ETTERCAP - Tutorialul usor

Ettercap Otrăvirea ARP
Ultima Actualizare: Apr 22 2010

Tool
Install
Ergonomy
Forum

Detalii What is Ettercap?
Prerequisites & Installation
ARP Poisoning
"Man in the middle" attacks
Statistics
Countermeasures

Romanian translation by Bogdan Alexandru Costea.

⚠️⚠️⚠️
Please check our website about
attractions in Western Switzerland !! (Please use english translation).

⚠️⚠️⚠️
Merci de consulter notre site sur les
activités à faire en Suisse romande !!

În acest tutorial, vom plasa maşina ettercap ca intermediar(man in the middle), după un atac de tip ARP spoofing.

Diagrama scenariului este disponibilă pe pagina de introducere.

Primul pas este să configurăm adresa IP a maşinii ettercap în acelaşi subnet ca maşina pe care dorim să o otrăvim. Pentru acest tutorial vom folosi adresa 192.168.1.100.
Vedeţi tutorialul de reţele pentru explicaţii detaliate despre setarea unei adrese IP pe Linux.

Trebuie să ne amintim că ettercap necesită privilegii root pentru a fi lansată apoi va utiliza privilegii nobody.

1. ARP SPOOFING 2. ARP TRAFFIC 3. TABELE ARP 4. OPRIREA SPOOFING-ULUI ARP

1. ARP SPOOFING

Se deschide ettercap în mod grafic:

#ettercap -G

Se selectează modul de sniffing

Sniff -> Unified sniffing

arrow blue

Se scanează după gazde în subnet

Hosts -> Scan for hosts

Raza utilizată în scanare va fi determinată utilizând adresa IP stabilită în pasul anterior.

Se vizualizeaza adresele IP şi MAC ale gazdelor din subnet.

Se selectează maşinile ce vor fi otrăvite.

Alegem să otrăvim numai maşina Windows (192.168.1.2) şi router-ul (192.168.1.1).
Se selecteaza linia ce conţine 192.168.1.1 şi se apasă butonul target 1.
Se selecteaza linia ce conţine 192.168.1.2 şi se apasă butonul target 2.
Dacă nu se selectează nici o gazdă, toate gazdele disponibile în subnet vor fi otrăvite.

Se verifică ţintele

Se porneşte otrăvirea ARP

Mitm -> Arp poisoning

arrow blue

Se porneşte sniffer-ul

Se pornşte sniffer-ul pentru colectarea de statistici.

Start -> Start sniffing

Inceputul paginii

ARP TRAFFIC:

Pe maşina Windows, cu ajutorul Wireshark, putem compara traficul ARP înainte şi după otrăvire:

Ca amintire: (Vedeţi ndiagrama de reţea)

192.168.1.1
192.168.1.2
192.168.1.100 (Router)
(Windows)
(Pirate) 11:22:33:44:11:11
11:22:33:44:55:66
11:22:33:44:99:99
Înainte de otrăvire:
Înainte de a comunica, router-ul şi maşina Windows trimit mesaje broadcast pentru a descoperi reciproc adresele MAC.

No
1
2
3
4 Source
11:22:33:44:55:66
11:22:33:44:11:11
11:22:33:44:11:11
11:22:33:44:55:66 Destination
11:22:33:44:11:11
11:22:33:44:55:66
11:22:33:44:55:66
11:22:33:44:11:11 Prot
ARP
ARP
ARP
ARP Info
who has 192.168.1.1? Tell 192.168.1.2
192.168.1.1 is at 11:22:33:44:11:11
who has 192.168.1.2? Tell 192.168.1.1
192.168.1.2 is at 11:22:33:44:55:66

arrow blue

După otrăvire
Cererea de broadcast trimisă de router primeşte răspund de la maşina windows, similar cu captura precedentă.
Diferenţa este că nu există nici o cerere din partea maşinii Windows pentru a găsi adresa MAC asociată router-ului(192.168.1.1) pentru că atacatorul trimite pachete ARP ce asigură maşina Windows că adresa IP 192.168.1.1 (router-ul) este asociată propriei adrese MAC (11:22:33:44:99:99) în locul adresei MAC a routerului (11:22:33:44:11:11).

