Upload File

tutorial ettercap

10
Autor: David Subires Parra Módulo Profesional: Seguridad y Alta Disponibilidad Ciclo Formativo: Administración de Sistemas Informáticos en Red Instituto: I.E.S Celia Viñas Curso Académico: 2011/2012 1 / 10

Upload: lokojano2011

Post on 04-Aug-2015

195 views

Category:

Documents


2 download

Report

TRANSCRIPT

Page 1: Tutorial Ettercap

Autor: David Subires Parra

Módulo Profesional: Seguridad y Alta Disponibilidad

Ciclo Formativo: Administración de Sistemas Informáticos en Red

Instituto: I.E.S Celia Viñas

Curso Académico: 2011/2012

1 / 10

Page 2: Tutorial Ettercap

Índice de contenidoIntroducción.......................................................................................................................3¿Qué es Man in the Middle?..............................................................................................4¿Qué es ARP Spoofing?.....................................................................................................4Aplicación práctica............................................................................................................5Solución a esta debilidad...................................................................................................9Usos legítimos.................................................................................................................10

2 / 10

Page 3: Tutorial Ettercap

IntroducciónEttercap es un interceptor/sniffer para redes LAN con switch. Soporta direcciones activas y pasivas de varios protocolos(incluso aquellos cifrados, como SSH y HTTPS).También hace posible la inyección de datos en una conexión establecida y filtrado al vuelo aun manteniendo la conexión sincronizada gracias a su poder para establecer un ataque Man in the middle.

Sus funciones son las siguientes:

− Inyección de caracteres en una conexión establecida emulando comandos o respuestas mientras la conexión está activa.

− Compatibilidad con SSH1: puede interceptar usuarios y contraseñas incluso en conexiones “seguras” con SSH

− Compatibilidad con HTTPS: intercepta conexiones mediante http SSL (supuestamente seguras) incluso si se establecen a través de un proxy.

− Intercepta tráfico remoto mediante un túnel GRE: si la conexión se establece mediante un túnel GRE con un router CISCO, puede interceptarla y crear un ataque “Man in the Middle”

− “Man in the Middle” contra túneles PPTP (VPN)

Plataforma: Linux/ Windows Última versión: NG-0.7.3

Además de las funciones que nos ofrece ettercap podemos añadir más mediante plugins:

− Colector de contraseñas− Ataques DoS− Filtrado y sustitución de paquetes.− OS fingerprint: es decir, detección del sistema operativo remoto.− Mata las conexiones.− Escáner de LAN: hosts, puertos abiertos, servicios..− Detecta otros envenenamientos ARP en la red.

Una vez que empieza a rastrear el tráfico, obtendrás un listado de todas las conexiones activas, junto a una serie de atributos acerca de su estado (active, killed, etc..)

3 / 10

Page 4: Tutorial Ettercap

¿Qué es Man in the Middle? Un ataque man-in-the-middle o intermediario en español es un ataque en el que el intermediario adquiere la capacidad de leer, insertar y modificar los mensajes entre dos partes sin que ninguna de ellas conozca que el enlace ha sido interceptado.

¿Qué es ARP Spoofing? El ARP Spoofing, también conocido como ARP Poisoning o Envenenamiento arp, es una técnica usada para infiltrarse en una red Ethernet (basada en switch y no en hubs), que puede permitir al atacante husmear paquetes de datos en LAN, modificar el tráfico, o incluso detenerlo.El principio del ARP Spoofing es enviar mensajes ARP falsos a la red, normalmente la finalidad es asociar la dirección MAC del atacante con la dirección IP de otro host (el host atacado), como por ejemplo el gateway, cualquier tráfico dirigido a la dirección IP de ese host, será erróneamente enviado al atacante, en lugar de a su destino real. El atacante, puede entonces elegir, entre reenviar el tráfico (ataque pasivo) o modificar los datos antes de reenviarlos (ataque activo).El atacante puede incluso lanzar un ataque de tipo DoS (Denegación de Servicio) contra una víctima asociando una dirección MAC inexistente con la dirección IP de la puerta de enlace predeterminada de la víctima.

