SysadminEttercap.pdf

Ettercap-NG

SYSADMIN

Sniffing w sieciach z przełącznikami

ETTERCAP-NG

Przedstawiamy narzędzie niezwykle upraszczające wykonanie ataków man in the middle.

JACEK SZUMOWSKI

Wstęp

Ettercap-NG jest aplikacją stworzoną spe-

cjalnie do przeprowadzania sniffingu (węsze-

nia) w sieciach z przełącznikami. W odróż-

nieniu od LAN-u opartego na koncentrato-

rach, gdzie podsłuchiwanie ruchu jest bar-

dzo proste, w sieciach ze switchami należy

posłużyć się bardziej zaawansowanymi tech-

nikami. W większości wypadków praktyczne

i samodzielne wykorzystanie tego typu me-

tod (przeprowadzenie odpowiednich ataków)

znane jest tylko doświadczonym administra-

torom. Ettercap-NG jest narzędziem, w któ-

rym odnajdziemy połączenie zaawansowa-

nych technik dotyczących sniffingu i czytel-

nego interfejsu użytkownika. Należy jednak

zauważyć, że do świadomego i pełnego wyko-

rzystania możliwości programu konieczne

będzie posiadanie odpowiedniej wiedzy.

Ettercap wydany jest na licencji GNU/

GPL. Program dostępny jest dla następują-

cych systemów operacyjnych: Linux,

OpenBSD, FreeBSD, NetBSD, Windows,

MacOS X, Solaris. Na potrzeby tego artykułu

wykorzystana została wersja dla systemu Li-

nux, działająca pod kontrolą dystrybucji Fe-

dora Core 3.

cych przez kabel sieciowy. Po zastosowaniu

odpowiedniego ataku, ettercap modyfikuje

pakiety w ten sposób, aby przepływały one

przez nasz interfejs sieciowy. Druga metoda

– BRIDGET – wykorzystuje dwa interfejsy

sieciowe. Sniffujący komputer znajduje się

pomiędzy komunikującymi się hostami.

Skuteczność programu gwarantuje użycie

czterech typów ataku man in the middle .

Pierwszy z nich ( arp ) polega na wysyłaniu

fałszywej ramki arp reply i zatruciu pamięci

podręcznej arp atakowanego hosta. Drugi

( icmp ) rozsyła sfałszowane pakiety ICMP,

wskazując ofierze „lepszą” drogę do Interne-

tu. Kolejny ( dhcp ) polega na udawaniu przez

atakującego serwera DHCP. Czwarta ( port )

technika polega na zalewaniu sieci LAN pa-

kietami arp. Stosowana jest w wypadku, gdy

arp poisoning (pierwsza metoda) jest niesku-

teczna. Cel ataków jest wspólny. Wszystkie

pakiety w sieci LAN mają być przekazywane

przez komputer atakującego.

opisane w pliku INSTALL, znajdującym się

w katalogu z programem.

Przykłady

Pracując z programem ettercap, można korzy-

stać z trzech rodzajów interfejsów. Polecenie

ettercap -G korzysta z biblioteki gtk (Rysunek

1), a ettercap -C uruchomi program z interfej-

sem opartym na ncurses (Rysunek 2). Korzy-

stanie z aplikacji pracującej w tych trybach

Instalacja

Najnowszą wersję programu pobrać można

z [1]. Po rozpakowaniu archiwum poleceniem

tar xzvf ettercap-NG-0.7.2.tar.gz przechodzimy

do katalogu z programem, wydając polecenie

cd ettercap-NG-0.7.2 . Instalacja z domyślnymi

parametrami sprowadza się do wykonania ko-

lejnych poleceń: ./configure , make oraz z konta

roota make install . Po zakończeniu programy

ettercap , etterfilter i etterlog znajdą się w katalo-

gu /usr/local/bin . W katalogu /usr/local/etc od-

naleźć można plik konfiguracyjny etter.conf ,

a wtyczki dla programu ettercap zainstalowa-

ne zostały w katalogu /usr/local/lib/ettercap .

Użytkownik może mieć wpływ na dodatkowe

parametry instalacji. Zostało to szczegółowo

Rysunek1: Ettercap wykorzystujący interfejs

gtk.

nie powinno stwarzać problemów. Dlatego też

w dalszej części opisane zostało wykorzystanie

sniffera pracującego w konsoli tekstowej (Ry-

sunek 3). Jednak informacje tam zawarte po-

mocne będą także dla użytkowników chcą-

cych wykorzystać interfejsy ncurses/gtk .

Przed przystąpieniem do wykonywania

przykładów należy wspomnieć o możliwości

konfiguracji programu przy pomocy edycji

pliku etter.conf . Plik ten składa się z parame-

trów z domyślnie przypisanymi wartościami.

Grupy ustawień zamknięte są w sekcjach:

[privs] (określa z przywilejami jakiego użyt-

kownika startuje program), [mitm] (szczegóło-

Możliwości programu

Ettercap-NG to pakiet, w którego skład

wchodzą trzy współpracujące ze sobą progra-

my: ettercap – sniffer dla sieci z przełącznika-

mi, etterlog – analizator logów stworzonych

przez ettercap oraz etterfilter – narzędzie do

kompilowania plików źródłowych z filtrami.

Sniffer, który jest najważniejszą częścią pa-

kietu, posługuje się dwiema metodami.