No
1
2
3
4 Source
11:22:33:44:11:11
11:22:33:44:55:66
11:22:33:44:99:99
11:22:33:44:99:99 Destination
11:22:33:44:55:66
11:22:33:44:11:11
11:22:33:44:55:66
11:22:33:44:55:66 Prot
ARP
ARP
ARP
ARP Info
who has 192.168.1.2? Tell 192.168.1.1
192.168.1.2 is at 11:22:33:44:55:66
192.168.1.1 is at 11:22:33:44:99:99
192.168.1.1 is at 11:22:33:44:99:99

Inceputul paginii

TABELE ARP::

Daca vizualizăm tabelele ARP pe maşina Windows şi pe router, putem vedea că maşina Linux a otrăvit tabelul ARP şi a înlocuit adresa MAC a routerului sau a maşinii Windows cu propria adresă MAC.
Acest lucru înseamnă că pachetele trimise între maşina Windows şi router vor transita prin maşina ettercap.
Pentru a vizualiza dacă am otrăvit cu succes tabelul ARP al router-ului şi al maşinii Windows:

-------------------- Windows machine 192.168.1.2 --------------------
Se porneşte un interpretor de comenzi:
Start -> Run -> cmd

C:\Documents and Settings\administrator>arp -a

Interface : 192.168.1.2 --- 0x2

Internet Address
192.168.1.1
192.168.1.100 Physical Address
11-22-33-44-11-11
11-22-33-44-99-99 Type
dynamic
dynamic

arrow blue

Interface : 192.168.1.2 --- 0x2

Internet Address
192.168.1.1
192.168.1.100 Physical Address
11-22-33-44-99-99
11-22-33-44-99-99 Type
dynamic
dynamic

-------------------- Linux machine 192.168.1.100 --------------------

#arp -a

?
? (192.168.1.1)
(192.168.1.2) at
at 11:22:33:44:11:11
11:22:33:44:55:66 [ether]
[ether] on
on eth0
eth0

-------------------- router openmaniak cisco Router 192.168.1.1 --------------------

>show arp

Protocol
Internet
Internet Address
192.168.1.2
192.168.1.100 Age (min)
194
128 Hardware Addr
1122.3344.5566
1122.3344.9999 Type
ARPA
ARPA interface
FastEthernet0/0
FastEthernet0/0
arrow blue

Protocol
Internet
Internet Address
192.168.1.2
192.168.1.100 Age (min)
194
128 Hardware Addr
1122.3344.9999
1122.3344.9999 Type
ARPA
ARPA interface
FastEthernet0/0
FastEthernet0/0
Dacă aveţi la dispoziţie un dispozitiv Netscreen(Juniper) utilizaţi următoarea comandă pentru a vizualiza tabelul ARP:

>get arp

Pe un router Vyatta:

>show arp

Inceputul paginii

OPRIREA SPOOFING-ULUI ARP:

Ettercap este foarte eficient. După un atac va reface tabelele ARP ale victimelor. În alte cuvine, cache-ul ARP al victimelor va conţine din nou intrările corecte.

În cazul în care cache-ul încă mai conţine asocieri IP-MAC otrăvite, se poate aştepta câteva minute, câ este necesar pentru cache-ul ARP să se actualizele sau se poate curăţa cache-ul ARP.

Pe o maşina Windows:

C:\Documents and Settings\admin>arp -d *

Pe o maşină Ubuntu sau Debian Linux:

#arp -d ip_address

Fatal error: Uncaught Error: Undefined constant "php" in /home/clients/2092070cc529a092f88d8480f1925281/web/ro/ettercap_arp.php:545 Stack trace: #0 {main} thrown in /home/clients/2092070cc529a092f88d8480f1925281/web/ro/ettercap_arp.php on line 545