Ettercap: Una suite para realizar ataques MITM en una LAN | Algo de Linux

martes, 16 de septiembre de 2008

Ettercap: Una suite para realizar ataques MITM en una LAN

Ettercap es un potente sniffer multipropósito diseñado para realizar ataques Man-in-the-Middle.

Una de las mejores cosas que tiene es que nos permite capturar el tráfico tanto en ambientes switcheados como en ambientes HUBeados, dado que utiliza la técnica de ARP spoofing.

Es multiplataforma, pudiendo correr en los siguientes sistemas:
  • Linux 2.0.x, Linux 2.2.x, Linux 2.4.x, Linux 2.6.x
  • FreeBSD 4.x 5.x
  • OpenBSD 2.[789] 3.x
  • NetBSD 1.5
  • Mac OS X (darwin 6.x 7.x)
  • Windows 2000/XP/2003
  • Solaris 2.x
Además, es muy configurable ya que nos permite crear filtros adaptados a nuestras necesidades, con el fin de capturar tan sólo el tráafico que nos interesa.

La forma más sencilla de instalarlo es a través de apt-get, si lo tenemos en los repositorios de nuestra distribución. Para ver si está en nuestra distribución podemos hacer un:
# apt-get update
# apt-cache search ettercap

En ubuntu hay dos versiones: una pensada para funcionar en modo texto (ettercap) y otra que admite modo texto y modo gráfico (ettercap-gtk). Instalamos la que queramos.
# apt-get install ettercap-gtk

Si instalamos ettercap-gtk, podemos iniciar la aplicación en modo texto, ejecutando:
# ettercap -T

O en modo gráfico:
# ettercap -G

Ettercap nos ofrece dos modos de trabajo:
  • unified sniff (por defecto) que es interactivo.
  • bridget sniff, no interactivo.

Veamos un ejemplo de uso:

Abrimos ettercap en modo gráfico:

# ettercap -G

Una vez abierta la aplicación seleccionamos en el menú Sniff la opción unified sniff.


Se nos abrirá un cuadro de diálogo en el que seleccionamos el interfaz en el que vamos a escuchar. Para esta prueba, selecciono eth0 y pulso Aceptar.


Al pulsar Aceptar, veremos que el menú de opciones se amplía:


Hacemos clic en Hosts. Nos aparecerá un menú como el que aparece en la siguiente imagen. Hacemos clic en "Scan for hosts" para obtener la lista de hosts activos en nuestra LAN. El programa hará un scaneo a toda la máscara de subred y nos dará la lista de hosts activos.


Una vez hecho lo anterior, tendremos que hacer clic en Hosts -> Hosts List para ver la lista de hosts activos. Se nos mostrará una ventana con los hosts conectados.

Seleccionamos la víctima y hacemos click en Add To Target 1.

Seleccionamos otr0 equipo de la red, como por ejemplo el router y hacemos click en Add To Target 2.

Una vez seleccionados los dos equipos, vamos al menu Mitm (Man-In-The-Middle) y seleccionamos Arp Poisoning.

Nos va a aparecer un cuadro de diálogo en el que marcaremos solo "Sniff Remote Connections".

Pulsamos Aceptar y ettercap comienza a realizar el ataque ARP Poisoning.

Una vez que hemos activado el ataque ARP Poisoning, ya podemos snifar para obtener datos como nombres de usuario y passwords. Para ello, vamos al menú Start y seleccionamos la opción Start Sniffing. Ettercap comenzará a snifar las conexiones entre los dos hosts que hemos selecicionado.

Para más información, consultar la página del proyecto: http://ettercap.sourceforge.net/

4 comentarios:

Anónimo dijo...

hola,,, q tal! ps el ettercap no me da la opcion de eth0 y ps por consiguiente no puedo pasar de ahí. Gracias, agredecería cualquier ayuda!

Esteban M. Navas Martín dijo...

Lo típico es que la primera tarjeta de red ethernet sea eth0, pero puede que en tu sistema se llame de otra manera. Mira qué interfaces de red te aparecen el el cuadro de selección.
También podría ser que no tuvieras bien configurada la interfaz de red en tu sistema.

Armando... dijo...

En el caso de estes usando algún Linux es necesario correr la aplicación como root para que muestre las interfaces de red, como usuario sin privilegios no las lista.

Esteban M. Navas Martín dijo...

Ettercap necesita privilegios de root para abrir los socket. Después no son necesarios. Si no eres un usuario administrador, consulta el man.

Te pego a continuación un extracto del MAN, donde habla del tema:

PRIVILEGES DROPPING
ettercap needs root privileges to open the Link Layer sockets. After
the initialization phase, the root privs are not needed anymore, so
ettercap drops them to UID = 65535 (nobody). Since ettercap has to
write (create) log files, it must be executed in a directory with the
right permissions (e.g. /tmp/). If you want to drop privs to a differ‐
ent uid, you can export the environment variable EC_UID with the value
of the uid you want to drop the privs to (e.g. export EC_UID=500) or
set the correct parameter in the etter.conf file.