Ettercap. MitM атаки и перехват пароля.

Ettercap — это приложение для анализа сетевого трафика, проходящего через интерфейс компьютера, но с дополнительной функциональностью. Утилита позволяет выполнять атаки типа «man in the middle», чтобы заставить другой компьютер передавать пакеты не маршрутизатору, а вам.

Домашняя страница: https://www.ettercap-project.org/

Программа предустановлена в Kali Linux.

Наиболее важными особенностями ettercap являются:

• Поддержка SSH1: вы можете сосниффить Пользователя и Пароль и даже данные SSH1 подключения. Ettercap является первой программой, способной сниффить SSH подключение в ПОЛНОМ ДУПЛЕКСЕ.
• Поддержка SSL: вы можете сниффить безопасные данные SSL… клиенту предоставляется фальшивый сертификат и сессия расшифровывается.
• Вставка символов в установленном подключении: вы можете вставлять символы для сервера (эмулирующие команды) или для клиента (эмулирующие ответы) поддерживающие соединение живым!!
• Фильтрация/отбрасывание пакетов: Вы можете настроить скрипт фильтра для поиска конкретных строк (даже в шестнадцатеричном формате) в полезной нагрузке TCP или UDP и заменить их на ваши собственные или отбросить целый пакет. Движок фильтрации может искать на соответствие по любому полю сетевых протоколов и модифицировать любым образом на ваше усмотрение.
• Удалённый сниффинг трафика через туннели и коверканье маршрута: Вы можете поиграться с готовым интерфейсом Linux или использовать интегрированный плагин для сниффинга туннелированных или с искажённым маршрутом соединениями и выполнить атаки mitm на них.
• Поддержка плагинов: Вы можете создавать ваши собственные плагины используя API ettercap'а.
• Сбор паролей для: TELNET, FTP, POP, RLOGIN, SSH1, ICQ, SMB, MySQL, HTTP, NNTP, X11, NAPSTER, IRC, RIP, BGP, SOCKS 5, IMAP 4, VNC, LDAP, NFS, SNMP, HALF LIFE, QUAKE 3, MSN, YMSG другие протоколы на подходе…).
• Пассивное снятие отпечатков ОС: вы пассивно сканируете локальную сеть (без отправки каких-либо пакетов) и собирать детальную информацию о хостах в LAN: операционную систему, запущенные службы, открытые парты, IP, mac адрес и производитель сетевого адаптера.
• Убийство соединения: из списка соединений вы можете убить соединения по вашему желанию.

 Wireshark — это достаточно известный инструмент для захвата и анализа сетевого трафика, фактически стандарт как для образования, так и для траблшутинга. Wireshark работает с подавляющим большинством известных протоколов, имеет понятный и логичный графический интерфейс на основе GTK+ и мощнейшую систему фильтров.

  Атака «Man In The Middle» — вид атаки в криптографии, когда злоумышленник перехватывает и подменяет сообщения, которыми обмениваются корреспонденты, причём ни один из последних не догадывается о его присутствии в канале.

Запуск Ettercap.

Для начала нужно подключится к беспроводной сети. Затем запустим приложение ettercap. У него есть UI интерфейс.

Нам нужно определить какие ip устройств подключены к этой же сети, что и мы. Для этого заходим в раздел Sniff ->  unified sniffing

В этом разделе нужно выбрать тип сети, которую мы хотим отследить. В нашем случаи это беспроводная сеть.

После отобразятся дополнительные опции. Далее выбираем раздел Hosts -> Scan for hosts. После завершения скана нужно зайти в раздел списка всех хостов, которые мы нашли в этапе сканирования, для этого входим в раздел Hosts -> Hosts list.

В этой опции мы выбираем:

1) ip адреса, которые мы хотим отслеживать

2) добавляем наблюдение за ними с помощью кнопки Add to Target 1 и Add to Target 2

 Затем заходим в раздел Mitm -> ARP poisoning и отмечаем функцию sniff remote connections, ну и в конце концов нажимаем старт отслеживания, через кнопку Start. 

  Далее запускаем программу Wireshark и действуем как это показано в видео:

Этот вид атаки и с помощью этих приложений можно совершить лишь на сайты, которые находятся на протоколе http (не защищенном). На https протокол, эта атака не подействует. Совет из этого помните о том, что вы тоже можете находится под атакой, пользуясь общественными сетями

Как защитится:

 1. Не позволяйте посторонним лицам иметь доступ в вашу сеть.

 2. Когда вы сами пользуетесь публичными точками доступа, то, хотя бы, помните об угрозе перехвата пароля.

 3. Используйте VPN, эта технология способна решить все проблемы с небезопасными сетями

 4. Самый действенный способ — SSL-сертификаты.

Social Engineering - Канал посвященный Социальной инженерии, профайлингу, НЛП, Хакингу, Анонимности и безопасности в сети интернет, OSINT, Пентест, Даркнету и все что с ним связано. Добро пожаловать ;-)

S.E.Book - Литература социального инженера.

@Social_Engineering_bot - Бот обратной связи.

1. Браузерные расширения для OSINT-специалистов.
2. Модуль ESP8266. Глушим WiFi.
3. OSINT. Определение местоположения по фотографии. Обратный поиск изображений.
4. GPG4USB. Шифруем переписку.
5. Социальная инженерия. Запретные приемы манипуляции людьми.
6. Удаляем систему по щелчку кнопки.