ETTERCAP - The Easy Tutorial - Ce este ettercap?

Ettercap Ce este ettercap?
Ultima Actualizare: Feb 03 2008


Tool
Install
Ergonomy
Forum



Detalii What is Ettercap?
Prerequisites & Installation
ARP Poisoning
"Man in the middle" attacks
Statistics
Countermeasures

Romanian translation by Bogdan Alexandru Costea.




If you like our tutorials, don't hesitate to support us and visit our sponsors!
Si vous aimez nos tutoriaux, n'hésitez pas à nous supporter et visiter nos sponsors!


Ettercap



Ettercap este o unealtă creată de către Alberto Ornaghi(ALoR) şi Marco Valleri(NaGA), o suita software ce poate fi utilizată pentru atacuri de tip man in the middle în interiorul unei reţele locale (LAN). Pentru aceia dintre voi care nu sunt familiarizaţi cu linia de comandă, programul conţine o interfaţă prietenoasă.

Cu ajutorul Ettercap se pot conduce atacuri împotriva protocolului ARP, prin poziţionarea logica pe post de intermediar, şi odată poziţionat poate:
- infecta, înlocui, şterge datele transmise în timpul unei conexiuni
- descopere parole pentru protocoale ca FTP, HTTP, POP, SSH1, etc...
- oferi certificate HTTPS SSL false eventualelor victime.
- etc ...

De asemenea exista şi plugin-uri pentru atacuri de tip DNS spoofing.

Ce este un atac de tip "man in the middle"?
Un atac de tip "man in the middle" este acel atac în care un atacator îşi plasează maşina logic într-un punct de intermediere între două alte maşini, cum este descris în figura de mai jos.
Odată ajuns în această poziţie, atacatorul poate lansa o serie de atacuri foarte periculoase, din cauza posibilităţii de interceptare a mesajelor transmise între maşinile ţintă.

Exista multe atacuri de tip man in the middle, acest tutorial va descrie atacurile bazate pe protocolul ARP.
Protocolul ARP este un protocol layer 3 utilizat pentru a traduce adrese IP(ex: 192.168.1.1) în adrese fizice ale plăcii de reţea sau adrese MAC(ex: 0fe1.2ab6.2398).
Când un dispozitiv încearcă să acceseze o resursă de reţea, mai întâi va trimite cereri către alte dispozitive solicitînd adresa MAC asociată adresei IP pe care doreşte să o contacteze. Apelantul va păstra asocierea IP-MAC în cache-ul ARP, pentru a mări viteza de conectare la aceeaşi adresă IP.

Atacul apare atunci când o maşină execută o cerere către celelalte maşini pentru a afla adresa MAC asociată cu o adresă IP. Atacatorul va răspunde trimiţând pachete false ce identifică adresa IP solicitată cu propriul MAC şi astfel, scurtcircuitează asocierea reală IP-MAC ce poate proveni de la altă maşină. Acest atac se numeşte otrăvire ARP(ARP poisoning) sau ARP spoofing şi este posibilă numai daca atacatorul se află în acelaşi domeniu de broadcast ce este definit de către o adresa IP şi o mască subnet, de exemplu 192.168.1.1 255.255.255.0

În acest tutorial, vom folosi studiul de caz figurat mai jos, în care o maşină cu adresa IP 192.168.1.2 solicită resurse Internet din reţeaua locală. După atacul de otrăvire ARP, maşina ettercap cu IP-ul 192.168.1.100 se poziţionează ca intermediar (man in the middle).

ettercap man in the middle attack

                                         

De notat sunt următoarele informaţii despre comportamentul ettercap:

-
 
-
 
-
 
 
 
de câte ori porneşte ettercap, forwarding-ul IP în kernel este dezactivat şi această funcţie este preluată.
poate scădea performanţa reţelei între cele două maşini din cauza timpilor de procesare a pachetelor.
ettercap necesită privilegii de root pentru a deschide socket-uri Link Layer. După iniţializare, privilegiile de root nu mai sunt necesare şi ettercap le substituie cu UID = 65535 (nobody). Pentru că ettercap trebuie să scrie(creeze) fişiere log trebuie să fie executat în interiorul unui director cu permisiuni potrivite.
Scopul acestui tutorial este să ofere un avertisment despre pericolele atacurilor de tip man in the middle prin intermediul ARP spoofing. In tutorialul despre ARP poisoning se va explica procedeul de poziţionare a unei maşini ettercap ca intermediar, în tutorialul de filtrare se vor descrie câteva moduri de atac. La final, vor fi descrise câteva contramăsuri pentru protecţia împotriva atacurilor ARP poisoning.



An interview about the Ettercap authors can be found on the newsforge website. It is slightly out of date (2004) but remains interesting.





If you liked our tutorials, don't hesitate to support us and visit our sponsors!
Si vous aimez nos tutoriaux, n'hésitez pas à nous supporter et visiter nos sponsors!