4 / 10

Page 5: Tutorial Ettercap

Aplicación práctica Para instalar ettercap tenemos que descargarnos el paquete desde la web oficial, http://ettercap.sourceforge.net/.

En el caso de windows nos descargamos el instalador aquí:http://downloads.sourceforge.net/project/ettercap/unofficial%20binaries/windows/ettercap-NG-0.7.3-win32.exe?r=&ts=1322524658&use_mirror=garr

Y en el caso de Linux nos descargamos el código fuente para compilarlo aquí: http://prdownloads.sourceforge.net/ettercap/ettercap-NG-0.7.3.tar.gz?download aunque también se puede instalar mediante repositorios, ejecutando la orden sudo apt-get install ettercap-gtk ( en ubuntu).

Una vez instalado, iniciamos el programa (en el caso de Linux lo ejecutamos como root para poder seleccionar la interfaz de red a utilizar con la orden ettercap --gtk )

Pulsamos la pestaña Sniff > Unified Sniffing, para elegir el modo de sniff.

Seleccionamos la interfaz que está conectada a la red.

5 / 10

http://ettercap.sourceforge.net/
http://prdownloads.sourceforge.net/ettercap/ettercap-NG-0.7.3.tar.gz?download
http://prdownloads.sourceforge.net/ettercap/ettercap-NG-0.7.3.tar.gz?download
Page 6: Tutorial Ettercap

Pulsamos la pestaña Hosts > Scan for hosts para detectar los host de lared.

Pulsamos la pestaña Host > Host list para ver la relación de IP-MAC que hay conectadas a la red, cabe destacar que el router será uno de los listados y que nuestro pc no sale en la lista.Seleccionamos la IP del equipo a atacar y pulsamos Add to Target 1, después el router Add to Target 2.

6 / 10

Page 7: Tutorial Ettercap

Ahora que ya tenemos los objetivos marcados, procedemos al envenenamiento de arp para poder realizar el man in the middle.Pulsamos la pestaña Mitm > ARP Poisoning y marcamos el checkbox Sniff remote connections.

Por último pulsamos la pestaña Start > Start sniffing.

7 / 10

Page 8: Tutorial Ettercap

Con esto ya tenemos ettercap snifando el tráfico de red entre el host atacado y el router.

Al terminar debemos de deshacer el arp spoofing, pulsando en Mitm > Stop Mitim Attack's, para que el otro ordenador no se quede sin acceso a internet.

Aquí podemos ver como ettercap muestra los usuarios y contraseñas del equipo atacado, siendo indiferente si son http o https, las conexiones “seguras”.

También podemos realizar más acciones, desde la pestaña Plugins, como ataques DoS (DoS Attack), dns spoof, detectar arp spoofing (ARP cop), detectar SO (finger print), ver las url por las que navega (remote_browser)

8 / 10

Page 9: Tutorial Ettercap

Solución a esta debilidad

Un método para prevenir el ARP Spoofing, es el uso de tablas ARP estáticas, de forma que no existe caché dinámica, cada entrada de la tabla mapea una dirección MAC con su correspondiente dirección IP. Sin embargo, esta no es una solución práctica, sobre todo en redes grandes, debido al enorme esfuerzo necesario para mantener las tablas ARP actualizadas: cada vez que se cambie la dirección IP de un equipo, es necesario actualizar todas las tablas de todos los equipos de la red.

Por lo tanto, en redes grandes es preferible usar otro método: el DHCP snooping. Mediante DHCP, el dispositivo de red mantiene un registro de las direcciones MAC que están conectadas a cada puerto, de modo que rápidamente detecta si se recibe una suplantación ARP. Este método es implementado en el equipamiento de red de fabricantes como Cisco, Extreme Networks y Allied Telesis.

Otra forma de defenderse contra el ARP Spoofing, es detectarlo. Arpwatch es un programa Unix que escucha respuestas ARP en la red, y envía una notificación vía email al administrador de la red, cuando una entrada ARP cambia.Comprobar la existencia de direcciones MAC clonadas puede ser también un indicio de la presencia de ARP Spoofing.

