Ettercap: праздник на твоей улице. Сканирование wifi-сетей в Ubuntu с Ettercap На каких портах работает ettercap

и будешь видеть все интересующие тебя
соединения. Для того, чтобы собирать пароли,
делать не нужно вообще ничего =)) Наведи
курсор на нужное тебе соединение: пароли
будут появляться в нужной части экрана =))
Сброс паролей в лог -- кнопка . Нажми на
кнопку и ты увидишь новый диапазон
возможностей, уверен, он тебя впечатлит.
Убийство соединений, хайджекинг, филтеринг,
etc... Что ещё нужно хакеру? =)

ВКУСНОСТИ

Возможности программы ettercap огромны, но я
почти уверен, что они тебя не удовлетворят
на все 100%. Ну что же, для твоих злобных целей
предусмотрены варианты в виде:

1) Написания плагинов; ну тут все просто и
понятно: не влезая в кишки ettercap"a, рюхаешь
плагинный интерфейс этой проги и делаешь
нужный тебе компонент, который ты сможешь
подгружать в программу всякий раз, когда
тебе это нужно.

2) Возможность bind"ить локальный порт, с
которым ettercap проассоциирует нужное тебе
соединение. Это очень ценное свойство
программы: ты сможешь заранее реализовать
нужные тебе механизмы, воспроизвести
которые в реальном времени весьма
затруднительно =)) Проще говоря, влезать в
чужие IRC-приваты и материться можно и руками,
но если ты захочешь впарить кому-нибудь
бекдор, проспуфив http или ftp, или сообщить
какому-нибудь биржевому игроку, что его
акции упали в цене в четыре раза, такое
свойство программы может оказаться весьма
и весьма кстати =))

ГОРЬКОСТИ

Они тоже есть, а куда же без них? =))) И
горькостей, пожалуй, даже больше, чем
вкусностей.

1) Виндовый порт программы, мягко говоря,
далёк от совершенства. В этом вина
реализации posix"овой мультизадачности cygwin"а,
сквалыжностью сетевой части и множеством
более минорных моментов, связанных с
портированием софта. Даже в моей win2k,
системе довольно кондовой и крепкой, ettercap
работает нестабильно...

2) Если ты не программист (принципиально, как
один мой знакомый журналист, или просто от
нежелания/неумения), то тебе придется
забыть о возможных вкусностях ettercap"а,
довольствоваться дефолтным содержимым и
ждать обновлений программы.

3) Один мой знакомый хакер из Свердловска
уже опубликовал патч к ядру linux-2.4 против
атаки arpoison. Следует надеяться, что ядра Windows
исправят нескоро, но уже можно утверждать,
что дни arpoison сочтены... О патче к ядру linux-2.4
ты можешь прочесть тут:

Желаю тебе удачи, юный хакер!

P.S. И не ходи под рутом на захваченных
машинах... man adduser -=)

С уважением,

Ettercap - это утилита для анализа сетевого трафика, проходящего через интерфейс компьютера, но с дополнительной функциональностью. Программа позволяет выполнять атаки типа "Человек посередине" чтобы заставить другой компьютер передавать пакеты не маршрутизатору, а вам.

С помощью Ettercap вы можете проверить безопасность своей сети, насколько она подвержена такого типа атакам, а также анализировать трафик из нескольких компьютеров, и даже модифицировать его на лету. В этой статье мы рассмотрим как пользоваться Ettercap для анализа и модификации трафика.

Что такое атака "Человек по середине"?

По умолчанию компьютер отправляет все сетевые пакеты, которые нужно отправить в интернет передает маршрутизатору, а тот, в свою очередь, отправляет их на следующий маршрутизатор, пока пакет не достигнет цели. Но по определенным причинам пакет может передаваться не маршрутизатору, а сразу вашему компьютеру, а уже затем маршрутизатору.

Компьютер, через который будут проходить пакеты может анализировать источник, целевой адрес, а если они не зашифрованы, то и полное их содержимое.

Существует два способа выполнения MITM (Man In Middle Attack):

• ARP атака - с помощью особенностей протокола ARP ваш компьютер говорит другим, что он маршрутизатор, после этого все пакеты начинают предаваться ему;
• DNS атака - когда компьютер пытается получить ip адрес для домена, мы подменяем этот адрес на свой, но чтобы этот вид работал, нужно использовать способ с ARP.

Программа Ettercap Linux умеет выполнять оба вида атак. Кроме того, утилита может выполнять атаки на отказ в обслуживании и сканировать порты. А теперь давайте рассмотрим как выполняется установка и использование Ettercap.

