Introducción al Ettercap

8/8/2019 Introducción al Ettercap

http://slidepdf.com/reader/full/introduccion-al-ettercap 1/8

Introducción al Ettercap (de cyruxnet.org) Enviado por Anónimo el Dom, 07/29/2007 - 14:32.

y y Manuales (HowTo)

y Seguridad

Introducción al Ettercap (de cyruxnet.org)

Cada día son mas populares las técnicas de sniffing, arp-spoof, dns-spoof, man in the middle, etc, pero son muchos los que creen queestán reservadas para los gurú de la red, y hasta hace poco era así, pero en esto como en todo, con el tiempo, internet ha hechoposible que se desarrollen rápidamente herramientas que hacen que lo que antes resultaba muy compicado, ahora sea cosa de niños(no estoy seguro de si eso es bueno o malo).

En este texto voy a tratar de explicar (por encima) cómo utilizar el programa "Ettercap".

He escogido el "ettercap" a parte de porque considero que es una de las mejores herramientas que se pueden encontrar parainterceptar conexiones, porque creo que después de que TONTETE hiciese 3 estupendos manuales sobre el tema (Redes ysniffers, Arp-spoof, fundamento y practica, Manual sobre la técnica "Man In The Middle" ), de que "moebius"escribiera un articulo sobre el "dsniff " (para linux), publicado en la revista "hackxcrack" Nº11, y de que "Vic_Thor" explicara como

utilizar el "Cain" (Windows) para interceptar el tráfico de redes mediante envenenamiento arp(http://www.freewebs.com/victhor/hxc/FAQ/faq2.pdf ) creo que le ha llegado el turno al "Ettercap" y como hacebastante que no hago un texto de este tipo... ya me va tocando :)

Ya se que muchos de vosotros le teneis miedo al linux, pero sabeis que tarde o temprano tendreis que atreveros, y ¿qué mejor momento que éste?, porque el ettercap funciona bajo linux, aunque si prefieres seguir pensandotelo, también puedes instalarlo enWindows, con la ayuda del cygwin, pero de esto hablaremos mas adelante.

Estos temas pueden resultar muy técnicos, pero como siempre, y para que todo el mundo lo entienda, no voy a entrar enexplicaciones profundas sobre el arp, sniff, topologías de red etc... sólo trato de demostrar lo fácil que pude resultar un ataqueteóricamente avanzado, pero que hoy por hoy cualquiera puede realizar, es decir, cualquiera puede representar un peligro paranuestra seguridad.

INTRODUCCIÓN:

Antes de meternos de lleno con el ettercap, vamos a introducir unos pequeños conceptos que tal vez te ayuden a entender de qué vatodo esto.

Hub/SwitchExisten muchos tipos de redes, entre ellas, las que conectan los equipos mediante un hub y las que lo hacen mediante un switch.Supongamos que tenemos una minired (LAN) con 3 equipos, como la de muchos particulares, pequeñas empresas, etc, conectadoslos tres a un hub, si el equipo 1 quiere abrir una carpeta (o recurso compartido) del equipo 2, la petición de entrar en esa carpeta saledel equipo 1, va al hub y éste la manda al equipo 2 y 3, pero como la petición era para el equipo 2, el 3 cuando la reciba simplementela ignorará, y el 2 la recibirá y responderá, y con la respuesta volverá a suceder lo mismo.

En esta situación, una persona situada en el equipo 3 puede utilizar un sniffer, y dejarlo a la escucha, de estaforma puede ver toda la información que se intercambian los equipos 1 y 2, porque verá en el sniffer todosesos paquetes que no eran para el, sino para el equipo 2.

Si nuestra minired tuviera un switch y no un hub el funcionamiento sería diferente, en la misma situación que

antes, la petición del equipo 1 saldría hacia el switch, pero este la mandaría unicamente al equipo 2, puestoque va dirigida a él (esta es la diferencia con el hub) , y el 3 no se enteraría de nada. Ahora el sniffer delequipo 3 ya no sirve para nada.

