Articolul este luat şi tradus de pe situl http://openmaniak.com/ un site bunicel în materie de securitate.

Articolul tradus este acesta:http://openmaniak.com/ettercap_arp.php.

În acest tutorial, maşina noastră ettercap va juca rolul de “omul din mijloc” (man in the middle), după un atac de spoofing ARP.

Diagrama(http://openmaniak.com/ettercap.php#diagram) scenariului este disponibilă în pagina de introducere ettercap.
Primul lucru de facut este de a stabili o adresă IP pe maşina dvs. ettercap în aceeaşi subreţea cu masina pe care doriţi să faceţi poison. Pentru tutorialul noastu adresa IP 192.168.1.100 este utilizată.
A se vedea de tutorialul de netwoking(http://openmaniak.com/networking.php) pentru explicaţii detaliate despre cum să setaţi o adresă de IP pe Linux.

Ca un memento, ettercap va avea nevoie de acces root pentru a fi lansat, apoi va putea fi “suportat” de utilizatorul nobody.

#ettercap -G

- Selectează “sniff mode”
Sniff -> Unified sniffing

Scanează gazda din subnetul tau
Hosts -> Scan for hosts
Scanearea campului de adrese depinde de setările făcute anterior pe placa de reţea

Vezi adresele IP şi MAC a calculatoareleor din subreţea.

Selectaţi maşinile pentru poison
Am ales sa facem ARP poison doar pentru un sistem Windows şi routerul 192.168.1.2 192.168.1.1.
Selectaţi linia ce conţine 192.168.1.1 şi faceţi clic pe butonul “Target 1″.
Selectaţi linia ce conţine 192.168.1.2 şi faceţi clic pe butonul “Target 2″.
Dacă nu selectaţi nici o maşină ca ţintă, toate maşinile din subreţea vor fi ARP atacate.

Verifică ţintele

Începe ARP Poisoning
Start -> Start sniffing

– ARP TRAFFIC:

Pe un sistem Windows, cu ajutorul Wireshark, putem compara traficul ARP înainte şi după atac:

Înainte de atac
Înainte de a începe să comunice, router-ul şi Windows-ul trimit un broadcast ARP(http://en.wikipedia.org/wiki/Broadcasting_%28networks%29) pentru aşi găsi adresa fiecăruia de MAC.

După otrăvire
Cererea routerului de ARP brodcast este similară ca pentru un Windows.
Diferenţa dintre cele două etape vine de la faptul că nu există nici o cerere provenind de la Windows (192.168.1.2) pentru a găsi adresa MAC asociată la router (192.168.1.1), deoarece atacatorul trimite continuu pachete ARP spunândui maşinii Windows ca 192.168 .1.1 este asociat cu propria adresa MAC (11:22:33:44:99:99) în loc de adresa de router-MAC (11:22:33:44:11:11).

- TABELE ARP:
Dacă ne uităm la tabela ARP a routerului şi a Windowsului, vedem că maşina Linux cu ettercup a “otravit” tabela lor de ARP şi a înlocuit adresa MAC a routerului si a Windowsului cu propria lui adresă MAC.
Acest lucru înseamnă că pachetele trimise între maşina Windows şi router vor tranzita reţeaua prin maşina cu ettercap.
Să vedem dacă am “otrăvit” cu succes tabela de ARP din router şi Windows:

——————–

Windows machine 192.168.1.2

——————–

Din Windows:
Start -> Run -> cmd
C:\Documents and Settings\administrator>arp -a
Interface <numele interfeţei>: 192.168.1.2 — 0×2

Interface <numele interfeţei>: 192.168.1.2 — 0×2

——————–

Linux machine 192.168.1.100

——————–

#arp -a

——————–

Router 192.168.1.1

——————–

>show arp

Dacă ai Netscreen (Juniper), foloseşte comnda:
>get arp
Pe un router Vyatta(http://openmaniak.com/vyatta.php)
>show arp

- OPRIREA ARP spoofing:

Ettercap este destul de eficient. După atac, acesta va reasigna ARP-ul victimelor. Cu alte cuvinte, victimele vor primi din nou setările corecte.
Daca nu îşi revine singur în câteva minute, curăţaţi cache-ul ARP

Pe Windows:

Pe un Linux:

Pe un router Cisco:

#clear arp-cache

Tradus de la http://openmaniak.com/ettercap_arp.php