Ettercap per sniffare le reti e fare attacchi Poison

« Older   Newer »
 
  Share  
.
  1. wild Monkey
    view post Posted on 17/6/2013, 21:56
     
    .

    User deleted
    Uno dei migliori sniffer grafici e Italiano, si chiama Ettercap . Vediamo le caratteristiche di Ettercap e il motivo per cui e molto valido.



    Si definisce sniffing l’attività di intercettazione passiva dei dati che transitano in una rete telematica.(nel nostro caso sarà la rete lan).
    Tale attività può essere svolta sia per scopi legittimi (ad esempio l’individuazione di problemi di comunicazione o di tentativi di intrusione) sia per scopi illeciti (intercettazione fraudolenta di password o altre informazioni sensibili).(il nostro scopo)

    Gli sniffer intercettano i singoli pacchetti, decodificando le varie intestazioni di livello datalink, rete, trasporto, applicativo. Inoltre possono offrire strumenti di analisi che analizzano ad esempio tutti i pacchetti di una connessione TCP per valutare il comportamento del protocollo o per ricostruire lo scambio di dati tra le applicazioni.

    Non solo e uno snfiffer che analizza la rete ma e anche un tool che permette l'attacco Man-In-The-Middle (MITM) sfruttando la tecnica di ARP poisoning. vediamo cosa è un attacco poison e come funziona con Ettercap.


    Nella maggior parte delle reti locali viene utilizzato il protocollo Ethernet che identifica gli host (macchine fisiche o virtuali) in base ad un indirizzo a 48 Bit che prende il nome di MAC Address, a differenza di internet dove ogni host viene mappato con un indirizzo da 32 Bit chiamato IP.
    Il protocollo ARP invece viene usato per legare gli indirizzi IP ai rispettivi MAC, e questo accade (all'interno del protocollo Ethernet) prima di ogni comunicazione.
    Esistono 2 tipi di messaggi ARP:
    Request (inviata da chi vuole aprire la connessione, questo messaggio viene inviato in broadcast ovvero a tutta la rete)
    Reply (inviata da chi deve rispondere alla richiesta, questo messaggio viene inviato in unicast ovvero SOLO a chi ha inviato la request)
    A livello Data link della pila ISO/OSI, ogni host considera come propri 2 indirizzi MAC distinti: il proprio MAC address e l'indirizzo ARP di broadcast. (l'indirizzo di broadcast viene utilizzato per spedire messaggi a tutti i dispositivi in ascolto sulla rete, e questo generalmente avviene per l'invio messaggi di servizio o per distribuire dati d'interesse comune.)

    Immaginiamo che un host A con IP 192.168.0.1 voglia comunicare con l'host B 192.168.0.2:
    A invierà su tutta la rete una ARP request con il proprio MAC Adrress, il proprio indirizzo IP e ovviamente l'indirizzo IP del destinatario. (il pacchetto ARP viene inviato all'indirizzo di broadcast)
    B, considerando proprio l'indirizzo di broadcast riceve il pacchetto di ARP, controlla che l'indirizzo di destinazione contenuto nel pacchetto sia il suo e risponde inviando SOLO ad A un ARP reply contenente il proprio MAC.

    Fare tutto questo per ogni singolo pacchetto genererebbe un traffico incredibile per cui è stata implementata una cache (ARP cache), ovvero una tabella presente su ogni host con memorizzati i MAC Address e i rispettivi IP.

    Effettuato questo handshake (letteralmente stretta di mano) i 2 host A e B sono pronti per comunicare.

    Come funziona l'attacco

    L'idea base è quella di "infilarsi" tra 2 host che stanno comunicando, ascoltare quello che dice A ed inoltrarlo a B e viceversa inviando messaggi ARP appositamente creati

    In primis bisogna specificare che il dominio dei pacchetti ARP si limita al livello 1 ovvero hub e repeater senza riuscire a superare dispositivi come switch o meccanismi di routing IP, quindi questa tecnica è valida solo su reti wifi o reti che si basano su hub convenzionali.

