Hacking DVD BackTrack, Linux, Hashe RSS Feed twitter airdump.cz BackTrack 3 4 5 6 CZ
Security a Tip
Donate a Sponzor

Sniffing hesiel v Ettercap-ng

Ettercap logo Ettercap je kvalitný LAN sniffer, no taktiež podporuje sniffing siete, keď sme do nej pripojený bezdrôtovo, na to prepína kartu do promiskuitného módu. Program integruje 4 Man-in-the-middle útoky. Ettercap spája sniffing siete s mnohými pluginmi, dokáže odchytiť dáta aktívnych spojení, odchytiť https hesla, filtrovať a je plne konfigurovateľný.Užívatelia Backtrack 3 majú balíček ettercap-ng v základe inštalácie, teda nie je nutne doinštalovať.

Posledná verzia Ettercap-ng je NG-0.7.3, ktorú si môžete stiahnuť a následne skompilovať (./configure && make && make install). Ak chcete Ettercap využívať s jeho grafickým prostredím, treba mat nainštalované gtk+ balíčky, ktoré sú primárne inštalované s prostredím Gnome. Ja osobne mam prostredie KDE a Ettercap funguje bezproblémovo.

Ettercap sa dá spúšťať tromi spôsobmi a to graficky použitím -G parametru, textovo použitím -T a dosovsky vyzerajúcim prostredím -C.

V dnešnom návode si opíšeme používanie Ettercap s grafickým rozhraním gtk2, komu nepôjde, doinštalujte gtk+ knižnice alebo využite Ncurses GUI teda prepínač –C

Ettercap konzola

Vychádzame z predpokladu, že sme pripojení na sieť (LAN káblom alebo cez wifi). Najpodstatnejšia vec je v našom prípade netmask, väčšinou sú to IP ako 255.255.0.0, 255.255.255.0 atd. Ettercap pomocou netmask dokáže nájsť všetky hosty, o tom za chvíľu. Ak nám ide internet, alebo sme sa pripájali na AP s dhcp, je iste že nám pridelilo adresu masky siete. Skontrolovať si to môžeme príkazom ifconfig.

ifconfig wlan0

Na obrázku je vidieť kolónku Mask a pridelenú adresu.Pokiaľ z nejakého dôvodu nemáme pridelenú masku siete a testujeme vlastnú sieť, teda vieme jej adresu, môžeme ju nastaviť ručne

ifconfig wlan0 netmask 255.255.255.0

..kde wlan0 je naše rozhranie ktorým sa pripájame na internet, cez LAN kábel to bude rozhranie eth0.Začnime spustením ettercapu s grafickým rozhraním, použijeme konzolu a do nej napíšeme príkaz ettercap -G

Nastavíme si v options promiskuitný mód, pokiaľ ste LAN alebo wifi a vaša karta to podporuje, ak nepodporuje, od kliknite promisc mode.

ettercap promiskuita

Pokiaľ používate ettercap na getaway, teda Váš počítač sa sprava ako getaway (prípad, že robíte free wifi a chcete snifovať sieť) zakliknite Unoffensive mode.Ďalej klikneme na položku Sniff a vyberieme Unified sniffing v ktorom vyberieme rozhranie, cez ktoré sme pripojený na sieť.

Sniffing Ettercap-Ng

Rozhraní ettercap-ng

Pokiaľ ale chceme snifovat dátové spojenie z jedného rozhrania do druhého, vyberieme Bridged sniffing.Ettercap si nastavil netmask, teraz treba preskenovať hosts, spravíme to kliknutím na Hosts > scan for hosts, alebo kláves skratkou CTRL S

Pravé nám pribudli hosty do hosts listu, môžeme to vidieť v výpise, ktorý je umiestnený dole v programe. Kliknutím znova na hosts >hosts list vidíme nájdené IP adresy a ich MAC adresy. Pred začatím mitm útokov je treba zistiť getaway IP aby sme ju zaradili do target listu.

Ak naša IP je 192.168.1.2 je veľmi pravdepodobne, že getaway bude končiť 1.1, ak takú IP mame v hosts liste našli sme getaway. Taktiež sa môže stať, že v hosts liste mame aj 30 IP a žiadna nevyzerá na getaway, administrátor sa chránil proti jednoduchému odhaleniu tak getaway IP dal úplné neštandardnú.

