TOTAL
Depuis Dec 2006
1'942'871 Visiteurs
4'218'042 Pages

Stats Nov 2010
82'909 Visiteurs
146'476 Pages
196 pays
Statistiques completes



Aidez-nous à traduire
nos tutoriaux!

REJOINGNEZ
l'équipe OpenManiak.
ETTERCAP - Le Tutorial Facile - Introduction

Ettercap Introduction
Dernière modif: Feb 12 2008


Outil
Installation
Ergonomie
Forum



Détails Ettercap, c'est quoi?
Prérequis & Installation
Usurpation ARP (ARP spoofing)
Attaques par "man in the middle"
Statistiques
Contre-mesures



⚠️⚠️⚠️
Please check our website about
attractions in Western Switzerland !! (Please use english translation).

⚠️⚠️⚠️
Merci de consulter notre site sur les
activités à faire en Suisse romande !!


Ettercap



Ettercap est un outil conçu par Aberto Ornaghi (ALoR) et Marco Valleri (NaGA) et une suite d'outils pour des attaques par "man in the middle" sur un LAN. Pour ceux qui n'aiment pas la ligne de commande, il est fournit avec une belle interface graphique.

Ettercap est capable d'accomplir des attaques sur le protocole ARP pour se positionner en tant que "man in the middle". Une fois placé en tant que tel, il permet:
- d'infecter, de remplacer et de supprimer des données dans une connexion
- de découvrir des mots de passe pour des protocoles comme FTP, HTTP, POP, SSH1, etc ...
- de fournir aux victimes de faux certificats SSL dans des sessions HTTPS.
- etc ...

Des plugins sont aussi disponibles pour des attaques comme le DNS spoofing (usurpation DNS).

Qu'est ce qu'une attaque par "man in the middle"?
"Man in the middle" signifie littéralement "homme au milieu". C'est un type d'attaque lors de laquelle un pirate place sa machine sur le chemin logique entre deux machines discutant entre elles comme montré sur les schémas ci-dessous.
Une fois dans cette position, le pirate peut alors lancer un grand nombre d'attaques particulièrement dangereuses puisqu'il/elle est sur le chemin entre les deux machines.

Il y a plusieurs types d'attaques pour devenir "man in the middle", nous allons voir dans ce tutorial des attaques basées sur le protocole ARP.
Le protocole ARP est un protocole de niveau 3 utilisé pour traduire des adresses IP (par ex: 192.168.1.1) en adresses physiques de carte réseau ou adresse MAC (par ex:0fe1.2ab6.2398).
Quand un équipement essaie d'accéder à une ressource réseau, il va d'abord envoyer des requêtes vers les autres équipements pour connaître l'adresse MAC associée avec l'adresse IP qu'il veut atteindre. Cette équipement va garder l'association IP - MC adresse dans son cache, le cache ARP, pour accélérer de nouvelles connections vers cette même adresse IP.

L'attaque survient quand une machine demande aux autres de trouver l'adresse MAC associée à une adresse IP. Le pirate va répondre au demandeur avec des paquets indiquant que l'adresse IP est associée à sa propre MAC adresse. Par ce biais, il va court-circuiter la vraie réponse d'association IP - MAC venant d'autre hôte. Cette attaque est référencée en tant qu'usurpation ARP (ARP poisoning ou ARP spoofing). Elle n'est possible que si le pirate et les victimes sont à l'intérieur du même domaine de broadcast qui est défini au niveau d'un hôte par une adresse IP et un masque de sous-réseau, par exemple: 192.168.1.1 255.255.255.0

Dans notre tutorial, nous allons utiliser l'étude de cas ci-dessous où une machine avec l'adresse IP 192.168.1.2 atteins des ressources internet à partir d'un réseau local. Après l'usurpation ARP, la machine Ettercap avec l'adresse IP 192.168.1.100 est placée en tant que "man in the middle".


                                         

Il est bon de rappeler les informations suivantes à propos du comportement de la machine Ettercap:

-
 
-
 
-
 
 
 
 
Chaque fois qu'Ettercap démarre, il désactive la redirection IP (IP forwarding) dans le noyau et commence à rediriger des paquets lui-même.
Il peut ralentir les performances réseaux entre les deux hôtes en raison du temps de traitement sur sa machine.
Ettercap a besoin des privilèges root pour ouvrir les sockets de couche liaison de données (Link Layer sockets). Après la phase d'initialisation, les privilèges root ne sont plus nécessaires, Ettercap les modifie en nobody, UID = 65535. Si Ettercap doit écrire ou créer des fichiers journaux (log files), il doit être exécuté dans un dossier avec les permissions appropriées.
Le but de notre tutorial est de vous mettre en garde sur le danger des attaques "man in the middle" par usurpation ARP. Dans le tutorial sur l'usurpation ARP, nous allons expliquer comment configurer la machine Ettercap en "man in the middle", puis, dans le tutorial d'attaques "man in the middle", vous montrer des attaques réalisées avec Ettercap. Finalement, quelques contre-mesures sont données pour lutter contre ces satanées attaques par usurpation ARP.



Une interview en anglais des auteurs d'Ettercap peut être consultée sur le site internet de newsforge. Même si elle date déjà de 2004, elle reste intéressante.