ETTERCAP - Jednostavan priručnik

Ettercap ARP Poisoning
Zadnje osvježenje: May 07 2008

Tool
Install
Ergonomy
Forum

Detalji Što je Ettercap?
Preduvjeti i Instalacija
ARP Poisoning
"Man in the middle" napadi
Statistike
Protumjere

Croatian translation by Tomislav Marcinkovic.

⚠️⚠️⚠️
Please check our website about
attractions in Western Switzerland !! (Please use english translation).

⚠️⚠️⚠️
Merci de consulter notre site sur les
activités à faire en Suisse romande !!

U ovom prvom vodiču postavit ćemo naše Ettercap računalo kao “man in the middle”, nakon ARP spoofing napada.

Mrežni dijagram je raspoloživ na uvodnoj stranici Ettercap-a.

Prvo što morate napraviti jest postaviti IP adresu na računalu koje ima Ettercap, u istom IP subnetu u kojem je računalo koje želite napasti. U našem vodiču koristit ćemo 192.168.1.100 IP adresu. Pogledajte networking vodič s detaljnim uputama kako postaviti IP adresu na linux računalu.

Kao podsjetnik, Ettercap zahtjeva root ovlasti na računalu, te će nakon pokretanja biti podržan od korisnika "nobody".

1. ARP PODVALE 2. ARP PROMET 3. ARP TABELE 4. SPRIJEČAVANJE ARP PODVALE

1. ARP PODVALE

Pokrenite Ettercap s grafičkim sučeljem

#ettercap -G

Odaberite sniff način rada

Sniff -> Unified sniffing

arrow blue

Skenirajte mrežu u potrazi za računalima

Hosts -> Scan for hosts

Skenirani raspon mreže bit će određen po IP adresi sučelja koje ste odabrali u prethodnom koraku.

Pogledajte MAC i IP adrese hostova (računala) unutar subnet-a.

Odaberite računala koja želite napasti.

Odlučili smo napasti samo windows računalo 192.168.1.2 i router 192.168.1.1.
Označite liniju koja sadrži 192.168.1.1 i kliknite na "target 1".
Označite liniju koja sadrži 192.168.1.2 i kliknite na "target 2".
Ako ne odaberete niti jedno računalo kao metu, tada će sva računala unutar subnet-a biti napadnuta.

Odaberite mete

Pokrenite ARP poisoning

Mitm -> Arp poisoning

arrow blue

Pokrenite sniffer

Na kraju pokrenite sniffer da prikupite statistike.

Start -> Start sniffing

Top of the page

ARP PROMET (traffic):

Uz pomoć Wireshark-a na Windows računalu možemo usporediti ARP promet prije i poslije napada:

Kao podsjetnik: (pogledajte mrežni dijagram)

192.168.1.1
192.168.1.2
192.168.1.100 (Router)
(Windows)
(Pirate) 11:22:33:44:11:11
11:22:33:44:55:66
11:22:33:44:99:99
Prije napada
Prije nego što budu u mogućnosti međusobno komunicirati, router i Windows računalo šalju ARP broadcast da nađu međusobne MAC adrese.

No
1
2
3
4 Source
11:22:33:44:55:66
11:22:33:44:11:11
11:22:33:44:11:11
11:22:33:44:55:66 Destination
11:22:33:44:11:11
11:22:33:44:55:66
11:22:33:44:55:66
11:22:33:44:11:11 Prot
ARP
ARP
ARP
ARP Info
who has 192.168.1.1? Tell 192.168.1.2
192.168.1.1 is at 11:22:33:44:11:11
who has 192.168.1.2? Tell 192.168.1.1
192.168.1.2 is at 11:22:33:44:55:66

arrow blue

Nakon ARP poisoning napada
Router-ov ARP broadcast (emitiranje) dobio je odgovor od strane Windows računala isto kao i u prethodnom slučaju.
Razlika između ova dva slučaja jest u činjenici da nema zahtjeva koji dolazi od Windows računala (192.168.1.2) koje traži MAC adresu asociranu s routerom (192.168.1.1), zbog toga što napadač kontinuirano šalje ARP pakete, te njima govori Windows računalu da je 192.168.1.1 asociran na napadačevu (11:22:33:44:99:99) MAC adresu umjesto na router-ovu MAC adresu 11:22:33:44:11:11.

