Ettercap: злободром в твоей локалке

CoDeR (coder@zzae.biz)

Xakep, номер #052, стр. 052-058-1

Снифаем локалку ettercap'ом

icq: 416116

Ты когда-нибудь мечтал о полном контроле над локальной сетью? Представлял, что можешь делать в ней все что угодно? Думаешь, это нереально, для этого надо быть админом сети? НЕТ! А почему? На этот вопрос я и постараюсь ответить.

Наверняка ты уже слышал о мощнейшем хакерском средстве под названием ettercap. Его эволюция гораздо быстрее эволюции живых существ. С каждым кварталом появляются новые и новые версии этой замечательной программы. На данный момент последняя версия - 0.6.9. В ней исправлены различные баги, добавлены некоторые новые возможности, например, поддержка PPTP. Но даже независимо от номера версии, ettercap достоин называться одним из лучших крякеров локальных сетей. Нельзя сказать, что ettercap реализует какие-то революционные технологии, но у него есть одно принципиальное отличие, которое делает его уникальным. Он объединяет кучу средств для "кошерного" хака локальных сетей в единое целое. А один крупный хак лучше двух мелких. Можно привести пример: существует множество утилит для перехвата сообщений, идущих от IRC-клиента к IRC-серверу и наоборот. Но в этих средствах не реализовано никаких других функций, т.е. они не смогут, например, перехватить url сайта, на который зашел пользователь. А представь себе такую ситуацию: идет юзер на www.microsoft.com, но вместо необходимой информации о мелкомягких в окне у него открывается сайт Васисуалия Пупкина, где размещена всякая информация неприличного содержания. Что ж, etthercap способен и на это, и на многое другое.

КОМПИЛЯЦИЯ

Итак, приступим к самому захватывающему - к компиляции исходников :). Ettercap выпущен под следующие платформы: MacOS X, Windows 9x/NT/2000/XP, FreeBSD, OpenBSD и, конечно же, Linux. Для работы ettercap'у не нужны какие-то дополнительные библиотеки вроде libpcap или libnet (исключение составляет библиотека WinPCap, если это win-версия), но для полноценной работы рекомендуется включить либу ncurses (я использовал шестой ncurses) и openssl (у меня дефолтная для redhat 7.2).

Процесс компиляции прост, особенно под Linux:

./configure --help

включаем нужные параметры

./configure

./make help

Далее следуем простым инструкциям, компилируя и устанавливая сам ettercap и плагины к нему. В итоге мы получаем ncurses-based-программу с очень простым интерфейсом и широким диапазоном возможностей.

Теперь документация. Ее не слишком много, но я настоятельно рекомендую ее прочесть и лучше целиком. По-английски ты уже должен уметь читать :).

ВОЗМОЖНОСТИ

Если ты уважающий себя спец, не спеши запускать прогу сразу после ее компиляции. Сначала прочти man ettercap, все readme, разберись с конфигом (etter.conf) и фильтрами (etter.filter и etter.filter.ssh). Учти, что по дефолту программа выполняет множество лишних действий (например, dns-резолвинг найденных адресов). Кроме того, активный arpoisoning и некоторые другие действия могут скомпрометировать хакера, использующего ettercap. В прогу встроена очень интересная функция - обнаружение себе подобных. Ведь некоторые действия требуют активной работы программы (т.е. отправления некоторых кадров данных, которые могут быть пойманы и продиагностированы), от этого никуда не деться, но лучше все-таки об этом знать.