Ettercap dokáže za náš zistiť getaway IP, no najprv musíme spustiť sniffing. Urobíme to kliknutím na Start > Start sniffing, ettercap náš o všetkom informuje v spodnom okne, mali by sme tam vidieť Starting Unified sniffing…

Pre nájdenie gw IP pôjdeme do Plugins > Manage Plugins, nájdeme plugin s názvom gw_discover. Keď spustime plugin, vypýta si od nás adresu vzdialeného serveru a port na ktorom naslúcha. Môžeme tam hodiť hocijakú IP napríklad googlu a port 80. Ak nevieme ako na to, otvoríme konzolu, napíšeme nslookup google.com, skopírujeme nájdenú IP a zapíšeme v tvare IP:port, teda 10.20.30.40:80.

etteracap-ng plugin

Ak Vám nenájde getaway, skontrolujte si, či ste zapli sniffing. Pre MITM útoky okrem dhcp spoofingu treba nastaviť targety, buď použijeme plugin autoadd, ktorý nám bude pridávať novo pripojených, alebo to spravíme ručné. Osobne uprednostňujem ručne, pretože plugin nie vždy funguje. Klikneme na Hosts > hosts list, všetky IP dáme do target 1, až na getaway ktorý dáme do target 2. Skontrolovať si to môžeme v Targets > Current Targers, mali by sme vidieť zaradene IP v dvoch stĺpcoch.

ARP poisoning

Bližšie o tejto technike nebudem rozoberať, môžete si o tom precitať na amp wiki. Rozoberme si tento typ útoku v ettercape. Postupujeme presne ako som vyššie popišal. Ettercap, unified sniffing, scan for hosts, start sniffing.Položka Mitm v ettercape znamená Man in the middle. Viac o tejto technike je možné naštudovať na wiki. Mitm položka nám ponuka 4 možnosti, začneme s ARP poisoning.

MITM ettercap-ngRozhraní ettercap-ng

Nezabudnite potvrdiť Sniff remote connections. Pokiaľ Váš PC je getaway, môžete zakliknúť only poison one way. Osobne to nepoužívam. Ak je všetko správne ettercap výpise že zadalo IP adresy do skupín. Teraz už len čakajme, že niekto pôjde ftp alebo http stránku, zadá svoje meno a heslo a ettercap Vám ho vypise.

Subnet ettercap-ng

V kolónke View mame štatistiky, profily a connections, môžeme sa tam vyhrať, killnut niekomu download atd. Tento útok sa využíva hlavne keď mate LAN sieť a snifujete buď konkrétnu IP alebo viac. Výhodou je smerovanie útokov, filtrov a pluginov konkrétne na daný target. Užitočným pluginom je aj chk_poison, ktorý overí či arp poisoning je úspešný. Plugin repoison_arp je výhodný v spojitosti s pluginom autoadd, plugin znova spraví arp poisoning útok vždy keď sa pridá novy host

DHCP Spoofing

Tento útok je veľmi výhodný pokiaľ sme pripojený na AP a robíme sniffing. Dhcp Spoofing nám zaručuje, že každý novy klient, ktorý sa prípoji na AP dostane nami zadane údaje, teda sa preňho tvárime ako getaway. Ostatne už funguje rovnako ako pri ARP poisoning, vidíme hesla, môžeme nastavovať filtre a používať plugin.

Dôležitým upozornením je fakt, že DHCP Spoofing sa považuje len za half mitm attack, pretože sú zachytene dáta idúce od klienta (obete) na internet (idúce cez náš a presmerovane na originálnu getaway). Teda všetko čo odpovie getaway danému klientovi už nevidíme. Pozrime sa na nastavenia:

Spoofing Ettercap

Prvá položka je IP Pool, ktorá nie je povinná. Tato možnosť pridelí pripájajúcemu sa klientovi nami určenú IP (zapisujeme rozsahom IP), pokiaľ necháme políčko prázdne, použije sa dhcp z getaway, teda priradí sa IP normálne tak ako by malo bez nášho zásahu. Pokiaľ ale chceme definovať IP range, tak v tomto tvare: 192.168.15.5-50.Druhou položkou je Netmask, zapíšeme netmask, ktorú sme schopný zistiť z ifconfig (popišané vyššie)

Do tretej kolónky zapíšeme getaway IP. Ettercap náš o nových spojeniach informuje. Upozornenie: pri dhcp spoofingu, nesmiete mat v targetlistoch pridane IP adresy

Port stealing

Port stealing ettercap-ng

Pri port stealingu mame dve možnosti, prvú zaklikneme vždy ako vidíte na obrázku. Druha voľba je výhodná ak ma sieť viac switchov, nastaví totiž všetky dáta na source obete. Pre veľké siete ale tato voľba zahlti trafík, takže to nie je moc rozumná voľba