No
1
2
3
4 Source
11:22:33:44:11:11
11:22:33:44:55:66
11:22:33:44:99:99
11:22:33:44:99:99 Destination
11:22:33:44:55:66
11:22:33:44:11:11
11:22:33:44:55:66
11:22:33:44:55:66 Prot
ARP
ARP
ARP
ARP Info
who has 192.168.1.2? Tell 192.168.1.1
192.168.1.2 is at 11:22:33:44:55:66
192.168.1.1 is at 11:22:33:44:99:99
192.168.1.1 is at 11:22:33:44:99:99

Top of the page

ARP TABELE:

Ako pogledamo ARP tablicu Windows računala i routera, vidjet ćemo da je Ettercap Linux računalo zatrovalo njihovu arp tablicu i zamijenilo njihove MAC adrese sa svojom MAC adresom.
To znači da će paketi koji putuju između Windows računala i routera pri putovanju prolaziti kroz Ettercap računalo.
Pogledajmo jesmo li uspješno zatrovali ARP tabele Windows računala i routera:

-------------------- Windows računalo 192.168.1.2 --------------------
Pokrenite komandno linijsko sučelje na sljedeći način:
Start -> Run -> cmd

C:\Documents and Settings\administrator>arp -a

Sučelje : 192.168.1.2 --- 0x2

Internet adresa
192.168.1.1
192.168.1.100 Fizička adresa
11-22-33-44-11-11
11-22-33-44-99-99 Vrsta
dinamička
dinamička

arrow blue

Sučelje : 192.168.1.2 --- 0x2

Internet adresa
192.168.1.1
192.168.1.100 Fizička adresa
11-22-33-44-99-99
11-22-33-44-99-99 Vrsta
dinamička
dinamička

-------------------- Linux računalo 192.168.1.100 --------------------

#arp -a

?
? (192.168.1.1)
(192.168.1.2) at
at 11:22:33:44:11:11
11:22:33:44:55:66 [ether]
[ether] on
on eth0
eth0

-------------------- router openmaniak cisco Router 192.168.1.1 --------------------

>show arp

Protokol
Internet
Internet Adresa
192.168.1.2
192.168.1.100 Trajanje(min)
194
128 Fizička adresa
1122.3344.5566
1122.3344.9999 Vrsta
ARPA
ARPA sučelje
FastEthernet0/0
FastEthernet0/0
arrow blue

Protokol
Internet
Internet Adresa
192.168.1.2
192.168.1.100 Trajanje(min)
194
128 Fizička adresa
1122.3344.9999
1122.3344.9999 Vrsta
ARPA
ARPA sučelje
FastEthernet0/0
FastEthernet0/0
Ukoliko imate Netscreen (Juniper) uređaj, koristite sljedeću komandu za prikaz ARP tablice:

>get arp

Na Vyatta routeru:

>show arp

Zaustavljanje ARP spoofing-a:

SPRIJEČAVANJE ARP PODVALE:

Ettercap je prilično efektivan. Nakon napada "re-arpa" žrtve. Drugim riječima, žrtvin ARP cache će opet imati ispravne unose.

Ukoliko cache i dalje ima zatrovane IP - MAC adrese možete ili pričekati par minuta da se ARP cache osvježi ili, još bolje, očistiti ARP cache.

Na Windows računalu:

C:\Documents and Settings\admin>arp -d *

Na Ubuntu ili Debian Linux distribuciji:

#arp -d ip_address

Fatal error: Uncaught Error: Undefined constant "php" in /home/clients/2092070cc529a092f88d8480f1925281/web/hr/ettercap_arp.php:543 Stack trace: #0 {main} thrown in /home/clients/2092070cc529a092f88d8480f1925281/web/hr/ettercap_arp.php on line 543