ETTERCAP - The Easy Tutorial - Introduction

Ettercap Introduction
Last Update: Jan 30 2008

Tool
Install
Ergonomy
Forum


Details Ettercap Nedir?
Gerekenler & Yükleme
ARP Zehirleme
"Ortadaki Kişi" Saldırıları
İstatistikler
Alınması Gereken Tedbirler


⚠️⚠️⚠️
Please check our website about
attractions in Western Switzerland !! (Please use english translation).

⚠️⚠️⚠️
Merci de consulter notre site sur les
activités à faire en Suisse romande !!

Ettercap


Ettercap, Alberto Ornaghi (ALoR)ve Marco Valleri (NaGA) tarafindan yazılmış bir programdır. Basitçe söylemek gerekirse, saldırıya uğramış bir Yerel Ağ(LAN) için olan bir program pakeidir. Konsolda komut kullanmak istemeyen için kullanımı kolay grafik iletimi sağlanmıştır.

Ettercap "ortadaki kişi" durumuna gelerek ARP protokolundan saldırılara karşı koruyarak:
- bir bağlantıdaki bilgilere bulaşır, değiştirir, ve siler
- FTP, HTTP, POP, SSH1, gibi protokollardaki şifreleri bulur...
- kurbanlara HTTPS bölümlerinden sahte SSL sertifikaları sağlar.
- vb...

DNS yanıltma sinyalleri gibi saldırılara karşı eklentiler mevcuttur.

"Ortadaki Kişi" saldırısı nedir?
Bu bir korsan tarafından aşağıdaki resimde de görüldüğü gibi iki makine arasına kendi makinesini koyarak yapılan bir saldırıdır.
Bu durumda korsan iki normal makinenin ortasında tehlikeli birçok farklı saldırılarda bulunur.

Bu kılavuzda ARP protokolü'ne dayanan birçok türde olan "ortadaki kişi" diye adlandırılan saldırılara bakacağız. ARP protokolü 3 kattan oluşan ve IP adreslerini(örneğin:192.168.1.1) fiziksel network kartlarına çeviren veya MAC adreslerine(örneğin:0fe1.2ab6.2398) çeviren protokoldür.
Bir aygıt ağ kaynaklarına bağlanmak istediğinde ilkönce diğer aygıtlara istekte bulunarak onlardan ulaşmak istediği IP adresiyle ilgili MAC adresini sorar. İstekte bulunan aygıt aynı IP adresiyle olacak yeni bağlantılar için IP-MAC ilişkisini geçici bellekte ve ARP geçici belleğinde tutar.

Bir makine diğerlerine bir IP adresiyle bağlantılı MAC adresini sorduğunda saldırı başlar. Korsan sahte paketlerle IP adresinin kendi MAC adresiyle bağlantıda olduğunu belirtir ve bu şekilde başka bir konakçı tarafından gelen gerçek IP-MAC ilişkisini atlayarak cevabı "kestirmeden" geçer. Bu saldırıya ARP Zehirlemesi veya ARP kandırması denir ve sadece korsan ile kurban, aynı etki alanı yayınındaysa ve konakçı bir IP adresi ve alt ağ ile tanımlanmışsa mümkündür; örneğin:192.168.1.1 255.255.255.0

Bu kılavuzumuzda aşağıdaki örnek olayı inceleyeceğiz. Bu örnekte bir makinenin 192.168.1.2 IP adresiyle yerel bir ağda internet kaynaklarına ulaştığını farzedelim. ARP zehirleme saldırısının ardından Ettercap makinesi 192.168.1.100 IP adresiyle "ortadaki kişi" durumuna getirilir.

ettercap man in the middle attack

                                         

Aşağıda saydığımız Ettercap makinesinin nasıl davrandığını lütfen not alın:

-
 
-
 
-
 
 
 
 Ettercap her çalışmaya başladığında IP'yi başka yere göndermeyi engeller ve veri paketlerini kendisi gönderir.
Veri paketi makine süreç zamanı yüzünden iki konakçı arasındaki ağ performansını yavaşlatabilir.
Ettercap'in Bağ Katman Soketlerini açabilmesi için root olma ayrıcalığına sahip olması gerekir. Bu ilklendirme sürecinden sonra, artık root olma ayrıcalığına gerek kalmaz ve böylece, Ettercap onları UID = 65535 (hiç kimse) durumuna getirir. Ettercap'in log dosyalarını yazması gerektiğinden eldeki doğru yetkilerle bir dizinde çalıştırılmaları gerekmektedir.
Kılavuzumun amacı "ortadaki kişi" saldırılarıyla ARP kandırma tehlikesine karşı bilgi sağlamaktır. ARP zehirleme kılavuzu'nda Ettercap makinesininin nasıl "ortadaki kişi" olarak ayarlanacağını, sonra filtreleme kılavuzututorial'nda size bazı saldırıları göstereceğiz. Son olarak alınacak tedbirler kısmında ARP zehirleme saldırılarına karşı nasıl korunacağınızı anlatacağız.


Ettercap yazarlarıyla yapılan bir reportaj newsforge web sitesiadresinde bulunabilir. Biraz zaman aşımına uğramıştır (2004 yılından), fakat hala ilginizi çekebilir.