Ettercap: злободром в твоей локалке

CoDeR (coder@zzae.biz)

Xakep, номер #052, стр. 052-058-3


Очевидно, что для проведения атаки arpoison, ettercap'у необходимо нагадить в сеть целой пачкой ложных ARP-пакетов, и я почти уверен, что уже есть средства, отлавливающие эту атаку. И уж тебе решать, как от этого спасаться. Можно, например, вводить ложный IP-адрес.

2-3) <s>, IP based sniffing, <m>, MAC based sniffing - это обычные методы пассивного снифинга локальной сети. Возможности такого снифинга ограничены, хотя меня впечатлило количество поддерживаемых протоколов при относительно небольшом размере программы.

Напихав нужные адреса в source, destination или в оба сразу (я выбрал 192.168.0.200 в качестве source), выбирай метод снифинга (например, <a>), ты попадешь в соответствующее окно и будешь видеть все интересующие тебя соединения. Для того чтобы собирать пароли, вообще ничего не надо делать =)). Наведи курсор на нужное тебе соединение: пароли будут появляться в нужной части экрана. Сброс паролей в лог - кнопка <l>. Нажми на кнопку <h> и увидишь новый диапазон всяких функций. Уверен, он тебя впечатлит: убийство соединений, хайджекинг, филтеринг, etc... Что еще нужно хакеру? =)

РУЛЕСЫ

Возможности программы ettercap огромны, но, скорее всего, они не устроят тебя на все сто. Ну что же, для твоих злобных целей предусмотрены варианты:

1) Написание плагинов. Тут все просто и понятно: не влезая в кишки ettercap'a, рюхаешь плагинный интерфейс этой проги и делаешь нужный тебе компонент, который можно подгружать в программу всякий раз, когда тебе это необходимо. Пишутся такие плагины на сях, т.к. сама программа написана тоже на нем.

2) Возможность bind'ить local port, с которым ettercap проассоциирует нужное тебе соединение. Это очень ценное свойство программы: ты сможешь заранее реализовать нужные тебе механизмы, воспроизвести которые в реальном времени весьма затруднительно ;). Проще говоря, появляется возможность, например, влезать в чужие IRC-приваты. В принципе, это можно сделать и руками, но если ты захочешь впарить кому-нибудь бэкдор, проспуфив http или ftp, или сообщить какому-нибудь биржевому игроку, что его акции упали в цене в четыре раза, то такое свойство программы может оказаться весьма кстати.

Не РУЛЕСЫ :)

Они тоже есть, а куда же без них? И их, пожалуй, даже больше, чем вкусностей.

1) Виндовый порт программы, мягко говоря, далек от совершенства. В этом вина реализации POSIX'овой мультизадачности cygwin'а, дебильной сетевой части и множества минорных моментов, связанных с портированием софта. Даже в моей win2k, системе кондовой и крепкой, ettercap работает нестабильно... Но про никсы я не говорю, там, естественно, все просто супер =).

2) Если ты не программист (принципиально, как один мой знакомый, или просто от нежелания/неумения), то тебе придется забыть о возможных вкусностях ettercap'а и довольствоваться дефолтным содержимым, ожидая обновления программы.

3) Другой мой знакомый из Свердловска уже опубликовал патч к ядру linux-2.4 (Форбики онлайн :)) против атаки arpoison. Остается надеяться, что в Windows это исправят не скоро, но все равно дни arpoison уже сочтены... О патче к ядру linux-2.4 ты можешь прочесть на соответствующих сайтах. Сам ettercap скачивай отсюда: http://ettercap.sourceforge.net/. Вот, в общем-то, и все. Разбирайся с программой, пиши к ней плагины. Кто знает, может, именно твои разработки будут добавлены в новые версии ettercap.

Назад на стр. 052-058-2  Содержание  Вперед на стр. 052-058-4

Hosted by uCoz