    Immaginiamo ora una siatuazione del tipo:
    A: IP = 192.168.1.1, MAC = 00:00:00:AA:AA:AA (Alice)
    B: IP = 192.168.1.2, MAC = 00:00:00:BB:BB:BB (Bob)
    H: IP = 192.168.1.3, MAC = 00:00:00:H:HH:HH (Hacker)

    Le relative tabelle (ARP cache) per tutti e 3 saranno:
    A: IP = 192.168.1.1, MAC = 00:00:00:AA:AA:AA
    B: IP = 192.168.1.2, MAC = 00:00:00:BB:BB:BB
    H: IP = 192.168.1.3, MAC = 00:00:00:H:HH:HH

    H però inizerà ad inviare pacchetti ARP reply ad Alice con l'IP di Bobo ma il proprio MAC, e a Bob con l'IP di Alice ma il proprio MAC, facendo così cambiare le tabelle di cache in questo modo:

    Tabella di A:
    A: IP = 192.168.1.1, MAC = 00:00:00:AA:AA:AA
    B: IP = 192.168.1.2, MAC = 00:00:00:HH:HH:HH
    H: IP = 192.168.1.3, MAC = 00:00:00:HH:HH:HH

    Tabella di B:
    A: IP = 192.168.1.1, MAC = 00:00:00:HH:HH:HH
    B: IP = 192.168.1.2, MAC = 00:00:00:BB:BB:BB
    H: IP = 192.168.1.3, MAC = 00:00:00:H:HH:HH

    Ovviamente la tabella di H resta immutata.

    così facendo Alice e Bob crederanno di comunicare normalmente, ma tutti i pacchetti scambiati tra di loro vengono letti tranquillamente da H.


    Ora passiamo alla pratica


    Ettercap c'è anche per Windows e Mac



    bisogna prima sistemare le impostazioni di sniffing, per fare questo bisogna cliccare su Sniff, Unified Sniffing, si aprirà quindi una finestra nella quale sarà possibile selezionare l'interfaccia di rete da utilizzare.
    Adesso è necessario cercare gli host connessi alla medesima rete a cui si è connessi, e per farlo è sufficiente cliccare su Host, Scan for Hosts e aspettare che Ettercap analizzi tutta la rete, andando infine su Hosts List sarà possibile visualizzare gli altri computer connessi.

    Per portare avanti l'attacco bisognerà selezionare i 2 IP, per fare questo basta selezionare tra la lista degli host connessi il primo IP, cliccare con il tasto destro del mouse e andare su Add to target 1, fare la stessa cosa per il secondo IP cliccando su Add to target 2.
    è possibile usare questo attacco su tutta la rete (basta non selezionare i target), ma è un'operazione sconsigliata, poichè è necessaria una buona potenza di calcolo e velocità di rete (essere al centro di 150 connessioni risulterebbe troppo pesante per una macchina "normale" e farebbe quindi momentaneamente cadere tutta la rete)
    Per visualizzare gli obiettivi selezionati basta cliccare su Targets, Current Targets.

    Ora per far partire l'attacco bisogna cliccare su Mitm, ARP Poisoning e comparirà una finestra che solitamente (a meno di particolari impostazioni) non va toccata.

    Per iniziare lo sniffing cliccare su Start, Start sniffing e il gioco è fatto, tutti i dati trasmessi in chiaro (non criptati) tra gli host selezionati saranno visualizzabili nell'apposito spazio di Ettercap.


    Piccoli consigli


    - A meno non siate in una rete casalinga con pochissimi host (2 o 3), vi sconsiglio di utilizzare un'interfaccia Wireless, poichè quasi sicuramente non farà altro che far confluire tutti i pacchetti su di voi, senza però riuscire fisicamente a rispondere, portando così ad un collasso della rete.
    - L'ARP poisoning come avrete visto ha la grave pecca di lasciare nelle tabelle dei 2 attaccati il proprio MAC Address per cui consiglierei di usare una macchina virtuale per eseguire l'attacco, o più semplicemente cambiare il proprio MAC (con linux bastano pochi comandi con privilegi di amministratore (root)








    Quelli che lo mettono su windows devono modificare il file " etter.conf " per potere attivare la scansione SSL.

    . Da ricordare che gli sniffer sono importantissimi per fare qualsiasi attacco, senza le loro informazioni i programmi di Crack non servono a niente.


    Guida N 2


    Alla comparsa dell’interfaccia grafica , sul menù della finestra di Ettercap andiamo su Sniff –> Unified Sniffing –> eth0 (nel mio caso ho inserito eth0 , per indicare la mia ethernet , ma se siamo all’interno di una LAN basta selezionare il device che si trova sempre nella scelta dal menù Unified Sniffing).

