ArLUG (grupul utilizatorilor de Linux din Arad), este o comunitate de oameni, care împărtașesc pasiunea pentru sistemul de operare GNU/Linux și software-ul liber.
Scopurile ArLUG sunt:
* promovarea sistemului de operare Linux și a software-ului liber
* formarea/menținerea/dezvoltarea unei comunități locale
* educarea și instruirea oamenilor (ne)familiarizați cu acest sistem
2
Un articol de hacking, din care se poate învăţa câte ceva despre funcţionalitatea şi/sau securitatea reţelelor informatice. Informaţiile conţinute în acest articol sunt de natura strict informaţională şi recomand reproducerea lor doar in laborator sau alte medi de test sigure.
Articolul este luat şi tradus de pe situl http://openmaniak.com/ un site bunicel în materie de securitate.
Articolul tradus este acesta:http://openmaniak.com/ettercap_arp.php.
În acest tutorial, maşina noastră ettercap va juca rolul de “omul din mijloc” (man in the middle), după un atac de spoofing ARP.
Diagrama(http://openmaniak.com/ettercap.php#diagram) scenariului este disponibilă în pagina de introducere ettercap.
Primul lucru de facut este de a stabili o adresă IP pe maşina dvs. ettercap în aceeaşi subreţea cu masina pe care doriţi să faceţi poison. Pentru tutorialul noastu adresa IP 192.168.1.100 este utilizată.
A se vedea de tutorialul de netwoking(http://openmaniak.com/networking.php) pentru explicaţii detaliate despre cum să setaţi o adresă de IP pe Linux.
Ca un memento, ettercap va avea nevoie de acces root pentru a fi lansat, apoi va putea fi “suportat” de utilizatorul nobody.
1.ARP spoofing.
- Deschide Ettercap in mod grafic
#ettercap -G
- Selectează “sniff mode”
Sniff -> Unified sniffing
Scanează gazda din subnetul tau
Hosts -> Scan for hosts
Scanearea campului de adrese depinde de setările făcute anterior pe placa de reţea
Vezi adresele IP şi MAC a calculatoareleor din subreţea.
Selectaţi maşinile pentru poison
Am ales sa facem ARP poison doar pentru un sistem Windows şi routerul 192.168.1.2 192.168.1.1.
Selectaţi linia ce conţine 192.168.1.1 şi faceţi clic pe butonul “Target 1″.
Selectaţi linia ce conţine 192.168.1.2 şi faceţi clic pe butonul “Target 2″.
Dacă nu selectaţi nici o maşină ca ţintă, toate maşinile din subreţea vor fi ARP atacate.
Verifică ţintele
Începe ARP Poisoning
Start -> Start sniffing
Pe un sistem Windows, cu ajutorul Wireshark, putem compara traficul ARP înainte şi după atac:
| 192.168.1.1 192.168.1.2 192.168.1.100 |
(Router) (Windows) (Pirate) |
11:22:33:44:11:11 11:22:33:44:55:66 11:22:33:44:99:99 |
Înainte de atac
Înainte de a începe să comunice, router-ul şi Windows-ul trimit un broadcast ARP(http://en.wikipedia.org/wiki/Broadcasting_%28networks%29) pentru aşi găsi adresa fiecăruia de MAC.
| No 1 2 3 4 |
Source 11:22:33:44:55:66 11:22:33:44:11:11 11:22:33:44:11:11 11:22:33:44:55:66 |
Destination 11:22:33:44:11:11 11:22:33:44:55:66 11:22:33:44:55:66 11:22:33:44:11:11 |
Prot ARP ARP ARP ARP |
Info who has 192.168.1.1? Tell 192.168.1.2 192.168.1.1 is at 11:22:33:44:11:11 who has 192.168.1.2? Tell 192.168.1.1 192.168.1.2 is at 11:22:33:44:55:66 |
După otrăvire
Cererea routerului de ARP brodcast este similară ca pentru un Windows.