Ip/MacCada equipo conectado a una red/internet, posee (al menos) una dirección IP y cada dispositivo de conexión posee una direcciónMAC. La dirección IP es del tipo de X.X.X.X y sirve para distinguir un equipo de otro cuando estos están conectados (un equipoaislado, es decir, sin ningún tipo de conexión, también tiene IP, es la 127.0.0.1). La dirección MAC va "grabada" en cada dispositivo deconexión (tarjetas de red, routers, modems...) y en teoría no debe haber 2 iguales en el mundo, hasta hace poco se suponía que no sepodían cambiar y desde no hace mucho existen técnicas para cambiarlas (no siempre).



Para que quede mas claro vamos a ver algunos casos: Un equipo independiente, que se conecta a internetmediante un modem tendrá la IP que le asigne su ISP y la MAC que trae de fábrica el modem. Si hay variosequipos conectados a internet con un modem-router (en multipuesto) los equipos internet serán identificadospor la IP que le asigne su ISP al modem-rputer la MAC será la del modem-router, pero entre ellos seidentificarán unos a otros (y con el modem-router) mediante la IP que le haya asignado el administrador de lared y la MAC de sus trajetas de red en el caso de los equipos, puesto que el modem-router tiene una MACpropia.

Para el ejemplo de nuestra minired, vamos a suponer que la IP del equipo 1 es 1.1.1.1 la del equipo 2 es2.2.2.2 y la del 3 es 3.3.3.3, y que las direcciones MAC de sus tarjetas de red son MAC1, MAC2 y MAC3respectivamente, esto nos servirá para entender el siguiente párrafo.

Arp spoofingEs aquí donde entra el ARP (address resolution protocol). El ARP funciona mandando paquetes que hacen la seguiente consulta: "Situ ip es X.X.X.X mandame tu dirección MAC", cuando un equipo recibe esta consulta, comprueba que la ip especificada es la suya y sies así responde enviando su dirección MAC, y el equipo que formuló la consulta, guardará la respuesta en la cache con la ip y la MAC(IP/MAC).

Lo importante es que estos paquetes son enviados a todos los equipos de la red, independientemente de si lared está conectada mediante un switch o un hub.

El arp-spoofing funciona mandando consultas y respuestas arp especialmente creadas.

De nuevo en nuestra minired, si el equipo 3 manda respuestas arp al equipo 1 con la información IP/MACmanipulada, puede engañarlo y conseguir que si sale alguna información desde 1 hacia 2, ésta vaya enrealidad hacia 3, y por lo tanto nos encontramos de nuevo el equipo 3 puede interceptar toda la comunicaciónentre 1 y 2 aunque la red disponga de un switch.

Hemos dicho un poco mas arriba "respuestas arp especialmente creadas", ¿qué contendrían estasrespuestas? simplemente, el equipo 3 construiría una respuesta en las que el contenido IP/MAC fuese2.2.2.2/MAC3 (por supuesto en la realidad esto es mas complicado, pero creo que queda claro elfuncionamiento), y la enviaría al equipo 1, por ejemplo, de esta manera esta respuesta queda guardada en lacache de 1, y creerá que a la ip 2.2.2.2 le corresponde la MAC3 en vez de la MAC2 ( a esto se le llamaenvenenamiento ARP).

ETTERCAP

¿Qué es? Según sus autores:"Ettercap es un sniffer/interceptor/logger para redes LAN con switchs, que soporta la disección activa y pasivade muchos protocolos (incluso cifrados) e incluye muchas características para el análisis de la red y del host(anfitrión).Entre sus funciones, las mas destacadas son las siguientes:*Injection de caracteres en una conexión establecida emulando comandos o respuestas mientras la conexiónestá activa.*Compatibilidad con SSH1: Puede interceptar users y passwords incluso en conexiones "seguras" con SSH.*Compatibilidad con HTTPS: Intercepta conexiones mediante http SSL (supuestamente seguras) incluso si seestablecen a través de un proxy.*Intercepta tráfico remoto mediante un tunel GRE: Si la conexión se establece mediante un tunel GRE con unrouter Cisco, puede interceptarla y crear un ataque "Man in the Middle".*"Man in the Middle" contra tuneles PPTP (Point-to-Point Tunneling Protocol).

Soporte paraP

lug-ins.

Lista de plugins:Colector de contraseñas en : TELNET, FTP, POP, RLOGIN, SSH1, ICQ, SMB, MySQL, HTTP, NNTP, X11,NAPSTER, IRC, RIP, BGP, SOCKS 5, IMAP 4, VNC, LDAP, NFS, SNMP, HALF LIFE, QUAKE 3, MSN,YMSG.Filtrado y sustitución de paquetes.OS fingerprint: es decir, detección del sistema operativo remoto.Mata conexiones.Escaner de LAN: hosts, puertos abiertos, servicios...Busca otros envenenamientos en la misma red.



Port Stealing (robo de puertos): es un nuevo método para el sniff en redes con switch, sin envenenamiento ARP".

Esta info está sacada de la página oficial del Ettercap y nos da una idea de lo potente que es estaherramienta.

Instalación en Linux:

La isntalación es muy sencilla, la versión de la que voy a hablar en adelante es la 0.6.b, primero nos bajamos el archivo desde la weboficialhttp://ettercap.sourceforge.net/index.php?s=download (Existen también los rpm, pero no te los recomiendo, porque no traen todos los plugins que trae el archivo tar, al menos loe que yo heprobado)Una vez descargada, la descomprimimos:

tar -zxvf ettercap-0.6.b.tar.gz

vamos a la carpeta en la que se ha descomprimido:

cd ettercap-0.6.b

y comenzamos:

./configure

si todo va bien tenemos varias opciones de make, yo os recomiendo que lo instaleis todo, para ello poned:

make complete_install

y ya está isntalado.

Si vais a usar las opciones de SSH1 o HTTPS son necesarias las libreiras OpenSSL (http://www.openssl.org ) si no las teneis ya instaladas

Instalación en Windows:Como gran parte de los programas pensados para Linux, es posible hacerlos correr en Windows gracias al cygwin(http://cygwin.com/setup.exe).

Pero también hay una distribución específica para Windows, podeis bajarla desde:http://sourceforge.net /projects/ettercap/

El que prefiera instalar en Windows el paquete para linux está de suerte, el paquete contiene un archivollamando README.WIN32 en el que explica detalladamente los pasos que debeis seguir.

Usando el Ettercap:Antes de empezar con el Ettercap tenemos que configurar nuestro sistema para que acepte todos los paquetes que detecte, para ello,abrimos una terminal y escribimos:

echo 1 > /proc/sys/net/ipv4/ip_forward

para comprobar si el ip_forward está en 1 ó 0 (activado o desactovado) podemos utilizar este comando:

cat /proc/sys/net/ipv4/ip_forward

y la respuesta debería ser un 1.

Para hacer lo mismo en Windows debemos ir al registro, a la cadena:

HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

y en el valor IPEnableRouter ponemos un 1 en vez de un 0.



Ahora con el ip_forward activado y el Ettercap instalado, lo ejecutamos en una terminal (con dimensionessuperiores a 80x25) y vemos que lo primero que hace es buscar todos los equipos de nuestra red, cuandotermina, nos aparece una pantalla en la que aparecen dos columnas con las IPs en contradas en nuestra red,en la columna de la izquierda se selecciona (moviendo los cursores y pulsando enter) el equipo "origen" quese quiere espiar, y en la de la derecha el equipo "destino", para que nos entendamos, supongamos que en lared en la que estoy hay un switch que conecta el gateway (172.26.0.1) con el resto de los equipos, en elmomento de las capturas hay 2 equipos encendidos el 172.26.0.2 y el 172.26.0.4.

Mi equipo es el 172.26.0.4 y voy a tratar de interceptar toda la información que intercambia el equipo172.26.0.2 con internet, es decir, la que envía y recibe del 172.26.0.1 a través del switch, así que seleccionoen la primera columna el equipo 172.26.0.2 y en la segunda el 172.26.0.1, esto es lo que veremos:

Si pulsamos F1 veremos el menú de ayuda (todos los menú poseen su propia ayuda, y siempre puedes acceder pulsando F1):



Vemos que hay 3 modos de sniffing:Envenenamiento ARP -> pulsando 'a' o 'A'Sniffing a las IPs -> pulsando 's' o 'S'Sniffing a las MAC -> pulsando 'm' o 'M'

En nuestro caso pulsaremos 'a', pero hay mas cosas interesantes, para acceder a los plugins hay que pulsar 'p' o 'P' , para averiguar el sistema operativo de los equipos de la red pulsaremos 'f' o 'F', también podemos editar las cabeceras de los paquetes pulsando 'x' o

'X', etc... en fin eso ya es cosa vuestra.Vamos a activar los plugins que queremos usar, para ello pulsamos 'q' (quit) para salir de la ayuda y ahora pulsamos la 'p', este es elmenú que vemos:

Si bajamos con el cursor vemos que tenemos 34 plugins instalados (los tenemos porque durante la instalación pusimos 'makecomplete_install' y esto incluye los plugins), no los voy a explicar uno por uno, porque cada uno posee una definición suficientementedescriptiva, y porque sin duda surgirán muchos mas.La elección de los plugins a utilizar depende de las necesidades de cada caso, pero ten cuidado porque algunos son ataques DOS ypueden ser peligrosos, para la integridad de la red LAN.Con el cursor te mueves por la lista y para seleccionar el que quieras activar pulsas 'enter', el plugin quedará marcado con una 'A'.Algunos están marcados con una 'E', estos son de ejecución independiente, es decir, no se seleccionan, se ejecutan al pulsar 'enter'.Si tienes dudas, para probar, selecciona los que ponga '...password...' ;-)En este ejemplo yo activo los siguientes: H13_giant2, H20_dwarf, H30_thief (es mas de lo que necesito para interceptar contraseñas ycorreos)Para ver desde la linea de comandos qué plugins tienes instalados escribe en una terminal: 'ettercap -Np list' y para ejecutar uno enconcreto 'ettercap -Np nombre_del_pluging host'.Hay mucho mas que saber sobre los plugins, para ello leete el archivo 'README.PLUGINS', y si tienes alguna duda sobre el uso dealgún plugin, cada uno se encuentra en una carpeta con su nombre dentro de la carpeta 'plugins', y algunos junto con sucorrespondienteHOWTO.Salgo del menú de plugins (pulsando 'q') y comienzo a capturar, en este caso debido al switch pulsando la 'a' (envenenamiento ARP),

y esto es lo que se ve:



Vemos que queda detallado el estado en que se encuentra cada comunicación etablecida (ACTIVE, CLOSED, KILLED...) y el tipo oprotocolo (http, domain...)En la parte de arriba vemos que información sobre la sesión que hemos configurado, en este caso los fitros están desactivados (Filter:OFF) y la captura de passwords anctiva (Active Dissector: ON) y el tipo de sniff es ARP.Podemos abrir la ayuda (F1) para ver todo lo que podemos hacer.Pulsando 'enter' sobre cualquier linea podemos hacer un sniff a la conexión seleccionada, si ésta se encuentra activa (ACTIVE)veremos cómo en el cuadro de la izquierda aparece lo enviado por el equipo objetivo y en el de la derecha lo enviado desde el equiporemoto al equipo objetivo.Esta es la captura:

