TOTAL
Depuis Dec 2006
1'942'871 Visiteurs
4'218'042 Pages

Stats Nov 2010
82'909 Visiteurs
146'476 Pages
196 pays
Statistiques completes



Aidez-nous à traduire
nos tutoriaux!

REJOINGNEZ
l'équipe OpenManiak.
ETTERCAP - Le Tutorial Facile - Usurpation ARP

Ettercap Usurpation ARP
Dernière modif: Feb 01 2008


Outil
Installation
Ergonomie
Forum



Détails Ettercap, c'est quoi?
Prérequis & Installation
Usurpation ARP (ARP spoofing)
Attaques par "man in the middle"
Statistiques
Contre-mesures



⚠️⚠️⚠️
Please check our website about
attractions in Western Switzerland !! (Please use english translation).

⚠️⚠️⚠️
Merci de consulter notre site sur les
activités à faire en Suisse romande !!



Dans ce premier tutorial, nous allons placer notre machine Ettercap en "man in the middle" après une usurpation ARP.

Le diagramme du scenario réseau est disponible dans la page d'introduction d'Ettercap.

La première tâche à effectuer est de configurer une adresse IP sur votre machine Ettercap dans le même sous-réseau que la machine que vous voulez usurper. Pour notre tutorial, l'adresse IP 192.168.1.100 est utilisée.
Se référer au tutorial réseau pour des explications détaillées sur la façon de configurer une adresse IP sur votre machine Linux.

Pour mémoire, Ettercap a besoin de privilèges root pour être lancé, puis est supporté par l'utilisateur nobody


1. USURPATION ARP 2. TRAFIC ARP 3. TABLES ARP 4. ARRÊT DE L'USURPATION ARP


1. USURPATION ARP

Ouvrez Ettercap en mode graphique

#ettercap -G
openmaniak ettercap

Sélectionnez le mode de "reniflement"

Sniff -> Unified sniffing
openmaniak ettercap
openmaniak ettercap
 
 
 
 
 

Scannez votre sous-réseau pour découvrir des hôtes.

Hosts -> Scan for hosts
Le réseau scanné sera déterminé par les paramètres IP de l'interface que vous venez de choisir à l'étape précédente.

openmaniak ettercap
openmaniak ettercap
 
 
 
 
 
 
 
 

Pour voir les adresses IP et MAC des hôtes à l'intérieur de votre sous-réseau.

openmaniak ettercap


Sélectionnez les machines à usurper

Nous avons choisi d'empoisonner seulement la machine Windows 192.168.1.2 et le routeur 192.168.1.1.
Sélectionnez la ligne contenant 192.168.1.1 et cliquez sur le bouton "target 1".
Sélectionnez la ligne contenant 192.168.1.2 et cliquez sur le bouton "target 2".
Si vous ne choisissez aucune machine en cible (target), toutes les machines à l'intérieur du sous-réseau seront usurpées.

openmaniak ettercap

Vérifiez vos cibles (targets)

openmaniak ettercap

openmaniak ettercap

Démarrez l'usurpation ARP

Mitm -> Arp poisoning
openmaniak ettercap
openmaniak ettercap
 
 
 
 
 

Démarrez le sniffer

Finallement, démarrez le sniffer pour collecter des statistiques.

Start -> Start sniffing
openmaniak ettercap

Haut de la page



TRAFIC ARP:

Sur la machine Windows, avec l'aide de Wireshark, nous pouvons comparer le trafic ARP avant et après l'usurpation:

Pour mémoire: (Voir le diagramme réseau)
192.168.1.1
192.168.1.2
192.168.1.100
(Routeur)
(Windows)
(Pirate)
11:22:33:44:11:11
11:22:33:44:55:66
11:22:33:44:99:99
Avant l'usurpation:
Avant d'être capable de communiquer entre eux, le routeur et la machine Windows envoient un broadcast ARP pour trouver la MAC adresse de l'autre.

