ETTERCAP - Jednostavan priručnik - ARP Poisoning

Ettercap ARP Poisoning
Zadnje osvježenje: May 07 2008


Tool
Install
Ergonomy
Forum



Detalji Što je Ettercap?
Preduvjeti i Instalacija
ARP Poisoning
"Man in the middle" napadi
Statistike
Protumjere

Croatian translation by Tomislav Marcinkovic.



⚠️⚠️⚠️
Please check our page about COVID-19!!
100 Questions and answers about Coronavirus.

⚠️⚠️⚠️
Merci de consulter notre page sur la COVID-19 !!
227 questions et réponses sur le Coronavirus.



U ovom prvom vodiču postavit ćemo naše Ettercap računalo kao “man in the middle”, nakon ARP spoofing napada.

Mrežni dijagram je raspoloživ na uvodnoj stranici Ettercap-a.

Prvo što morate napraviti jest postaviti IP adresu na računalu koje ima Ettercap, u istom IP subnetu u kojem je računalo koje želite napasti. U našem vodiču koristit ćemo 192.168.1.100 IP adresu. Pogledajte networking vodič s detaljnim uputama kako postaviti IP adresu na linux računalu.

Kao podsjetnik, Ettercap zahtjeva root ovlasti na računalu, te će nakon pokretanja biti podržan od korisnika "nobody".


1. ARP PODVALE 2. ARP PROMET 3. ARP TABELE 4. SPRIJEČAVANJE ARP PODVALE


1. ARP PODVALE

Pokrenite Ettercap s grafičkim sučeljem

#ettercap -G
openmaniak ettercap

Odaberite sniff način rada

Sniff -> Unified sniffing
openmaniak ettercap man in the middle attack sniff united sniffing arrow blue
openmaniak ettercap
 
 
 
 
 

Skenirajte mrežu u potrazi za računalima

Hosts -> Scan for hosts
Skenirani raspon mreže bit će određen po IP adresi sučelja koje ste odabrali u prethodnom koraku.

openmaniak ettercap man in the middle attack arrow blue
openmaniak ettercap  man in the middle attack sniff united sniffing
 
 
 
 
 
 
 
 

Pogledajte MAC i IP adrese hostova (računala) unutar subnet-a.

openmaniak ettercap man in the middle attack


Odaberite računala koja želite napasti.

Odlučili smo napasti samo windows računalo 192.168.1.2 i router 192.168.1.1.
Označite liniju koja sadrži 192.168.1.1 i kliknite na "target 1".
Označite liniju koja sadrži 192.168.1.2 i kliknite na "target 2".
Ako ne odaberete niti jedno računalo kao metu, tada će sva računala unutar subnet-a biti napadnuta.

openmaniak ettercap man in the middle attack

Odaberite mete

openmaniak ettercap man in the middle attack

man in the middle attack openmaniak ettercap

Pokrenite ARP poisoning

Mitm -> Arp poisoning
man in the middle attack openmaniak ettercap arrow blue
man in the middle attack openmaniak ettercap
 
 
 
 
 

Pokrenite sniffer

Na kraju pokrenite sniffer da prikupite statistike.

Start -> Start sniffing
man in the middle attack openmaniak ettercap

Top of the page



ARP PROMET (traffic):

Uz pomoć Wireshark-a na Windows računalu možemo usporediti ARP promet prije i poslije napada:

Kao podsjetnik: (pogledajte mrežni dijagram)
192.168.1.1
192.168.1.2
192.168.1.100
(Router)
(Windows)
(Pirate)
11:22:33:44:11:11
11:22:33:44:55:66
11:22:33:44:99:99
Prije napada
Prije nego što budu u mogućnosti međusobno komunicirati, router i Windows računalo šalju ARP broadcast da nađu međusobne MAC adrese.
No
1
2
3
4
Source
11:22:33:44:55:66
11:22:33:44:11:11
11:22:33:44:11:11
11:22:33:44:55:66
Destination
11:22:33:44:11:11
11:22:33:44:55:66
11:22:33:44:55:66
11:22:33:44:11:11
Prot
ARP
ARP
ARP
ARP
Info
who has 192.168.1.1? Tell 192.168.1.2
192.168.1.1 is at 11:22:33:44:11:11
who has 192.168.1.2? Tell 192.168.1.1
192.168.1.2 is at 11:22:33:44:55:66

                                        arrow blue

Nakon ARP poisoning napada
Router-ov ARP broadcast (emitiranje) dobio je odgovor od strane Windows računala isto kao i u prethodnom slučaju.
Razlika između ova dva slučaja jest u činjenici da nema zahtjeva koji dolazi od Windows računala (192.168.1.2) koje traži MAC adresu asociranu s routerom (192.168.1.1), zbog toga što napadač kontinuirano šalje ARP pakete, te njima govori Windows računalu da je 192.168.1.1 asociran na napadačevu (11:22:33:44:99:99) MAC adresu umjesto na router-ovu MAC adresu 11:22:33:44:11:11.

