Home :

• Home
• Contact
• Readme
• Thanks
• Translations
• History
• References
• Statistics
• About us

Tutorials :

• Analyzing
• 
• Wireshark
• Ettercap
• Snort & BASE
• Snort_Inline & BASE
• 
• Monitoring
• 
• Cacti
• PHP Weathermap
• 
• Logging
• 
• Php-syslog-ng
• Rancid
• Ipplan
• 
• Routing
• 
• Vyatta
• Quagga
• 
• VPN
• 
• OpenVPN
• 
• Telephony
• 
• Trixbox
• 
• Link Emulation
• 
• WANem

Other :

• Open Source
• MySQL

Networking :

• Interfaces
• Ping
• TCPdump
• Netstat
• Iperf
• CDP

OS :

• Linux ;
• Windows ;
• 
• Debian ;
• Ubuntu ;
• 
• APT Tools
• CheckInstall
• Minicom

Php Scripts :

• World Time
• Menu

Ettercap Serangan « penengah »
Terakhir dibuat: Feb 02 2008

---

Tool
Install
Ergonomy
Forum


Selengkapnya Apa itu Ettercap?
Persyaratan dan Instalasi
ARP Poisoning
Serangan « penengah »
Statistik
Pembalasan

Indonesian translation by Muhammad Takdir.

---

⚠️⚠️⚠️
Please check our website about
attractions in Western Switzerland !! (Please use english translation).

⚠️⚠️⚠️
Merci de consulter notre site sur les
activités à faire en Suisse romande !!

---

Setelah Penuntun ARP Poisoning, cache korban ARP telah diubah untuk memaksa hubungan dari mesin Windows menuju mesin Ettercap hingga mencapai tujuan sebenarnya.

Diagram skenario jaringan tersedia pada halaman perkenalan Ettercap.

Sebagaimana perangkat dipasang, kita sekarang siap untuk melakukan serangan « penengah », dengan kata lain untuk memodifikasi atau menyaring paket-paket yang datang dan menuju ke korban.

Untuk menjalankan serangan, anda juga bisa menggunakan plugin Ettercap untuk menjalankan saringan yang anda buat sendiri.

---

1. PLUGINS

2. FILTERS

---

PLUGINS

We will use here the Ettercap plugin called dns_spoof to test a very famous attack, the DNS spoofing where the pirate answers DNS requests at the place of the DNS server
Jika mengakses website kesukaan anda dengan browser, mesin anda (yang memiliki alamat IP 192.168.1.2 dalam studi kasus kami) pertama-tama akan menanyakan pada server DNS alamat IP yang cocok dengan URL anda dan kemudian browser akan menampilkan halaman web tersebut.
Dengan DNS Spoofing, jika permintaan DNS dikirim, spoofoer akan menjawab sebagai server DNS dan menyediakan alamat IP yang lain.
Konsekuensinya adalah bahwa anda akan merasa sudah mendapatkan alamat situs yang dituju tapi pada kenyataannya itu adalah situs pembajak karena perbedaan alamat IP.

Serangan akan semakin berbahaya jika pembajak melakukan spoofs pada website penting misalnya website bank anda. Webserver palsu pembajak akan memiliki tampilan yang sama dengan website asli bank. Jadi pembajak akan menunggu anda memasukkan identitas penting pada websitenya dan menyimpannya.

Mari kita lanjutkan dengan serangan DNS Spoofing.
Hal pertama yang perlu dilakukan adalah mengatur konfigurasi pada berkas etter.dns dalam direktori /usr/share/ettercap.

#vim /usr/share/ettercap/etter.dns

Dalam berkas itu anda akan mendapatkan penjesalan tentang konfigurasinya. Ini adalah contoh isi dari berkas etter.dns.

linux1.org *.linux.com www.linux.org

A A PTR

198.182.196.56 198.182.196.56 198.182.196.56

Ini berarti bahwa jika anda membuka www.linux1.org di browser web anda, anda akan melihat website www.linux.org. It means that when you open www.linux1.org in your web browser, you will see the content of the www.linux.org website.