Potrebný je taktiež ako u ARP poisoningu host list. Ja osobne sa vyhýbam použitiu tohto útoku, keď chcem dať stop mitm útoku, sekne sa ettercap a na victim počítači muším renew IP

Pokiaľ chcete sniffovat aj https stránky, nezabudnite editovať etter.conf, primárne ho v backtrack nájdete v /usr/local/etc/, no pokiaľ tam nie je, použite locate etter.conf

V etter.conf choďte na riadky kde je spomínaný redirecting v Linuxe a dokomentujte riadky pre iptables (backtrack primárne používa iptables). Tak ako vidíte na obrázku:

IPchains ettercap-ng

Ettercap filtre

Nebudem tu rozpisovať ako napišať filter, väčšinu užitočných príkladov mate v /usr/local/share/ettercap. Pozrite si hlavne etter.filter.examples. Na konci tohto súboru uvidíte ako zabrániť špecifickej IP prístup na nôt a ďalšie užitočné filtre

Filtre umožňujú narábať s paktmi, spojením atd. Ďalej nahradzovať napríklad obrázky na stránkach, ddos, robiť redirecty.
Rozumieme pod tým, že napríklad ettercap nájde paket, ktorý ma host napríklad microsoft.com, tak filter vykoná zmenu a host zmení na linux.org. Rovnakú zmenu dôkaze aj dns_spoof plugin v ettercape, popíšem ho neskôr.

Pre „skonvertovanie“ filtru do spustiteľnej podoby, je treba použiť príkaz etterfilter

etterfilter etter.filter.examples -o novy_filter

ako vidíte -o znamená output file, ktorý načítame v filter menu ettercapu

Plugins

Ako ste si mohli všimnúť, niektoré pluginy sú vlastne len filtre s GUI. Ako napríklad filter dsn_spoof, ktorý je načítavaný z /usr/local/share/ettercap/etter.dns
Môžete v ňom nastaviť presmerovania stránok, napríklad na localhost (apache) alebo Iňu stránku, príkladom je uvedený microsoft.com presmerovaný na linux.org, zapisujeme takto:

*.microsoft.com/* A 198.182.196.48

kde * znamená hocijaký šúb, napríklad download.microsoft atd.. za /* takisto ettercap keď uvidí host s adresou microsoft.com/download, presmeruje ho na Danu IP…A znamená Add, je to povinná súčasť etter.dns configu.
Isolate plugin ma na starosti izolovať spojenie, teda drop all packets. Primárne číta z targetlistu, preto použitie teda dajte do targetlistu nejakú IP a ona bude izolovaná od internetu. Úplné stačí vyplnený targetlistu 1, pretože vďaka pluginu isolate, bude Dana IP pripojená ako keby sama na seba (vôbec netreba teda mitm útok)

DOS_attack plugin funguje jednoducho, zadáte IP adresu ktorú chcete dos-ovat.. no na to potrebujete aj nepoužívanú IP siete. Spustite plugin find_ip, nájde najbližšiu nepoužívanú IP cez niečo na štýl fping. Tu IP zadáte keď sa bude dos plugin pýtať.

Sú tu aj užitočné pluginy na detekciu hajzlíkov na sieti, prvým je search_promisc, ktorý nájde promisc karty v sieti, ďalším je find_ettercap, ktorý konkrétne hľadá aktivitu ettercapu v sieti. Keď nájdete niekoho kto sa brble v sieti, radím dať naňho isolate pripadne dos útok. Na detekciu arp poisoning útoku je dobrý plugin arp_cop. Posledným je scan_poisoner, nim zistite ktorá IP predstiera, že je getaway.

Troubleshoting

Pokiaľ mate s niečím problém v ettercape, poriadne si precitajte príslušnú časť návodu a nezabudnite dať START SNIFFING. Ak Vám ettercap ani nenájde hosts, uistite sa, že ste pripojený na sieť a mate správne nastavenú netmask
Pokiaľ ste zistili, že na počítači obete nejde internet, nezabudnite povoliť IP_forward (urobí to renew):

echo „1“ > /proc/sys/net/ipv4/ip_forward

Upozorňujem, mnoho služieb ako internet banking, pokec.sk pripadne Ine, riešia prihlasovanie inými spôsobmi teda nie post/get, preto môže nastať, že ettercap heslo neukáže. Mnoho s tým nespravíte, jedine detailný snifovat sieť cez wireshark pripadne tcpdump.

Pre AMP napísal maskov

Kam dál?



Přihlásit / Odhlásit odběr novinek

Počet přihlášených k odběru novinek

    2573