison: Bu eklentiyi bir zehirlenme oturumu sırasında çalıştırmalısınız Birleşik koklama zaten başlatıldı...
Artık rahatlayabilir ve koklama sürecinin nasıl ilerlediğini izleyebilirsiniz. Menüye git Görüş - Bağlantılar ve bakalım ne elde ettik.
Ettercap'ta koklama işlemi
Gördüğünüz gibi pencere Bağlantılar oldukça bilgilendirici. Makinelerin IP adresleri, durumları ve her biri arasında aktarılan bayt sayısı gösterilir. Daha ayrıntılı bilgi (neyin iletildiği) görmek istiyorsak, listeden bir satır seçin ve açmak için çift tıklayın. Bu makineler arasında ele geçirilen paketleri gösteren ayrı bir pencere açılacaktır.
Ettercap yerel ağ üzerinden iletilen parolaları ve oturum açma bilgilerini otomatik olarak yakalayıp kaydedecek şekilde yapılandırılmıştır. Geriye kalan tek şey biraz beklemek.