Як користуватися ettercap

Ettercap - це утиліта для аналізу мережевого трафіку, що проходить через інтерфейс комп`ютера, але з додатковою функціональністю. Програма дозволяє виконувати атаки типу "Людина посередині" щоб змусити інший комп`ютер передавати пакети не маршрутизатора, а вам.

За допомогою Ettercap ви можете перевірити безпеку своєї мережі, наскільки вона схильна до такого типу атак, а також аналізувати трафік з кількох комп`ютерів, і навіть модифікувати його на льоту. У цій статті ми розглянемо як користуватися Ettercap для аналізу і модифікації трафіку.

Що таке атака "Людина по середині"?

За замовчуванням комп`ютер відправляє всі мережеві пакети, які потрібно відправити в інтернет передає маршрутизатора, а той, у свою чергу, відправляє їх на наступний маршрутизатор, поки пакет не досягне мети. Але з певних причин пакет може передаватися не маршрутизатора, а відразу вашого комп`ютера, а вже потім маршрутизатора.

Комп`ютер, через який будуть проходити пакети може аналізувати джерело, цільової адресу, а якщо вони не зашифровані, то і повне їх вміст.

Існує два способи виконання MITM (Man In Middle Attack):

ARP атака - за допомогою особливостей протоколу ARP ваш комп`ютер говорить іншим, що він маршрутизатор, після цього всі пакети починають вдаватися до йому;
DNS атака - коли комп`ютер намагається отримати ip адреса для домену, ми підміняємо цю адресу на свій, але щоб цей вид працював, потрібно застосовувати метод з ARP.

Програма Ettercap Linux вміє виконувати обидва види атак. Крім того, утиліта може виконувати атаки на відмову в обслуговуванні і сканувати порти. А тепер давайте розглянемо як виконується установка і використання Ettercap.

установка Ettercap

Це досить популярна програма, серед фахівців з мережевої безпеки, тому вона є в офіційних репозиторіях більшості дистрибутивів. Наприклад, щоб встановити Ettercap в Ubuntu виконайте:

$ Sudo yum install ettercap-gtk

Із завданням як встановити Ettercap Linux ми впоралися, але перед тим, як її використовувати, потрібно змінити кілька налаштувань в файлі конфігурації.

[Privs]
ec_uid = 0 # nobody is the default
ec_gid = 0 # nobody is the default

Далі потрібно знайти і раскоментіровать такі два рядки:

redir_command_off = "" "iptables -t nat -D PREROUTING -i% iface -p tcp --dport% port -j REDIRECT --to-port% rport"

Вони використовуються для перенаправлення SSL з`єднань на звичайні HTTP, якщо це можливо. Далі збережіть зміни і програма готова до роботи.

Використання Ettercap GUI

Програма може працювати в декількох режимах - з графічним інтерфейсом, без і в вигляді сервісу. Ми будемо розглядати роботу в графічному інтерфейсі. Для запуску програми з інтерфейсом GTK використовуйте опцію -G:

$ Sudo -E ettercap -G

Опцію -E для sudo ми використовуємо, щоб зберегти всі змінні оточення нашого користувача. Головне вікно програми виглядає дуже простим. Спочатку ми розглянемо як виконується атака ARP-poisoing.

Атака ARP-poisoning в Ettercap

Як я вже говорив, за допомогою цієї атаки ми можемо змусити цільової комп`ютер відправляти пакети не маршрутизатора, а нам. Працює все досить просто. Комп`ютер знає IP маршрутизатора, він отримав його при підключенні до мережі. Але кожен раз, коли йому потрібно відправити пакет, потрібно перетворити цей універсальний IP адреса в низькорівневий адреса використовуваної мережевої технології, наприклад, для проводового інтернету - це MAC адресу.

Відео: Злом за допомогою Ettercap в Kali Linux 2.0

Для цього використовується протокол ARP. Комп`ютер відправляє запит всіх пристроїв в мережі, наприклад "хто такий 192.168.1.1" і маршрутизатор, побачивши свою адресу відправить у відповіді свій MAC. Далі він буде збережений в кеші. Але ми можемо за допомогою Ettercap попросити цільової комп`ютер оновити свій ARP кеш і передати йому замість MAC адреси роутера свій MAC адресу. Тоді все пакети будуть передаватися нам, а вже ми відправимо їх куди потрібно.