Установка Ettercap

Это довольно популярная программа, среди специалистов по сетевой безопасности, поэтому она есть в официальных репозиториях большинства дистрибутивов. Например, чтобы установить Ettercap в Ubuntu выполните:

$ sudo apt install ettercap-gtk

В Fedora или других, основанных на ней дистрибутивах, команда будет выглядеть похожим образом:

$ sudo yum install ettercap-gtk

С задачей как установить Ettercap Linux мы справились, но перед тем, как ее использовать, нужно изменить несколько настроек в конфигурационном файле.

$ sudo vi /etc/ettercap/etter.conf

Строки ec_uid и ec_gid должны иметь значение 0, чтобы сервис программы работал от имени суперпользователя:

ec_uid = 0 # nobody is the default
ec_gid = 0 # nobody is the default

redir_command_on = "iptables -t nat -A PREROUTING -i %iface -p tcp --dport %port -j REDIRECT --to-port %rport"
redir_command_off = "iptables -t nat -D PREROUTING -i %iface -p tcp --dport %port -j REDIRECT --to-port %rport"

Они используются для перенаправления SSL соединений на обычные HTTP, если это возможно. Дальше сохраните изменения и программа готова к работе.

Использование Ettercap GUI

Программа может работать в нескольких режимах - с графическим интерфейсом, без и в виде сервиса. Мы будем рассматривать работу в графическом интерфейсе. Для запуска программы с интерфейсом GTK используйте опцию -G:

$ sudo -E ettercap -G

Атака ARP-poisoning в Ettercap

Как я уже говорил, с помощью этой атаки мы можем заставить целевой компьютер отправлять пакеты не маршрутизатору, а нам. Работает все достаточно просто. Компьютер знает IP маршрутизатора, он получил его при подключении к сети. Но каждый раз, когда ему нужно отправить пакет, нужно преобразовать этот универсальный IP адрес в низкоуровневый адрес используемой сетевой технологии, например, для проводного интернета - это MAC адрес.

Для этого используется протокол ARP. Компьютер отправляет запрос всем устройствам в сети, например "кто такой 192.168.1.1" и маршрутизатор, увидев свой адрес отправит в ответе свой MAC. Дальше он будет сохранен в кэше. Но мы можем с помощью Ettercap попросить целевой компьютер обновить свой ARP кэш и передать ему вместо MAC адреса роутера свой MAC адрес. Тогда все пакеты будут передаваться нам, а уже мы отправим их куда нужно.

Перейдем ближе к делу и выполним атаку attercap arp spofing. В Ettercap откройте меню Sniff и выберите Unified Snifing. Затем выберите ваш сетевой интерфейс, например, eth0 или wlan0:

Окно программы измениться и нам будет доступно намного больше функций. Теперь нужно просканировать сеть. Для этого откройте меню Hosts и нажмите Scan hosts. Если даже что-то не работает, то вы можете загрузить список хостов из файла:

Чтобы начать атаку нам нужно указать цель 1 и цель 2. В качестве первой цели нужно указать ip машины, которую мы собрались атаковать, а в качестве цели 2 - ip маршрутизатора. Для добавления целей используйте кнопки Add Target 1 и Add Traget 2 :

В открывшемся окне отметьте пункт Sniff remote connections , чтобы перехватывать все удаленные соединения от этого компьютера:

Теперь, для запуска процесса подмены в меню Start выберите Start Sniffing.

После этого программа начнет отправлять в сеть пакеты, с запросом для 192.168.1.3 на обновление кэша ARP и замены MAC адреса маршрутизатора на ваш. Атака запущена и успешно выполняется. Вы можете открыть меню View -> Connections и посмотреть активные соединения для целевого устройства:

Если пакет не был зашифрован, то мы можем посмотреть передаваемую информацию клинув по соединению мышью. Слева отображается отправленная информация, а справа - полученная:

Атака DNS-spoofing с помощью Ettercap

Для преобразования имен сайтов в IP адреса сети используется специальная служба - DNS. Когда компьютеру нужен ip сайта он спрашивает его у DNS сервера. Но если вы уже выполняем MITM атаку, то можем подменить ответ сервера таким образом, чтобы вместо IP сервера сайта возвращался наш IP. Сначала нам нужно отредактировать файл /etc/ettercap/etter.dns:

$ sudo vi /etc/ettercap/etter.dns

google.com.ua A 127.0.0.1

Эта запись означает, что мы подменим основной IP google.com.ua на 127.0.0.1. Обратите внимание, что эта атака не выполняется без предыдущей. Дальше откройте меню Plugins -> Manage Plugins :

Затем два раза кликните по плагину dns_spoof :

Плагин будет активирован и вы можете проверять ip на устройстве. DNS действительно подменяется. Например, вы можете выполнить на целевой машине:

$ ping google.com.ua

$ ping www.ettercap.org

Кроме этих плагинов, существуют и другие, с помощью которых вы можете выполнять нужные действия.