Pierwsza (domyślna) UNIFIED umożliwia

sniffing wszystkich pakietów przepływają-

WWW.LINUX-MAGAZINE.PL

NUMER 19 SIERPIEŃ - WRZESIEŃ 2005

SYSADMIN

Ettercap-NG

logu /tmp . Pierwszy z nich zawiera dane do-

tyczące hostów w sniffowanej sieci, a drugi

przechwyconych połączeń.

Do analizy logów wygenerowanych przez

ettercap służy program etterlog . Użycie tego

programu może ograniczyć się do prostego

wydania komend: etterlog /tmp/logettercap.eci

:etterlog /tmp/logettercap.ecp . Warto ograni-

czyć ilość danych wyrzucanych na ekran

przez etterlog. Zwłaszcza w wypadku plików

z rozszerzeniem .ecp , ilość informacji może

być przytłaczająca. Oto kilka przykładów:

etterlog -k -l /tmp/etterlog.eci

wyświetli informację o hostach lokalnych

w domyślnych kolorach,

etterlog -c /tmp/etterlog.ecp

Rysunek 2: Ettercap wykorzystujący interfejs ncurses.

wyświetli tablicę połączeń,

Przy kolejnym uruchomieniu programu mo-

żemy wykorzystać wcześniej utworzony plik:

etterlog -t tcp //25 /tmp/ U

etterlog.eci

ettercap -T -j /tmp/lista.txt -M arp

wyświetli listę hostów z otwartym portem

25. Uruchamiając etterlog z opcją -a, otrzy-

mać można statystyki dotyczące przeprowa-

dzanego sniffowania.

To polecenie wykonuje atak arp spoofing na

wszystkie hosty zawarte w /tmp/lista.txt . Po wy-

konaniu tej komendy możliwe jest interaktyw-

ne wydawanie poleceń. Ich listę otrzymamy po

wciśnięciu klawisza h . Klawisz l wyświetla listę

podglądanych hostów, c pokaże wszystkie po-

łączenia, a klawisz o powoduje rozwinięcie

podmenu z opcjami, które umożliwiają uzy-

skanie szczegółowych informacji o sniffowa-

nych hostach. Program opuścimy, naciskając

klawisz q . Ettercap pozwala zawęzić pole po-

szukiwań do określonego portu czy hosta.

Poleceniem

Rysunek 3: Ettercap wykorzystujący interfejs

tekstowy.

Podsumowanie

Pakiet Ettercap-NG to narzędzie o bardzo du-

żych możliwościach. Informacje zawarte w ar-

tykule pozwalają zapoznać się tylko z częścią

jego opcji, umożliwiają jednak wykonanie

skutecznego sniffingu w sieciach z przełączni-

kami (osobom chcącym poszerzyć swoją wie-

dzę na temat pakietu Ettercap-NG, polecić

można dobrze przygotowane strony podręcz-

nika systemowego). Prostota, z jaką można to

zrobić, uczy niedoświadczonego użytkownika

pewnej pokory i uświadamia niebezpieczeń-

stwo przechwycenia poufnych informacji.

Przekonać też może o zasadności użycia połą-

czeń szyfrowanych. Uczciwy użytkownik musi

jednak pamiętać, że nie wolno mu wykorzy-

stywać tego typu programów w sposób, który

naruszałby cudzą prywatność.

we ustawienia parametrów dla dostępnych

metod ataków), [connetions] (parametry okre-

ślające czasy połączeń), [stats] (ustawienia do-

tyczące statystyk), [mis] (np. ustawienia maga-

zynu profili dla wykrytych hostów), [dissectors]

(ustawienia portów dla dostępnych protoko-

łów sieciowych), [curses] (dostosowuje kolory

interfejsu ncurses do indywidualnych potrzeb),

[strings] (np. ustawienia kodowania znaków).

Rozpoczynając pracę z programem, warto jed-

nak pozostawić większość parametrów do-

myślnych. Dopiero zdobyte później doświad-

czenie pozwolić może na świadomą modyfika-

cję zaawansowanych ustawień zawartych w et-

ter.conf .

Poniżej przedstawiono kilka przykładów

umożliwiających podsłuchanie ruchu w sieci

lokalnej:

ettercap -T -j /tmp/lista.txt - U

M arp // //80

uzyskać można informacje dotyczące

wszystkich połączeń w sieci lokalnej na por-

cie 80. Następny przykład:

ettercap -t -j /tmp/lista.txt - U

M arp /192.168.1.10-30/110,25 - U

L /tmp/logettercap

AUTOR

Jacek Szumowski jest administratorem sieci

Muzeum w Koszalinie

zawęża odbieranie pakietów tylko do kom-

puterów o adresach IP 192.168.1.10 do 30,

zbierając informacje tylko o protokołach PO-

P3 i SMTP. Dodatkowo opcja L powoduje

zapisanie wyników pracy programu w dwóch

plikach logettercap.eci i logettercap.ecp w kata-

ettercap -T -k /tmp/lista.txt /

INFO

powoduje utworzenie w katalogu /tmp pli-

ku lista.txt z listą hostów w sieci lokalnej.

[1] Strona domowa programu Ettercap-NG:

http://ettercap.sourceforge.net/

NUMER 19 SIERPIEŃ - WRZESIEŃ 2005

WWW.LINUX-MAGAZINE.PL

Plik z chomika:

Inne pliki z tego folderu:

Inne foldery tego chomika: