Guida all'utilizzo di Ettercap

Tutte le guide sul network.
Rispondi
Avatar utente
c1cc1o
Neo iscritto
Neo iscritto
Messaggi: 9
Iscritto il: 16 novembre 2010, 15:55
Ha ringraziato: 0
Sei stato  ringraziato: 0
Contatta:

Guida all'utilizzo di Ettercap

Messaggio da c1cc1o »

Cosa è Ettercap
Ettercap è un tool che permette l'attacco Man-In-The-Middle (MITM) sfruttando la tecnica di ARP poisoning.
Un po' di teoria
Per una migliore comprensione della teoria sottostante consiglio caldamente la lettura della "Guida alle Reti" che può essere reperita Qui, facendo particolare attenzione alla struttura a livelli della pila ISO/OSI.

Nella maggior parte delle reti locali viene utilizzato il protocllo Ethernet che identifica gli host (macchine fisiche o virtuali) in base ad un indirizzo a 48 Bit che prende il nome di MAC Address, a differenza di internet dove ogni host viene mappato con un indirizzo da 32 Bit chiamato IP.
Il protocollo ARP invece viene usato per legare gli indirizzi IP ai rispettivi MAC, e questo accade (all'interno del protocollo Ethernet) prima di ogni comunicazione.
Esistono 2 tipi di messaggi ARP:
Request (inviata da chi vuole aprire la connessione, questo messaggio viene inviato in broadcast ovvero a tutta la rete)
Reply (inviata da chi deve rispondere alla richiesta, questo messaggio viene inviato in unicast ovvero SOLO a chi ha inviato la request)
A livello Data link della pila ISO/OSI, ogni host considera come propri 2 indirizzi MAC distinti: il proprio MAC address e l'indirizzo ARP di broadcast. (l'indirizzo di broadcast viene utilizzato per spedire messaggi a tutti i dispositivi in ascolto sulla rete, e questo generalmente avviene per l'invio messaggi di servizio o per distribuire dati d'interesse comune.)

Immaginiamo che un host A con IP 192.168.0.1 voglia comunicare con l'host B 192.168.0.2:
A invierà su tutta la rete una ARP request con il proprio MAC Adrress, il proprio indirizzo IP e ovviamente l'indirizzo IP del destinatario. (il pacchetto ARP viene inviato all'indirizzo di broadcast)
B, considerando proprio l'indirizzo di broadcast riceve il pacchetto di ARP, controlla che l'indirizzo di destinazione contenuto nel pacchetto sia il suo e risponde inviando SOLO ad A un ARP reply contenente il proprio MAC.

Fare tutto questo per ogni singolo pacchetto genererebbe un traffico incredibile per cui è stata implementata una cache (ARP cache), ovvero una tabella presente su ogni host con memorizzati i MAC Address e i rispettivi IP.

Effettuato questo handshake (letteralmente stretta di mano) i 2 host A e B sono pronti per comunicare.
Come funziona l'attacco
L'idea base è quella di "infilarsi" tra 2 host che stanno comunicando, ascoltare quello che dice A ed inoltrarlo a B e viceversa inviando messaggi ARP appositamente creati

In primis bisogna specificare che il dominio dei pacchetti ARP si limita al livello 1 ovvero hub e repeater senza riuscire a superare dispositivi come switch o meccanismi di routing IP, quindi questa tecnica è valida solo su reti wifi o reti che si basano su hub convenzionali.

Immaginiamo ora una siatuazione del tipo:
A: IP = 192.168.1.1, MAC = 00:00:00:AA:AA:AA (Alice)
B: IP = 192.168.1.2, MAC = 00:00:00:BB:BB:BB (Bob)
H: IP = 192.168.1.3, MAC = 00:00:00:H:HH:HH (Hacker)

Le relative tabelle (ARP cache) per tutti e 3 saranno:
A: IP = 192.168.1.1, MAC = 00:00:00:AA:AA:AA
B: IP = 192.168.1.2, MAC = 00:00:00:BB:BB:BB
H: IP = 192.168.1.3, MAC = 00:00:00:H:HH:HH

H però inizerà ad inviare pacchetti ARP reply ad Alice con l'IP di Bobo ma il proprio MAC, e a Bob con l'IP di Alice ma il proprio MAC, facendo così cambiare le tabelle di cache in questo modo:

Tabella di A:
A: IP = 192.168.1.1, MAC = 00:00:00:AA:AA:AA
B: IP = 192.168.1.2, MAC = 00:00:00:HH:HH:HH
H: IP = 192.168.1.3, MAC = 00:00:00:HH:HH:HH

Tabella di B:
A: IP = 192.168.1.1, MAC = 00:00:00:HH:HH:HH
B: IP = 192.168.1.2, MAC = 00:00:00:BB:BB:BB
H: IP = 192.168.1.3, MAC = 00:00:00:H:HH:HH

Ovviamente la tabella di H resta immutata.

così facendo Alice e Bob crederanno di comunicare normalmente, ma tutti i pacchetti scambiati tra di loro vengono letti tranquillamente da H.

Ora passiamo alla pratica
Ettercap viene rilasciato per Linux, Windows e MAC Os, per comodità (mia :asd: ) descriverò la procedura da seguire con linux (l'unica cosa che cambia è l'installazione)

Come prima cosa, installiamo Ettercap dando il comando (ovviamente con diritti di amministratore)

apt-get install ettercap-gtk

Ora sempre con diritti di amministratore facciamolo partire da terminale col comando (-G comporta l'apertura dell'interfaccia grafica)

Ettercap -G

Oppure semplicemente dal menu di gnome, Applicazioni, Internet, Ettercap.

Ora bisogna prima sistemare le impostazioni di sniffing, per fare questo bisogna cliccare su Sniff, Unified Sniffing, si aprirà quindi una finestra nella quale sarà possibile selezionare l'interfaccia di rete da utilizzare.
Adesso è necessario cercare gli host connessi alla medesima rete a cui si è connessi, e per farlo è sufficiente cliccare su Host, Scan for Hosts e aspettare che Ettercap analizzi tutta la rete, andando infine su Hosts List sarà possibile visualizzare gli altri computer connessi.

Per portare avanti l'attacco bisognerà selezionare i 2 IP, per fare questo basta selezionare tra la lista degli host connessi il primo IP, cliccare con il tasto destro del mouse e andare su Add to target 1, fare la stessa cosa per il secondo IP cliccando su Add to target 2.
è possibile usare questo attacco su tutta la rete (basta non selezionare i target), ma è un'operazione sconsigliata, poichè è necessaria una buona potenza di calcolo e velocità di rete (essere al centro di 150 connessioni risulterebbe troppo pesante per una macchina "normale" e farebbe quindi momentaneamente cadere tutta la rete)
Per visualizzare gli obiettivi selezionati basta cliccare su Targets, Current Targets.

Ora per far partire l'attacco bisogna cliccare su Mitm, ARP Poisoning e comparirà una finestra che solitamente (a meno di particolari impostazioni) non va toccata.

Per iniziare lo sniffing cliccare su Start, Start sniffing e il gioco è fatto, tutti i dati trasmessi in chiaro (non criptati) tra gli host selezionati saranno visualizzabili nell'apposito spazio di Ettercap.

Piccoli consigli
- A meno non siate in una rete casalinga con pochissimi host (2 o 3), vi sconsiglio di utilizzare un'interfaccia Wireless, poichè quasi sicuramente non farà altro che far confluire tutti i pacchetti su di voi, senza però riuscire fisicamente a rispondere, portando così ad un collasso della rete.
- L'ARP poisoning come avrete notato ha la grave pecca di lasciare nelle tabelle dei 2 attaccati il proprio MAC Address per cui consiglierei di usare una macchina virtuale per eseguire l'attacco, o più semplicemente cambiare il proprio MAC (con linux bastano pochi comandi con privilegi di amministratore:
se state utilizzando l'interfaccia eth0 (Ethernet)
ifconfig eth0 down
ifconfig eth0 hw ether 00:81:F8:CC:14:30 (indirizzo completamente inventato)
ifconfig eth0 up




Marco (c1cc1o) Clerici - HW Legend Staff
Ormai il mio pc è vecchio per fare il figo, quindi meglio evitare di mettere nella firma i componenti :P
Rispondi

Torna a “Guide”