    Sullo spazio di dialogo tra l’utente e l’ Ettercap , se tutto è ok , vedremo comparire una scritta tipo questa:

    Listening on eth0… (Ethernet)

    eth0 -> 00:13:D3:F5:D3:72 192.168.0.150 255.255.255.0

    SSL dissection needs a valid ‘redir_command_on’ script in the etter.conf file
    Privileges dropped to UID 65534 GID 65534…

    28 plugins
    39 protocol dissectors
    53 ports monitored
    7587 mac vendor fingerprint
    1698 tcp OS fingerprint
    2183 known services

    Qui Ettercap ha letto tutte le informazioni riguardanti il nostro host , e che quindi Ettercap è pronto , per farlo partire con lo scanning dell’ host basta premere la combinazione Ctrl + S.

    Adesso andiamo nella sezione Mitm del menu principale di Ettercap e selezioniamo Arp Poisoning e quando ci comparirà la finestra di dialogo per la scelta dei parametri opzionali noi, sceglieremo una connessione remota e quindi dovremo mettere la spunta di selezione su Sniff Remote Connection.

    Adesso andiamo in START=>Start Sniffing del menù principale.
    Ok…adesso ettercap intercetterà tutto il traffico della vittima
    Oppure da terminale:

    sudo ettercap -Tqi eth0 -l log -M arp:remote /router/ /vittima/
    e per visualizzare eventuali password:

    sudo etterlog log.eci
    Se invece vogliamo sniffare direttamente tutte le password delle rete lan, non impostate nessun target, quindi saltate questa parte:

    Adesso andiamo in HOST=>E facciamo scan host;
    Ora premiamo H, ora vedremo un paio di host
    Selezioniamo il router(es:192.168.0.1) e facciamo:
    Add to target 1;
    Selezioniamo la vittima(es:192.168.0.2) e facciamo:
    Add to target 2;

    E quindi,riceveremo un output simile a questo:

    GROUP 1 : ANY (all the hosts in the list)

    GROUP 2 : ANY (all the hosts in the list)
    Unified sniffing already started…
    Unified sniffing already started…
    Unified sniffing was stopped.
    Starting Unified sniffing…

    A questo punto , tutte le persone che sono nella nostra LAN , sono delle potenziali vittime , perché quando andranno ad accedere ad esempio sul loro account mail , e Ettercap esegue lo sniffing anche su account cifrati con SSL come Hotmail e Gmail , si vedranno comparire davanti una finestra di dialogo che gli chiederà di esaminare il certificato dell’account , (come se ne vedono tanti) , e al momento del loro consenso voi avrete con Ettercap tutti i dati del loro account mail.

    Questo vale per tutti i login effettuati dalle potenziali vittime all’interno di una rete LAN , come può essere ad esempio una rete aziendale , e che sono sotto l’interfaccia di rete riconosciuta da Ettercap.


    Download ettercap per windows7 QUI

    Per GNU/Linux /Debian =>UBUNTU, digitare da terminale: sudo apt-get install ettercap

    Attiviamo in ettercap la scansione SSL:
    Per far ciò bisogna modificare il file : etter.conf
    In linux lo troviamo in /etc/etterc.conf
    Modifiachiamolo:

    sudo gedit /etc/etter.conf
    E modifichiamo le seguenti righe:

    # if you use iptables:
    #redir_command_on = "iptables -t nat -A PREROUTING -i %­iface -p tcp --dport %­port -j REDIRECT --to-port %­rport"
    #redir_command_off = "iptables -t nat -D PREROUTING -i %­iface -p tcp --dport %­port -j REDIRECT --to-port %­rport"
    Così:

    # if you use iptables:
    redir_command_on = "iptables -t nat -A PREROUTING -i %­iface -p tcp --dport %­port -j REDIRECT --to-port %­rport"
    redir_command_off = "iptables -t nat -D PREROUTING -i %­iface -p tcp --dport %­port -j REDIRECT --to-port %­rport"
    Quindi togliendo #
    Così facendo potremo sniffare le connessioni SSL

    Adesso avviamo ettercap in modalità grafica: sudo ettercap -G e seguire le istruzioni riportate sopra.


    Per vedere il video cliccare QUI Per la guida in PDF cliccare QUI
     
    Top
    .
0 replies since 17/6/2013, 21:56   176 views
  Share  
.

Links, programmi, tools, utility, hacking,tips and tricks
Create your forum and your blog! · Top Forum · Categories · Help · Status · Contacts · Powered by ForumCommunity