Setelah Penuntun ARP Poisoning, cache korban ARP telah diubah untuk memaksa
hubungan dari mesin Windows menuju mesin Ettercap hingga mencapai tujuan sebenarnya.
Sebagaimana perangkat dipasang, kita sekarang siap untuk melakukan serangan « penengah », dengan kata lain
untuk memodifikasi atau menyaring paket-paket yang datang dan menuju ke korban.
Untuk menjalankan serangan, anda juga bisa
menggunakan plugin Ettercap untuk menjalankan saringan yang anda buat sendiri.
We will use here the Ettercap plugin called dns_spoof to test a very famous attack,
the DNS
spoofing where the pirate answers DNS requests at the place of the DNS server
Jika mengakses website kesukaan anda dengan browser, mesin anda
(yang memiliki alamat IP 192.168.1.2 dalam studi kasus kami) pertama-tama
akan menanyakan pada server DNS alamat IP
yang cocok dengan URL anda dan kemudian browser akan menampilkan halaman web tersebut.
Dengan DNS Spoofing, jika permintaan DNS dikirim, spoofoer
akan menjawab sebagai server DNS dan menyediakan alamat IP yang lain.
Konsekuensinya adalah bahwa anda akan merasa sudah mendapatkan
alamat situs yang dituju tapi pada kenyataannya itu adalah situs pembajak karena perbedaan alamat IP.
Serangan akan semakin berbahaya jika pembajak melakukan spoofs pada
website penting misalnya website bank anda. Webserver palsu pembajak
akan memiliki tampilan yang sama dengan website asli bank. Jadi pembajak
akan menunggu anda memasukkan identitas penting pada websitenya dan menyimpannya.
Mari kita lanjutkan dengan serangan DNS Spoofing.
Hal pertama yang perlu dilakukan adalah mengatur
konfigurasi pada berkas etter.dns dalam direktori /usr/share/ettercap.
#vim /usr/share/ettercap/etter.dns
Dalam berkas itu anda akan mendapatkan penjesalan tentang konfigurasinya.
Ini adalah contoh isi dari berkas etter.dns.
linux1.org *.linux.com www.linux.org
A A PTR
198.182.196.56 198.182.196.56 198.182.196.56
Ini berarti bahwa jika anda membuka www.linux1.org
di browser web anda, anda akan melihat website www.linux.org.
It means that when you open www.linux1.org in your web browser,
you will see the content of the www.linux.org website.
Untuk memulai DNS Spoofing, anda butuh untuk mengaktifkan plugin
dns_spoof pada tampilan grafis Ettercap.
Ingat bahwa anda harus mengikuti Penuntun ARP Poisoning sebelum
memulai langkah berikut.
Plugins -> Manage the plugins
Klik pada baris dns_spoof untuk mengaktifkan plugin. Ini akan ditandai dengan sebuah bintang.
Kemudian masukkan www.linux1.org dalam web browser.
Anda bisa melihat bahwa isi halaman yang terbuka salah satu yang sesuai
dengan alamat IP yang anda tambahkan dalam berkas etter.dns dan bukan alamat IP yang asli yang sesuai dengan alamat www.linux1.org.
Untuk menghentikan DNS Spoofing:
Start -> Stop sniffing
Meskipun kita telah menghentikan serangan, anda bisa melihat bahwa
alamat www.linux1.org dalam browser anda tetap menampilkan isi dari
website www.linux.org. Ini karena cache DNS dari klien kami pada mesin
192.168.1.2. Secara default, Windows akan menyimpan daftar DNS selama
300 detik atau 5 menit dalam cache. Jadi sebaiknya tunggu selama
5 menit atau lebih baik anda membersihkan cache DNS dengan mengikuti perintah berikut ini:
Jalankan perintah baris windows berikut ini:
Start -> Run -> cmd
C:\Documents and Settings\administrator>ipconfig /flushdns
Pada mesin Ubuntu gunakan perintah berikut : « /etc/init.d/dns-clean start »
Untuk melihat cache DNS :
C:\Documents and Settings\administrator>ipconfig /displaydns
Jika anda ingin mengubah waktu cache DNS yang default,
anda harus memodifikasi daftar yang ada dalam registry Windows.
Start -> Run -> arborescence below:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters\
Klik pada « NegativeCacheTime » dalam panel dikanan:
Klik pada tombol « Decimal » dan kemudian masukkan nilai baru untuk waktu chache DNS.
Penyaring mengizinkan anda untuk mengubah isi dari paket-paket.
Untuk membuat penyaring, berkas konfigurasi harus telah dikonfigurasi sebelumnya. Anda bisa
menemukan beberapa contoh dalam berkas /usr/share/ettercap/etter.filter.examples.
Kita memilih dalam sebagai contoh sederhana untuk mengubah prompt dari
koneksi FTP.
FTP. Di bawah ini adalah berkas konfigurasi kami yang bernama test_filter dalam
direktori /usr/share/ettercap.
# replace the FTP prompt
if (tcp.src == 21 && search(DATA.data, "ProFTPD")) {
replace("ProFTPD","TeddyBearFTPD);
}
Kemudian anda perlu untuk menyusun (compile) berkas dengan etterfilter
karena Ettercap hanya memuat berkas-berkas yang sudah disusun.
#etterfilter etter_filter -o etter_filter_compil
Ini akan membuat berkas yang sudah tersusun yang bernama etter_filter_comp.
Muat penyaring dalam Ettercap:
Filters -> Load a filter...
Sekarang, kita mencoba sebuah koneksi FTP dengan klien di mesin 192.168.1.2.
Percobaan kita lakukan sebelum dan setelah penyaringan Ettercap.
« xyz » adalah nama website dan « 1.2.3.4 » adalah alamat IP.
(Tentunya, anda harus berada dalam posisi « penengah ».
Jika dalam kasus ini belum siap, ikuti penuntun ARP poisoning. )
C:\Documents and Settings\Administrator>ftp www.xyz.com
Connected to xyz.com.
220 "ProFTPD 1.3.0a Server ("ProFTPD) [1.2.3.4]
User (xyz.com:(none)):
C:\Documents and Settings\Administrator>ftp www.xyz.com
Connected to xyz.com.
220 "TeddyBear FTPD 1.3.0a Server ("TeddyBear FTPD) [1.2.3.4]
User (xyz.com:(none)):
Wireshark
Ettercap
Snort & BASE
Cacti
PHP Weathermap
Php-syslog-ng
Rancid
Ipplan
Vyatta
Quagga
OpenVPN
Trixbox
WANem
Ettercap
Serangan « penengah »
Zadnje osvježenje: May 07 2008
Kembali ke bagian atas halaman
Home
Contact
Readme
Thanks
Translations
History
References
Statistics
About us
Open Source
MySQL
Interfaces
Ping
TCPdump
Netstat
Iperf
CDP
Linux
Windows
Debian
Ubuntu
APT Tools
CheckInstall
Minicom
World Time
Menu