No
1
2
3
4
Source
11:22:33:44:11:11
11:22:33:44:55:66
11:22:33:44:99:99
11:22:33:44:99:99
Destination
11:22:33:44:55:66
11:22:33:44:11:11
11:22:33:44:55:66
11:22:33:44:55:66
Prot
ARP
ARP
ARP
ARP
Info
who has 192.168.1.2? Tell 192.168.1.1
192.168.1.2 is at 11:22:33:44:55:66
192.168.1.1 is at 11:22:33:44:99:99
192.168.1.1 is at 11:22:33:44:99:99
Top of the page



ARP TABELE:

Ako pogledamo ARP tablicu Windows računala i routera, vidjet ćemo da je Ettercap Linux računalo zatrovalo njihovu arp tablicu i zamijenilo njihove MAC adrese sa svojom MAC adresom.
To znači da će paketi koji putuju između Windows računala i routera pri putovanju prolaziti kroz Ettercap računalo.
Pogledajmo jesmo li uspješno zatrovali ARP tabele Windows računala i routera:

-------------------- Windows računalo 192.168.1.2 --------------------
Pokrenite komandno linijsko sučelje na sljedeći način:
Start -> Run -> cmd

C:\Documents and Settings\administrator>arp -a
Sučelje : 192.168.1.2 --- 0x2
Internet adresa
192.168.1.1
192.168.1.100
Fizička adresa
11-22-33-44-11-11
11-22-33-44-99-99
Vrsta
dinamička
dinamička

              arrow blue

Sučelje : 192.168.1.2 --- 0x2
Internet adresa
192.168.1.1
192.168.1.100
Fizička adresa
11-22-33-44-99-99
11-22-33-44-99-99
Vrsta
dinamička
dinamička

-------------------- Linux računalo 192.168.1.100 --------------------
#arp -a
?
?
(192.168.1.1)
(192.168.1.2)
at
at
11:22:33:44:11:11
11:22:33:44:55:66
[ether]
[ether]
on
on
eth0
eth0
-------------------- router openmaniak cisco Router 192.168.1.1 --------------------
>show arp
Protokol
Internet
Internet
Adresa
192.168.1.2
192.168.1.100
Trajanje(min)
194
128
Fizička adresa
1122.3344.5566
1122.3344.9999
Vrsta
ARPA
ARPA
sučelje
FastEthernet0/0
FastEthernet0/0
              arrow blue

Protokol
Internet
Internet
Adresa
192.168.1.2
192.168.1.100
Trajanje(min)
194
128
Fizička adresa
1122.3344.9999
1122.3344.9999
Vrsta
ARPA
ARPA
sučelje
FastEthernet0/0
FastEthernet0/0
Ukoliko imate Netscreen (Juniper) uređaj, koristite sljedeću komandu za prikaz ARP tablice:

>get arp
Na Vyatta routeru:

>show arp

Zaustavljanje ARP spoofing-a:



SPRIJEČAVANJE ARP PODVALE:

openmaniak ettercap

Ettercap je prilično efektivan. Nakon napada "re-arpa" žrtve. Drugim riječima, žrtvin ARP cache će opet imati ispravne unose.

Ukoliko cache i dalje ima zatrovane IP - MAC adrese možete ili pričekati par minuta da se ARP cache osvježi ili, još bolje, očistiti ARP cache.

Na Windows računalu:

C:\Documents and Settings\admin>arp -d *
Na Ubuntu ili Debian Linux distribuciji:

#arp -d ip_address

Warning: Use of undefined constant php - assumed 'php' (this will throw an Error in a future version of PHP) in /home/clients/2092070cc529a092f88d8480f1925281/web/hr/ettercap_arp.php on line 543
Na Cisco routeru:

#clear arp-cache



ZAKLJUČAK

Nakon ove lekcije ARP tabela routera i Windows računala su zatrovana: Linux računalo je "in the middle".
Za pokretanje napada idite na Ettercap filter vodič.

Top of the page