No
1

2

3
4
Source
11:22:33:44:55:66

11:22:33:44:11:11

11:22:33:44:11:11
11:22:33:44:55:66
Destination
11:22:33:44:11:11

11:22:33:44:55:66

11:22:33:44:55:66
11:22:33:44:11:11
Prot
ARP

ARP

ARP
ARP
Info
who has 192.168.1.1? Tell 192.168.1.2
Qui a 192.168.1.1? Dis 192.168.1.2
192.168.1.1 is at 11:22:33:44:11:11
192.168.1.1 est à 11:22:33:44:11:11
who has 192.168.1.2? Tell 192.168.1.1
192.168.1.2 is at 11:22:33:44:55:66

                                       

Après l'usurpation:
La requête de broadcast ARP par le router est répondue par la machine Windows de manière similaire à la précédente capture.
La différence entre les deux étapes vient du fait qu'il n'y a pas de requête de Windows (192.168.1.2) pour trouver l'adresse MAC associée au routeur (192.168.1.1) parce que le pirate envoie continuellement des paquets à la machine Windows disant que 192.168.1.1 est associée à sa propre adresse MAC (11:22:33:44:99:99) à la place de l'adresse MAC du routeur. (11:22:33:44:11:11)

No
1
2
3
4
Source
11:22:33:44:11:11
11:22:33:44:55:66
11:22:33:44:99:99
11:22:33:44:99:99
Destination
11:22:33:44:55:66
11:22:33:44:11:11
11:22:33:44:55:66
11:22:33:44:55:66
Prot
ARP
ARP
ARP
ARP
Info
who has 192.168.1.2? Tell 192.168.1.1
192.168.1.2 is at 11:22:33:44:55:66
192.168.1.1 is at 11:22:33:44:99:99
192.168.1.1 is at 11:22:33:44:99:99
Haut de la page



TABLES ARP:

Si nous regardons les tables ARP du routeur et de la machine Windows, nous pouvons voir que la machine Linux Ettercap a usurpé leur table ARP et remplacé les adresses MAC par sa propre adresse MAC.
Ceci veut dire que les paquets entre la machine Windows et le routeur vont transiter par la machine Ettercap.
Voyons si nous avons usurpés avec succès les tables ARP du routeur et la machine Windows:

-------------------- Machine Windows 192.168.1.2 --------------------
Lancez une fenêtre de ligne de commande de la manière suivante:
Démarrer (Start) -> Exécuter (Run) -> cmd

C:\Documents and Settings\administrator>arp -a
Interface : 192.168.1.2 --- 0x2
Adresse Internet
192.168.1.1
192.168.1.100
Adresse physique
11-22-33-44-11-11
11-22-33-44-99-99
Type
dynamique
dynamique

             

Interface : 192.168.1.2 --- 0x2
Adresse Internet
192.168.1.1
192.168.1.100
Adresse physique
11-22-33-44-99-99
11-22-33-44-99-99
Type
dynamique
dynamique

-------------------- Machine Linux 192.168.1.100 --------------------
#arp -a
?
?
(192.168.1.1)
(192.168.1.2)
at
at
11:22:33:44:11:11
11:22:33:44:55:66
[ether]
[ether]
on
on
eth0
eth0
-------------------- Routeur 192.168.1.1 --------------------
>show arp
Protocol
Internet
Internet
Address
192.168.1.2
192.168.1.100
Age (min)
194
128
Hardware Addr
1122.3344.5566
1122.3344.9999
Type
ARPA
ARPA
interface
FastEthernet0/0
FastEthernet0/0
             

Protocol
Internet
Internet
Address
192.168.1.2
192.168.1.100
Age (min)
194
128
Hardware Addr
1122.3344.9999
1122.3344.9999
Type
ARPA
ARPA
interface
FastEthernet0/0
FastEthernet0/0
Si vous avez un équipement Netscreen (Juniper), utilisez la commande suivante pour afficher la table ARP:

>get arp
Sur un routeur Vyatta:

>show arp

Haut de la page



ARRÊT DE L'USURPATION ARP:

openmaniak ettercap

Ettercap est plutôt sympathique, après l'attaque, il va "ré-arper" les victimes. En d'autres termes, le cache ARP des victimes va contenir de nouveau des entrées correctes.

Si le cache contient toujours des associations IP - MAC usurpées, vous pouvez soit attendre quelques minutes, le temps nécessaire pour le cache ARP de l'entrée de se rafraichi, soit, de vider le cache ARP.

Sur une machine Microsoft Windows:

C:\Documents and Settings\admin>arp -d *
Sur un Linux Ubuntu ou Debian:

#arp -d adresse_ip

Fatal error: Uncaught Error: Undefined constant "php" in /home/clients/2092070cc529a092f88d8480f1925281/web/fr/ettercap_arp.php:549 Stack trace: #0 {main} thrown in /home/clients/2092070cc529a092f88d8480f1925281/web/fr/ettercap_arp.php on line 549