ETTERCAP - Tutorialul usor - Atacuri man in the middle

Ettercap Atacuri man in the middle
Ultima Actualizare: Feb 04 2008

Tool
Install
Ergonomy
Forum

Detalii What is Ettercap?
Prerequisites & Installation
ARP Poisoning
"Man in the middle" attacks
Statistics
Countermeasures

Romanian translation by Bogdan Alexandru Costea.

⚠️⚠️⚠️
Please check our website about
attractions in Western Switzerland !! (Please use english translation).

⚠️⚠️⚠️
Merci de consulter notre site sur les
activités à faire en Suisse romande !!

În urma tutorialului de otrăvire ARP, cache-ul victimei a fost schimbat pentru a forţa conexiunile de la maşina Windows să treacă prin maşina ettercap pentru a ajunge la destinaţie.

Diagrama scenariului este disponibilă în pagina de introducere.

CUm capcana a fost creată, suntem gata să pornim atacuri de tip man in the middle, în alte cuvinte să modificăm sau să filtrăm pachetele ce au ca sursă sau destinaţie victima.

Pentru a lansa atacuri, se pot folosi plugin-uri ettercap sau filtre create de utilizator.

1. PLUGINS 2. FILTERS

PLUGIN-URI

Vom utiliza plugin-ul ettercap numit dns_spoof pentru a testa un atac foarte faimos, numit DNS spoofing, în care atacatorul răspunde cererilor DNS în locul serverului DNS.
Atunci când accesaţi sit-ul web favorit cu ajutorul browserului, sistemul (cu adresa IP 192.168.1.2 în acest tutorial) va cere server-ului DNS adresa IP asociată adresei URL, după care va afişa pagina.
Cu ajutorul DNS spoofing, în momentul cererii DNS, atacatorul răspunde în locul server-ului DNS şi oferă o adresă IP diferită de cea asociată URL-ului.
Consecinţele vor fi că victima va avea senzaţia că a deschis pagina dorită însă aceasta va fi de fapt pagina atacatorului din cauza adresei IP diferite.

Atacurile pot fi foarte periculoase în cazul în care atacatorul falsifică sit-uri importante ca de exemplul sit-ul băncii victimei. Sit-ul fals va afişa aceaşi interfaţă ca cel real, şi astfel, atacatorul poate obţine credenţialele victimei.

Să pornim atacul DNS.
Primul lucru este configurarea ettercap, ce poate fi găsită în directorul /usr/share/ettercap/.

#vim /usr/share/ettercap/etter.dns

În interiorul fişierului poate fi găsită o explicaţie a configurărilor.
Acesta este conţinutul fişierului etter.dns.

linux1.org
*.linux.com
www.linux.org A
A
PTR 198.182.196.56
198.182.196.56
198.182.196.56
In momenul în care se deshide www.linux1.org în browser, va fi afişat conţinutul sit-ului www.linux.org.

Pentru a porni spoofing-ul DNS, trebuie activat plugin-ul dns_spoof în interfaţa grafică ettercap. Ţineţi minte că trebuie urmat tutorialul de otrăvire ARP înainte de a urma paşii de mai jos.

Plugins -> Manage the plugins

Faceţi click pe linia dns_spoof pentru a activa plugin-ul. În dreptul său se va afişa o steluţă.

Apoi tastaţi www.linux1.org într-un browser web.
Se va afişa conţinutul paginii disponibile la adresa IP specificată în fişierul etter.dns în locul adresei reale a sit-ului www.linux1.org.

openmaniak ettercap man in the middle attack

man in the middle attack openmaniak ettercap

Pentru a opri spoofing-ul DNS:

Start -> Stop sniffing

Deşi am oprit atacul, în browser încă se mai afişează conţinutul fals. Motivul este cache-ul DNS de pe client. Implicit, Windows păstrează cache-ul DNS pe client timp de 300 de secunde sau 5 minute. Pentru a repara problema, se poate aştepta timp de 5 minute sau se poate curăţa cache-ul DNS prin următoarea comandă.

Se lansează un interpretor de comenzi:
Start -> Run -> cmd

C:\Documents and Settings\administrator>ipconfig /flushdns

Pe o maşină Ubuntu se utilizează următoarea comandă: "/etc/init.d/dns-clean start"
Pentru a vizualiza cache-ul DNS:

C:\Documents and Settings\administrator>ipconfig /displaydns

Dacă doriţi să modificaţi timpul de păstrare a înregistrărilor DNS trebuie să modificaţi o înregistrare din Windows registry.
Atenţie, modificările eronate în Windows registry pot aduce sistemul într-o stare de nefuncţionare.

Start -> Run -> navigaţi în arbore:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters\

Faceţi dublu click pe "NegativeCacheTime" în panoul din dreapta:

openmaniak ettercap registry negativecachetime man in the middle attack

Faceţi click pe butonul "Decimal" şi introduceţi noua valoare.

man in the middle attack openmaniak ettercap registry negativecachetime

Inceputul paginii

FILTRE

Filtrele permit modificarea conţinutului pachetelor interceptate.
Pentru a crea un filtru, trebuie creat un fişier de configurare. Puteţi găsi exemple în fişierul /usr/share/ettercap/etter.filter.examples.

În acest exemplu simplu vom modifica prompt-ul unei conexiuni FTP. Puteţi găsi configuraţia mai jos, ce poate fi salvata într-un fişier numit test_filter, în directorul /usr/share/ettercap.

# modifica prompt-ul FPT
if (tcp.src == 21 && search(DATA.data, "ProFTPD")) {
replace("ProFTPD","TeddyBearFTPD);
}

Apoi trebuie compilat fişierul utilizând etterfilter pentru că ettercap încarcă numai fişiere compilate.

#etterfilter etter_filter -o etter_filter_compil

Această comanda va crea un fişier numit etter_filter_comp.

Se încarcă filtrul în ettercap:

Filters -> Load a filter...

Acum e timpul să cream o conexiune FPT cu clientul nostru 192.168.1.2. Testele sunt efectuate înainte şi după filtrarea ettercap. "xyz" este adresa URL iar "1.2.3.4" adresa IP.

(În acest moment trebuie să fim plasaţi ca intermediar. Dacă nu este cazul, trebuie să urmaţi tutorialul de otrăvire ARP.)

C:\Documents and Settings\Administrator>ftp www.xyz.com

Connected to xyz.com.
220 "ProFTPD 1.3.0a Server ("ProFTPD) [1.2.3.4]
User (xyz.com:(none)):

C:\Documents and Settings\Administrator>ftp www.xyz.com

Connected to xyz.com.
220 "TeddyBear FTPD 1.3.0a Server ("TeddyBear FTPD) [1.2.3.4]
User (xyz.com:(none)):

Inceputul paginii