Diferenţa dintre cele două etape vine de la faptul că nu există nici o cerere provenind de la Windows (192.168.1.2) pentru a găsi adresa MAC asociată la router (192.168.1.1), deoarece atacatorul trimite continuu pachete ARP spunândui maşinii Windows ca 192.168 .1.1 este asociat cu propria adresa MAC (11:22:33:44:99:99) în loc de adresa de router-MAC (11:22:33:44:11:11).
| No 1 2 3 4 |
Source 11:22:33:44:11:11 11:22:33:44:55:66 11:22:33:44:99:99 11:22:33:44:99:99 |
Destination 11:22:33:44:55:66 11:22:33:44:11:11 11:22:33:44:55:66 11:22:33:44:55:66 |
Prot ARP ARP ARP ARP |
Info who has 192.168.1.2? Tell 192.168.1.1 192.168.1.2 is at 11:22:33:44:55:66 192.168.1.1 is at 11:22:33:44:99:99 192.168.1.1 is at 11:22:33:44:99:99 |
- TABELE ARP:
Dacă ne uităm la tabela ARP a routerului şi a Windowsului, vedem că maşina Linux cu ettercup a “otravit” tabela lor de ARP şi a înlocuit adresa MAC a routerului si a Windowsului cu propria lui adresă MAC.
Acest lucru înseamnă că pachetele trimise între maşina Windows şi router vor tranzita reţeaua prin maşina cu ettercap.
Să vedem dacă am “otrăvit” cu succes tabela de ARP din router şi Windows:
| ——————– |  |
Windows machine 192.168.1.2 | ——————– |
Din Windows:
Start -> Run -> cmd
C:\Documents and Settings\administrator>arp -a
Interface <numele interfeţei>: 192.168.1.2 — 0×2
| Internet Address 192.168.1.1 192.168.1.100 |
Physical Address 11-22-33-44-11-11 11-22-33-44-99-99 |
Type dynamic dynamic |
Interface <numele interfeţei>: 192.168.1.2 — 0×2
| Internet Address 192.168.1.1 192.168.1.100 |
Physical Address 11-22-33-44-99-99 11-22-33-44-99-99 |
Type dynamic dynamic |
| ——————– |  |
Linux machine 192.168.1.100 | ——————– |
#arp -a
| ? ? |
(192.168.1.1) (192.168.1.2) |
at at |
11:22:33:44:11:11 11:22:33:44:55:66 |
[ether] [ether] |
on on |
eth0 eth0 |
| ——————– |  |
Router 192.168.1.1 | ——————– |
>show arp
| Protocol Internet Internet |
Address 192.168.1.2 192.168.1.100 |
Age (min) 194 128 |
Hardware Addr 1122.3344.5566 1122.3344.9999 |
Type ARPA ARPA |
interface FastEthernet0/0 FastEthernet0/0 |
| Protocol Internet Internet |
Address 192.168.1.2 192.168.1.100 |
Age (min) 194 128 |
Hardware Addr 1122.3344.9999 1122.3344.9999 |
Type ARPA ARPA |
interface FastEthernet0/0 FastEthernet0/0 |
Dacă ai Netscreen (Juniper), foloseşte comnda:
>get arp
Pe un router Vyatta(http://openmaniak.com/vyatta.php)
>show arp
- OPRIREA ARP spoofing:
Ettercap este destul de eficient. După atac, acesta va reasigna ARP-ul victimelor. Cu alte cuvinte, victimele vor primi din nou setările corecte.
Daca nu îşi revine singur în câteva minute, curăţaţi cache-ul ARP
Pe Windows:
| C:\Documents and Settings\admin>arp -d * |
Pe un Linux:
| #arp -d ip_address |
Pe un router Cisco:
#clear arp-cache
Tradus de la http://openmaniak.com/ettercap_arp.php
Back to top
Căutare 
Autori
Sponsori