Por ejemplo, para evitar que nuestro equipo sea víctima de un ataque man in the middle , bastará con añadir la entrada arp del gateway de manera permanente (cada vez que inicie el sistema, mediante un fichero .sh o .bat):

En ubuntu: sudo arp -s 192.168.1.1 00:11:22:33:44:55 En windows: arp -s 192.168.1.1 00-11-22-33-44-55

La única diferencia es el formato de la MAC

9 / 10

Page 10: Tutorial Ettercap

Usos legítimos El ARP Spoofing puede ser usado también con fines legítimos. Por ejemplo, algunas herramientas de registro de red, pueden redireccionar equipos no registrados a una página de registro antes de permitirles el acceso completo a la red.

Otra implementación legítima de ARP Spoofing, se usa en hoteles para permitir el acceso a Internet, a los portátiles de los clientes desde sus habitaciones, usando un dispositivo conocido como HEP (Head-End Processor o Procesador de Cabecera), sin tener en cuenta su dirección IP.

El ARP Spoofing puede ser usado también para implementar redundancia de servicios de red. Un servidor de backup puede usar ARP Spoofing para sustituir a otro servidor que falla, y de esta manera ofrecer redundancia de forma transparente.

10 / 10


[Tutorial] Golden Soutache Pendientes - Bead Tutorial

Tutorial Mecanet

Tutorial cmaptools

Tutorial-01:EstadísticadescriptivaconCalc. Índicepostdata-statistics.com/IntroEstadistica/Tutoriales/Tutorial-01.pdf · PostDataCursodeIntroducciónalaEstadística Tutorial-01:EstadísticadescriptivaconCalc

Tutorial Campus IMP - SEASvideo.seas.es/guias/seas/tutorial/Tutorial_Campus_IMP_SEAS.pdf · TUTORIAL CAMPUS ALUMNOS Bienvenidos al tutorial del campus virtual! En este tutorial, te

Tutorial picasa

Tutorial wampserver

Introducción al Ettercap

KISSsys – Tutorial 001 - 05 Estructura del Tutorial de · KISSsys – Tutorial 001 - 05 Caja de Cambios helicoidal de dos Etapas Estructura del Tutorial Este tutorial tiene tres

Tutorial access

Tutorial Mailchimp

WinRAR: El tutorial. Tutorial I: Compresión de archivos

Jugando en la redspanish]-jugando-en... · → Empezando por ettercap vemos que es un programa que nos permite sniffar el tráfico de red y obtener así las contraseñas de otros

Tutorial mevv

Tutorial 3

Tutorial slideshare

Tutorial LOVE G3 Actualizada..Tutorial LOVE G3 Actualizada

Tutorial REA acompañamiento tutorial

Tutorial 02: Estadística descriptiva con R.postdata-statistics.com/IntroEstadistica/Tutoriales/Tutorial-02.pdf · PostDataCursodeIntroducciónalaEstadística Tutorial 02: Estadística

Tutorial url

Tutorial: Gestión básica de contenidos en SharePointww2.sd-a.com/Documents/Tutorial SharePoint Server.pdf · Para este tutorial utilizaremos una web real: En este tutorial modificaremos

Tutorial Tutorial Verilog - iuma.ulpgc.esnunez/clases-FdC/verilog/Verilog Tutorial v1.pdf · Tutorial Tutorial Verilog Este tutorial pretende ser una guía de aprendizaje para el

TUTORIAL SISTEMA BDUAR - USRusr.org.ar/PDF/2017/tutorial-administrativo-club.pdf · TUTORIAL SISTEMA BDUAR Tutorial documentado de utilización del sistema BDUAR. El presente documento

Tutorial Lecture Lecture Lecture Tutorial Lecture Lecture Tutorial Holiday Lecture Lecture Tutorial Lecture Name of the Faculty Medha Das Vandana Tiwari ... Haematology Lab Batch

WinRAR: El tutorial. Tutorial II: Descompresión de archivos

Tutorial

Tutorial canva

Tutorial tutorial

Tutorial Chamilo

Ataque mit m usando ettercap a

Tutorial pseudocodigo11

Tutorial foldingstory

Support.ebsco.com My EBSCOhost Tutorial Tutorial

Support.ebsco.com Career Management System Tutorial para Administradores Tutorial

Tutorial