Перейдемо ближче до справи і виконаємо атаку attercap arp spofing. У Ettercap відкрийте меню Sniff і виберіть Unified Snifing. Потім виберіть ваш мережевий інтерфейс, наприклад, eth0 або wlan0:

Вікно програми змінитися і нам буде доступно набагато більше функцій. Тепер потрібно просканувати мережу. Для цього відкрийте меню Hosts та натисніть Scan hosts. Якщо навіть щось не працює, то ви можете завантажити список хостів з файлу:

Далі, після швидкого сканування, якщо ви відкриєте Hosts -gt; Hosts List, то побачите список підключених до мережі пристроїв:

Відео: Щоденник хакера # 5 - Перехоплення куки по WiFi (ARP-спуфинг)

Щоб почати атаку нам потрібно вказати мету 1 і мета 2. В якості першої мети потрібно вказати ip машини, яку ми зібралися атакувати, а в якості мети 2 - ip маршрутизатора. Для додавання цілей використовуйте кнопки Add Target 1 і Add Traget 2:

Далі відкрийте меню MITM і виберіть ARP poisoning:

У вікні відзначте пункт Sniff remote connections, щоб перехоплювати всі віддалені з`єднання від цього комп`ютера:

Відео: How To: Man In the Middle Attack (Ettercap & Driftnet) - Kali Linux

Тепер, для запуску процесу підміни в меню Start Виберіть Start Sniffing.

Після цього програма почне відправляти в мережу пакети, із запитом для 192.168.1.3 на оновлення кешу ARP і заміни MAC адреси маршрутизатора на ваш. Атака запущена і успішно виконується. Ви можете відкрити меню View -gt; Connections і подивитися активні сполуки для цільового пристрою:

Якщо пакет не був зашифрований, то ми можемо подивитися передану інформацію клінув по з`єднанню мишею. Зліва відображається відправлена інформація, а праворуч - отримана:

Відео: Генератор паролів CRUNCH в kali linux

Атака DNS-spoofing за допомогою Ettercap

Для перетворення імен сайтів в IP адреси мережі використовується спеціальна служба - DNS. Коли комп`ютера потрібен ip сайту він питає його у DNS сервера. Але якщо ви вже виконуємо MITM атаку, то можемо підмінити відповідь сервера таким чином, щоб замість IP сервера сайту повертався наш IP. Спочатку нам потрібно відредагувати файл /etc/ettercap/etter.dns:

google.com.ua A 127.0.0.1

Цей запис означає, що ми підмінимо основний IP google.com.ua на 127.0.0.1. Зверніть увагу, що ця атака не виконується без попередньої. Далі відкрийте меню Plugins -gt; Manage Plugins:

Потім два рази клікніть по плагіну dns_spoof:

Плагін буде активований і ви можете перевіряти ip на пристрої. DNS дійсно підміняється. Наприклад, ви можете виконати на цільовій машині:

$ Ping ettercap.org

Крім цих плагінів, існують і інші, за допомогою яких ви можете виконувати потрібні дії.

фільтри Ettercap

Фільтри дозволяють модифікувати пропускалися через програму пакети прямо на льоту. Ви можете відкидати пакети, або вносити в них необхідні зміни за допомогою функції replace. Фільтри теж працюють тільки поки запущена MITM атака. Синтаксис умов, за якими ми будемо фільтрувати пакети дуже схожий на wireshark. Давайте розглянемо простенький фільтр, який буде заміняти всі картинки на нашу:

if (ip.proto == TCP tcp.dst == 80) {
if (search (DATA.data, "Accept-Encoding")) {
replace ( "Accept-Encoding", "Accept-Rubbish!");
# Note: replacement string is same length as original string
msg ( "zapped Accept-Encoding! n");
}
}
if (ip.proto == TCP tcp.src == 80) {
replace ( "img src =", "img src =" https://pbs.twimg.com/profile_images/655061121007616000/NCV0qQnS.jpg "");
replace ( "IMG SRC =", "img src =" https://pbs.twimg.com/profile_images/655061121007616000/NCV0qQnS.jpg "");
msg ( "Filter Ran. n");
}

Для тих, хто мав досвід роботи з мовами програмування тут має бути все зрозуміло. Якщо протокол TCP і порт призначення 80, ми продовжуємо пошук і шукаємо Accept-Encoding. Потім замінюємо це слово на будь-яке інше, але еквівалентне по довжині. Тому що якщо браузер буде відправляти Accept-Encoding gzip, то дані будуть стиснуті і ми там нічого не Отфильтруем. Далі вже у відповіді сервера, порт джерела 80, ми підміняємо все зображення на наше. Тепер фільтр потрібно скомпілювати:

Поділися в соціальних мережах:

Схожі