Untuk memulai DNS Spoofing, anda butuh untuk mengaktifkan plugin dns_spoof pada tampilan grafis Ettercap. Ingat bahwa anda harus mengikuti Penuntun ARP Poisoning sebelum memulai langkah berikut.

Plugins -> Manage the plugins

Klik pada baris dns_spoof untuk mengaktifkan plugin. Ini akan ditandai dengan sebuah bintang.


Kemudian masukkan www.linux1.org dalam web browser.
Anda bisa melihat bahwa isi halaman yang terbuka salah satu yang sesuai dengan alamat IP yang anda tambahkan dalam berkas etter.dns dan bukan alamat IP yang asli yang sesuai dengan alamat www.linux1.org.


                     

Untuk menghentikan DNS Spoofing:

Start -> Stop sniffing

Meskipun kita telah menghentikan serangan, anda bisa melihat bahwa alamat www.linux1.org dalam browser anda tetap menampilkan isi dari website www.linux.org. Ini karena cache DNS dari klien kami pada mesin 192.168.1.2. Secara default, Windows akan menyimpan daftar DNS selama 300 detik atau 5 menit dalam cache. Jadi sebaiknya tunggu selama 5 menit atau lebih baik anda membersihkan cache DNS dengan mengikuti perintah berikut ini:

Jalankan perintah baris windows berikut ini:
Start -> Run -> cmd

C:\Documents and Settings\administrator>ipconfig /flushdns

Pada mesin Ubuntu gunakan perintah berikut : « /etc/init.d/dns-clean start »
Untuk melihat cache DNS :

C:\Documents and Settings\administrator>ipconfig /displaydns

Jika anda ingin mengubah waktu cache DNS yang default, anda harus memodifikasi daftar yang ada dalam registry Windows.

Start -> Run -> arborescence below:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters\

Klik pada « NegativeCacheTime » dalam panel dikanan:



Klik pada tombol « Decimal » dan kemudian masukkan nilai baru untuk waktu chache DNS.



Kembali ke bagian atas halaman

---

PENYARING

Penyaring mengizinkan anda untuk mengubah isi dari paket-paket.
Untuk membuat penyaring, berkas konfigurasi harus telah dikonfigurasi sebelumnya. Anda bisa menemukan beberapa contoh dalam berkas /usr/share/ettercap/etter.filter.examples.

Kita memilih dalam sebagai contoh sederhana untuk mengubah prompt dari koneksi FTP. FTP. Di bawah ini adalah berkas konfigurasi kami yang bernama test_filter dalam direktori /usr/share/ettercap.



# replace the FTP prompt
if (tcp.src == 21 && search(DATA.data, "ProFTPD")) {
   replace("ProFTPD","TeddyBearFTPD);
}

Kemudian anda perlu untuk menyusun (compile) berkas dengan etterfilter karena Ettercap hanya memuat berkas-berkas yang sudah disusun.

#etterfilter etter_filter -o etter_filter_compil

Ini akan membuat berkas yang sudah tersusun yang bernama etter_filter_comp.

Muat penyaring dalam Ettercap:

Filters -> Load a filter...

Sekarang, kita mencoba sebuah koneksi FTP dengan klien di mesin 192.168.1.2. Percobaan kita lakukan sebelum dan setelah penyaringan Ettercap.
« xyz » adalah nama website dan « 1.2.3.4 » adalah alamat IP.

(Tentunya, anda harus berada dalam posisi « penengah ». Jika dalam kasus ini belum siap, ikuti penuntun ARP poisoning. )

C:\Documents and Settings\Administrator>ftp www.xyz.com

Connected to xyz.com.
220 "ProFTPD 1.3.0a Server ("ProFTPD) [1.2.3.4]
User (xyz.com:(none)):

C:\Documents and Settings\Administrator>ftp www.xyz.com

Connected to xyz.com.
220 "TeddyBear FTPD 1.3.0a Server ("TeddyBear FTPD) [1.2.3.4]
User (xyz.com:(none)):


Kembali ke bagian atas halaman