ETTERCAP - The Easy Tutorial - Serangan « penengah »

Ettercap Serangan « penengah »
Terakhir dibuat: Feb 02 2008


Tool
Install
Ergonomy
Forum



Selengkapnya Apa itu Ettercap?
Persyaratan dan Instalasi
ARP Poisoning
Serangan « penengah »
Statistik
Pembalasan

Indonesian translation by Muhammad Takdir.



⚠️⚠️⚠️
Please check our page about COVID-19!!
100 Questions and answers about Coronavirus.

⚠️⚠️⚠️
Merci de consulter notre page sur la COVID-19 !!
227 questions et réponses sur le Coronavirus.


Setelah Penuntun ARP Poisoning, cache korban ARP telah diubah untuk memaksa hubungan dari mesin Windows menuju mesin Ettercap hingga mencapai tujuan sebenarnya.

Diagram skenario jaringan tersedia pada halaman perkenalan Ettercap.

Sebagaimana perangkat dipasang, kita sekarang siap untuk melakukan serangan « penengah », dengan kata lain untuk memodifikasi atau menyaring paket-paket yang datang dan menuju ke korban.

Untuk menjalankan serangan, anda juga bisa menggunakan plugin Ettercap untuk menjalankan saringan yang anda buat sendiri.


1. PLUGINS 2. FILTERS


PLUGINS

We will use here the Ettercap plugin called dns_spoof to test a very famous attack, the DNS spoofing where the pirate answers DNS requests at the place of the DNS server
Jika mengakses website kesukaan anda dengan browser, mesin anda (yang memiliki alamat IP 192.168.1.2 dalam studi kasus kami) pertama-tama akan menanyakan pada server DNS alamat IP yang cocok dengan URL anda dan kemudian browser akan menampilkan halaman web tersebut.
Dengan DNS Spoofing, jika permintaan DNS dikirim, spoofoer akan menjawab sebagai server DNS dan menyediakan alamat IP yang lain.
Konsekuensinya adalah bahwa anda akan merasa sudah mendapatkan alamat situs yang dituju tapi pada kenyataannya itu adalah situs pembajak karena perbedaan alamat IP.

Serangan akan semakin berbahaya jika pembajak melakukan spoofs pada website penting misalnya website bank anda. Webserver palsu pembajak akan memiliki tampilan yang sama dengan website asli bank. Jadi pembajak akan menunggu anda memasukkan identitas penting pada websitenya dan menyimpannya.

Mari kita lanjutkan dengan serangan DNS Spoofing.
Hal pertama yang perlu dilakukan adalah mengatur konfigurasi pada berkas etter.dns dalam direktori /usr/share/ettercap.

#vim /usr/share/ettercap/etter.dns
Dalam berkas itu anda akan mendapatkan penjesalan tentang konfigurasinya. Ini adalah contoh isi dari berkas etter.dns.

linux1.org
*.linux.com
www.linux.org
A
A
PTR
198.182.196.56
198.182.196.56
198.182.196.56
Ini berarti bahwa jika anda membuka www.linux1.org di browser web anda, anda akan melihat website www.linux.org. It means that when you open www.linux1.org in your web browser, you will see the content of the www.linux.org website.

Untuk memulai DNS Spoofing, anda butuh untuk mengaktifkan plugin dns_spoof pada tampilan grafis Ettercap. Ingat bahwa anda harus mengikuti Penuntun ARP Poisoning sebelum memulai langkah berikut.

Plugins -> Manage the plugins
openmaniak ettercap man in the middle attack Manage the plugins

Klik pada baris dns_spoof untuk mengaktifkan plugin. Ini akan ditandai dengan sebuah bintang.

openmaniak ettercap  man in the middle attack dns_spoof line

Kemudian masukkan www.linux1.org dalam web browser.
Anda bisa melihat bahwa isi halaman yang terbuka salah satu yang sesuai dengan alamat IP yang anda tambahkan dalam berkas etter.dns dan bukan alamat IP yang asli yang sesuai dengan alamat www.linux1.org.

openmaniak ettercap  man in the middle attack

                       man in the middle attack openmaniak ettercap
openmaniak ettercap  man in the middle attack

Untuk menghentikan DNS Spoofing:

Start -> Stop sniffing
Meskipun kita telah menghentikan serangan, anda bisa melihat bahwa alamat www.linux1.org dalam browser anda tetap menampilkan isi dari website www.linux.org. Ini karena cache DNS dari klien kami pada mesin 192.168.1.2. Secara default, Windows akan menyimpan daftar DNS selama 300 detik atau 5 menit dalam cache. Jadi sebaiknya tunggu selama 5 menit atau lebih baik anda membersihkan cache DNS dengan mengikuti perintah berikut ini:

Jalankan perintah baris windows berikut ini:
Start -> Run -> cmd

C:\Documents and Settings\administrator>ipconfig /flushdns
Pada mesin Ubuntu gunakan perintah berikut : « /etc/init.d/dns-clean start »
Untuk melihat cache DNS :

C:\Documents and Settings\administrator>ipconfig /displaydns
Jika anda ingin mengubah waktu cache DNS yang default, anda harus memodifikasi daftar yang ada dalam registry Windows.

Start -> Run -> arborescence below:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters\

Klik pada « NegativeCacheTime » dalam panel dikanan:

openmaniak ettercap registry negativecachetime man in the middle attack

Klik pada tombol « Decimal » dan kemudian masukkan nilai baru untuk waktu chache DNS.

 man in the middle attack openmaniak ettercap registry negativecachetime

Kembali ke bagian atas halaman



PENYARING

Penyaring mengizinkan anda untuk mengubah isi dari paket-paket.
Untuk membuat penyaring, berkas konfigurasi harus telah dikonfigurasi sebelumnya. Anda bisa menemukan beberapa contoh dalam berkas /usr/share/ettercap/etter.filter.examples.

Kita memilih dalam sebagai contoh sederhana untuk mengubah prompt dari koneksi FTP. FTP. Di bawah ini adalah berkas konfigurasi kami yang bernama test_filter dalam direktori /usr/share/ettercap.



# replace the FTP prompt
if (tcp.src == 21 && search(DATA.data, "ProFTPD")) {
   replace("ProFTPD","TeddyBearFTPD);
}


Kemudian anda perlu untuk menyusun (compile) berkas dengan etterfilter karena Ettercap hanya memuat berkas-berkas yang sudah disusun.

#etterfilter etter_filter -o etter_filter_compil
Ini akan membuat berkas yang sudah tersusun yang bernama etter_filter_comp.

Muat penyaring dalam Ettercap:

Filters -> Load a filter...
openmaniak ettercap man in the middle attack Load a filter

openmaniak ettercap man in the middle attack Load a filter

Sekarang, kita mencoba sebuah koneksi FTP dengan klien di mesin 192.168.1.2. Percobaan kita lakukan sebelum dan setelah penyaringan Ettercap.
« xyz » adalah nama website dan « 1.2.3.4 » adalah alamat IP.

(Tentunya, anda harus berada dalam posisi « penengah ». Jika dalam kasus ini belum siap, ikuti penuntun ARP poisoning. )

C:\Documents and Settings\Administrator>ftp www.xyz.com
Connected to xyz.com.
220 "ProFTPD 1.3.0a Server ("ProFTPD) [1.2.3.4]
User (xyz.com:(none)):


C:\Documents and Settings\Administrator>ftp www.xyz.com
Connected to xyz.com.
220 "TeddyBear FTPD 1.3.0a Server ("TeddyBear FTPD) [1.2.3.4]
User (xyz.com:(none)):



Kembali ke bagian atas halaman