Ettercap: злободром в твоей локалке

CoDeR (coder@zzae.biz)

Xakep, номер #052, стр. 052-058-2

ТРИ... ДВА... ОДИН... ПУСК!!!

Запуск программы, ее начальная работа зависит от версии (win-вариант спросит у тебя номер интерфейса), от ключей, с которыми программа была запущена, а также от настроек в конфигурационных файлах. Я буду рассказывать о максимально дефолтной (следовательно, о предельно "неприкрытой") работе программы. Запускаем, выбираем интерфейс, программа сканирует сабнет (подсеть) интерфейса (у меня это 192.168.0.246, маска подсети 255.255.255.0) на предмет выяснения соответствий IP<->MAC, dns и netbios имен машин. Открывается ncurses-окошко примерно такого содержания:

Это главное (начальное) окно ettercap'а, откуда ты можешь выбирать вражеские адреса, запускать плагины (если твой ettercap их поддерживает, что в большинстве случаев так и есть), выполнять различные команды. Жми кнопку 'h' и получишь справку о возможных функциях программы на этом уровне. Почти во всех случаях тебе необходимо выбрать адреса, с которыми ты будешь работать. Левая колонка - source, правая - destination. Селект и деселект производится кнопками <enter> и <space>. Далее следует выбрать метод снифинга. Ettercap предлагает целых три, я расскажу о каждом в отдельности.

СНИФИНГ

Итак, разбор методов снифинга:

1) <a>, ARP poisoning based sniffing, применяется для снифинга в свичуемых сетях, а также для применения атак класса MITM. В данном случае используется атака arpoison, модифицирующая ARP-таблицы заражаемых хостов таким образом, что все кадры данных с выбранного source идут на твой хост, а с твоего - уже на destination. Неплохо придумано, да?

Проблемы в осуществлении атаки посредника. Одной из проблем является то, что данная атака (MITM), возможно, не сработает в небольших сетях. MITM не будет функционировать, если клиент получит ответ на запрос со старого IP. Если настоящий DHCP сервер сможет удовлетворить запрос на конкретный адрес, NIC присвоит предыдущий адрес, а не предложенный поддельным сервером. Единственный способ, при котором возможно присвоение адреса поддельным сервером, - это случай, когда запрошенный адрес невозможен у реального DHCP сервера (например, если адрес уже был присвоен другому интерфейсу). Атаку посредника можно осуществить при помощи как нашей любимой ettercap, так и при использовании DSniff, задействовав функцию ARP poisoning.

Иными словами, с помощью этого метода снифинга ты сможешь видеть любой трафик твоего сегмента за пределами каких бы то ни было ограничивающих тебя свичей. Ты также сможешь проводить любые mitm-атаки ровно с той же силой, будто ты на самом деле был посередине двух хостов. На основе этого метода уже с версии 0.6.7 ettercap реализует перехват (dissection) паролей протоколов ssh1 и https. Можно даже снифать пароли в ssh версии 2, если подключить фильтр (ettercap -F etter.filter.ssh), который будет спуфить ssh-сервера с 1.99 (openssh-0.9.6, etc) на 1.51, поддерживающих лишь первую версию протокола ssh.