ETTERCAP - Jednostavan priručnik - Što je Ettercap?

Ettercap Što je Ettercap?
Zadnje osvježenje: May 07 2008

Tool
Install
Ergonomy
Forum


Detalji Što je Ettercap?
Preduvjeti i Instalacija
ARP Poisoning
"Man in the middle" napadi
Statistike
Protumjere

Croatian translation by Tomislav Marcinkovic.


⚠️⚠️⚠️
Please check our website about
attractions in Western Switzerland !! (Please use english translation).

⚠️⚠️⚠️
Merci de consulter notre site sur les
activités à faire en Suisse romande !!

Ettercap


Ettercap je alat kojeg su napisali Alberto Omaghi (AloR) i Marco Valleri (NaGA). U osnovi to je alat za “man in the middle” napade u mreži. Za one koji ne vole CLI (Command line interface), postoji i jednostavno grafičko sučelje.

Ettercap je u stanju provesti napade na ARP protokol pozicionirajući se kao “man in the middle”. Tako pozicioniran u mogućnosti je:
- zaraziti, premjestiti i obrisati podatke u konekciji
- otkriti lozonke za FTP, HTTP, POP, SSH1 i druge protokole

Postoje i dodaci za napade (plugins), kao što je DNS spoofing.

Što je “man in the middle” napad? To je napad gdje pirat postavlja svoje računalo u logički put između ostalih dvaju računala koja međusobno komuniciraju, kao što je prikazano na slici niže.
Kad je u poziciji, pirat može pokrenuti mnogo različitih opasnih napada, zato jer se on/ona nalazi između dvaju normalnih računala.

Postoji nekoliko inačica “man in the middle” napada, a u ovom vodiču vidjet ćemo one bazirane na ARP protokolu.
ARP protokol je treći sloj korišten za prevođenje IP adresa (pr. 192.168.1.1) na fizičke adrese mrežne kartice ili MAC adrese (pr. 0fe1.2ab6.2398).
Kad uređaj pokušava ući na mrežni resurs, prvo šalje upite ostalim uređajima o MAC adresi kojoj je dodijeljena IP adresa koju uređaj pokušava prikupiti. Pozivatelj će IP - MAC dodjelu čuvati u svojoj cache memoriji - ARP cache, za ubrzanje novih konekcija na istu IP adresu.

Napad nastupa nakon što računalo zatraži informaciju od ostalih računala o MAC adresi dodijeljenoj nekoj IP adresi. Pirat će odgovoriti pozivaču lažnim paketima koji imaju informaciju da je IP adresa asocirana na njegovu vlastitu MAC adresu, čime je zapravo skraćen put prave MAC - IP asocijacije od strane drugog hosta. Ovaj napad je određen kao ARP poisoning ili ARP spoofing i moguć je samo ako su pirat i žrtva unutar iste broadcast domene koja je definirana na hostu sa IP adresom i Subnet maskom, primjer: 192.168.1.1 255.255.255.0.

U našem vodiču koristit ćemo analizu slučaja sa slike, gdje računalo s IP adresom 192.168.1.2 doseže resurse s interneta iz lokalne mreže. Nakon ARP poisoning napada, Ettercap računalo s IP adresom 192.168.1.100 namješteno je kao "man in the middle".

ettercap man in the middle attack

                                         

Upamtite sljedeće stvari o radu računala na kojem je pokrenut Ettercap:

-
 
-
 
-
 
 
 
 Prilikom svakog pokretanja Ettercap-a, Ettercap onemogućava IP forwarding u kernelu i sam počinje prosljeđivati pakete.
Ettercap može usporiti performanse mreže između dva hosta zbog procesirnja paketa na računalu.
• Ettercap zahtijeva root ovlasti za otvaranje Link Layer socketa. Nakon inicijalizacijske faze root ovlasti više nisu potrebne, pa ih Ettercap spušta na UID = 65535 (nobody). Budući da mora kreirati log datoteke, Ettercap mora biti pokrenut u direktoriju s ovlastima za pisanje.
Cilj našeg vodiča jest upozoriti Vas na opasnost “man in the middle” napada iz ARP podvala (spoofing). U ARP poisoning vodiču pojasnit ćemo kako konfigurirati Ettercap računalo kao “man in the middle”, a u filtering vodiču ćemo Vam pokazati neke od napada. Naposlijetku nekoliko protumjera za suzbijanje napada ARP poisoning.


Razgovor o autorima Ettercap-a možete naći na newsforge internet stranici. Stranica nije dugo ažurirana (2004), ali je i dalje interesantna.