¿y tengo que encontrar los passwords ahí? No, el Ettercap es muy listo, y facilita el trabajo, desvelando losuser y password que encuentra, en la parte baja de la ventana, cuando seleccionamos la conexión en la que



se encuentran.Por ejemplo, esta es la captura del password de hotmail cuando alguien se conecta a su correo via web:

como veis abajo se ve el user, el pass y la URL en la que se utilizaron. Fijaros bien que la conexión es https (teóricamente segura).Aunque no todo resulta tan bonito, esta es la captura de un inicio de sesión del MSN:

Como veis no nos da el password en texto plano (logicamente), pero... ¿y el robo de sesiones? mmmmm, no se no se, bueno eso esun tema largo, para otra vez :)En fin, cuando te canses, pulsas 'l' o 'L' y se guardan en un log todos las contraseñas capturadas.Bueno, creo que como ejemplo ya es suficiente, quedan muchas cosas por ver, por ejemplo las capturas de POP, FTP, TELNET, IRC... , la edición manual de las cabeceras de los paquetes enviados, los filtros (que permiten capturar y editar cadenas "al vuelo", etc...pero eso te toca a ti.



Como ves, todo este texto, mas que un manual, es una presentación, toma de contacto, o llamalo como quieras, espero que por lomenos haya servido para ampliar un poco los conocimentos de alguno sobre estas técnicas que se están de actualidad.

y Añadir nuevo comentario

Inyectando código en sesiones, uso del Ettercap Enviado por Anónimo el Dom, 07/29/2007 - 14:29.

y y Manuales (HowTo)

y Seguridad

Este articulo que he econtrado por internet, aconsejo lo leais con detenimiento, y comprendais, lasinseguridades a las que podemos estar expuestos, para que asi sepais detectarlas y evitarlas.

---------

Introducción al Hijacking: Bien, en este cuarto texto y siguiendo la temática de las redes Ethernet veremos en que consiste la técnicallamada Hijacking o también conocida como secuestro de sesiones.De nuevo se trata de ir un poco mas alla de lo que vimos en los textos anteriores. Si hasta ahora noslimitábamos a escuchar las comunicaciones entre otros equipos, ahora incluso interaccionaremos en la sesiónque estemos escuchando lanzando comandos, bien fingiendo ser el servidor o el cliente según nos interese. Aesto se le llama Hijacking.Esta técnica esta especialmente dirigida para aquellas situaciones en las que no nos interese obtener lascontraseñas del usuario (puede que sean de un solo uso) o en las que nos interese fingir la respuesta delservidor.....veamos las posibilidades........

Primero un poco de teoría sobre Tcp: Pues resulta que interaccionar ³on line´ sobre una sesión no es tan fácil. Sobre todo porque el protocolo Tcpaporta cierta seguridad a la comunicación, proporciona comunicaciones fiables. Tcp es capaz de determinar qué paquetes han llegado al destino y qué otros, por el contrario, se han perdido. Para ello utiliza un sistematan simple como hacer que cada vez que un nodo reciba un paquete del otro, reaccione mandando unpaquete de respuesta en el que avisa que el paquete X ya llego. Claro que entonces, deducimos que todos lospaquetes van numerados.Esto es:Cada nodo manda al otro nodo en el 1º paquete, su propio numero de secuencia, el ISN (Numero InicialSecuencia). Este numero de secuencia va aumentando en cada paquete. También cada nodo al recibir unpaquete del otro nodo responde con una confirmación de la llegada de este paquete, esto se llama ACK, algoasí como un acuse de recibo. Si no se recibe un ack de confirmación se vuelven a trasmitir los datos.Por lo tanto si queremos meternos en una sesión deberemos mandar paquetes sin romper la armoníaexistente, o dicho de otra manera, hay que calcular y predecir los números de secuencia.

Introducción al Ettercap

Documents

Transcript of Introducción al Ettercap