Фильтры Ettercap

Фильтры позволяют модифицировать пропускаемые через программу пакеты прямо на лету. Вы можете отбрасывать пакеты, либо вносить в них необходимые изменения с помощью функции replace. Фильтры тоже работают только пока запущена MITM атака. Синтаксис условий, по которым мы будем фильтровать пакеты очень похож на wireshark. Давайте рассмотрим простенький фильтр, который будет заменять все картинки на нашу:

$ vi test.filter

if (ip.proto == TCP && tcp.dst == 80) {
if (search(DATA.data, "Accept-Encoding")) {
replace("Accept-Encoding", "Accept-Rubbish!");
# note: replacement string is same length as original string
msg("zapped Accept-Encoding!\n");
}
}
if (ip.proto == TCP && tcp.src == 80) {
replace("img src="/, "img src=\"https://pbs.twimg.com/profile_images/655061121007616000/NCV0qQnS.png\" ");
replace("IMG SRC=", "img src=\"https://pbs.twimg.com/profile_images/655061121007616000/NCV0qQnS.png\" ");
msg("Filter Ran.\n");
}

Для тех, кто имел опыт работы с языками программирования здесь должно быть все понятно. Если протокол TCP и порт назначения 80, мы продолжаем поиск и ищем Accept-Encoding. Затем заменяем это слово на любое другое, но эквивалентное по длине. Потому что если браузер будет отправлять Accept-Encoding gzip, то данные будут сжаты и мы там ничего не отфильтруем. Дальше уже в ответе сервера, порт источника 80, мы подменяем все изображения на наше. Теперь фильтр нужно скомпилировать:

$ etterfilter test.filter -o test.ef

Осталось загрузить фильтр с помощью меню Filters -> Load Filter :

Выберите файл фильтра в файловой системе:

Фильтр будет загружен и вы можете открыть любой сайт, где не используется https чтобы убедиться, что все работает. Чтобы остановить MITM атаку, откройте меню MITM и выберите Stop All Mitm attacks . Наша инструкция Ettercap подходит к концу, но...

Как защититься?

Наверное, после прочтения статьи у вас возник резонный вопрос, как же защитить свой компьютер от такого вида атак? Для этого есть несколько инструментов, в том числе для операционной системы Linux:

• XArp - графическая утилита, которая может обнаруживать попытки подмены MAC адресов по протоколу ARP и противодействовать этому. Может работать в WIndows и в Linux;
• Snort - достаточно известная система противодействия вторжениям, среди прочего обнаруживает атаки на протокол ARP;
• ArpON - небольшой сервис, который следит за ARP таблицей и защищает ее от подмены MAC адресов.

Используйте программу только для тестирования безопасности своих сетей или приложений, а также не забывайте что незаконные действия в информационном пространстве тоже наказуемы.

На завершение видео с демонстрацией работы программы:

необходимо зарегистрироваться,
для того что бы оставить комментарий

ettercap NG-0.7.3 — A multipurpose sniffer/content filter for man in the middle attacks

sniffing options:

UNIFIED — sniffs all the packets that pass on the cable. (ip_forwarding in the kernel is always disabled and the forwarding is done by ettercap)

NB use ettercap on the gateways ONLY with the UNOFFENSIVE MODE. remember to re-enable the ip_forwarding!!

BRIDGED , it uses two network interfaces and forward the traffic from one to the other while performing sniffing and content filtering.

NB Don’t use it on gateways!!!

ettercap [OPTIONS ] [TARGET1 ] [TARGET2 ]

TARGET is in the form MAC/IPs/PORTs

e.g. «//80» means ANY mac address, ANY ip and ONLY port 80

NB reverse the matching of the TARGET by adding the -R option

Options

Example: -M icmp:00:11:22:33:44:55/10.0.0.1(will redirect all the connections that pass thru that gateway.)

M dhcp:192.168.0.30,35,50-60/255.255.255.0/192.168.0.1 (reply to DHCP offer and request.)

M dhcp:/255.255.255.0/192.168.0.1(reply only to DHCP request.(don’t offer ip address, but only change the router information of dhcp request/ack)

NB You have to specify an ip pool of FREE addresses to be used.!!!

ettercap -T -s ‘lq’ will print the list of the hosts and exit
ettercap -T -s ‘s (300)olqq’ will collect the infos for 5 minutes, print the

list of the local profiles and exit