Ettercap NG – сетевой sniffer /interceptor/ logger для коммутируемых сетей (switched LAN). Программа использует ARP poisoning и “man-in-the-middle” методы нападения, чтобы перехватывать подключения между двумя хостами в реальном времени. Вы можете перехватить трафик между двумя хостами в сети интернет, используя MAC-based sniffing mode. Позволяет перехватывать SSH1, HTTPS и другие защищенные протоколы. В последнее время часто используется для реализации сценариев bgp spoofing при MiTM на майнинг и протокол bgp как таковой.
Позволяет расшифровывать пароли для следующих протоколов - TELNET, FTP, POP, RLOGIN, SSH1, ICQ, SMB, MySQL, HTTP, NNTP, X11, NAPSTER, IRC, RIP, BGP, SOCKS 5, IMAP 4, VNC, LDAP, NFS, SNMP, HALF LIFE, QUAKE 3, MSN, YMSG или как это говорят на профильных площадках «Сетевой инженер шатает bgp».
Перехват трафика Ettercap NG и как это работает?
Ettercap NG — это мощный инструмент для перехвата сетевого трафика, который использует несколько ключевых методов для достижения своих целей:
ARP-спуфинг. Ettercap подменяет MAC-адрес шлюза на свой собственный в ARP-таблице целевого устройства. В результате, весь трафик, предназначенный для шлюза, направляется на атакующий компьютер. Более подробно это выглядит так:
- Ettercap NG отправляет поддельные ARP-пакеты, утверждая, что он является шлюзом.
- Целевое устройство обновляет свою ARP-таблицу и начинает отправлять трафик на машну с Ettercap NG.
- Ettercap NG перехватывает этот трафик и может его анализировать, модифицировать или перенаправлять.
Прозрачный прокси. Ettercap NG устанавливает себя в качестве промежуточного сервера между клиентом и сервером. Весь трафик, проходящий через это соединение, проходит через Ettercap NG.
- Ettercap NG перехватывает соединение между клиентом и сервером.
- Модифицирует пакеты таким образом, чтобы клиент и сервер думали, что общаются напрямую.
- Ettercap NG может дешифровать и шифровать трафик, а также изменять его содержимое.
Инъекция пакетов. Ettercap NG может вставлять свои собственные пакеты в сетевой трафик.
Анализ протоколов. Ettercap NG поддерживает широкий спектр сетевых протоколов и может анализировать их содержимое.
Фильтрация пакетов. Ettercap NG позволяет фильтровать пакеты по различным критериям, таким как IP-адрес, порт, протокол и т.д.
Для чего используется Ettercap?
Анализ безопасности. Для выявления уязвимостей в сетевых устройствах и приложениях.
Перехват паролей. Для перехвата незашифрованных паролей.
Проксирование. Для создания прозрачных прокси-серверов.
Отладка сетевого трафика. Для отладки сетевых приложений.
MiTM на майнинг
Реализация bgp spoofing сценариев
Атаки на протокол bgp
Атаки с подменой маршрутов в зоне bgp
BGP сервер для обхода
BGP сценарии с подменой маршрутной информации
с Ettercap NG методов работы всего три
1) <a>, ARP poisoning based sniffing, применяется для сниффинга в коммутируемых локальных сетях второго уровня, а также для применения bgp spoofing сценариев класса mitm. В данном случае используется сценарий arpoison, которая модифицирует ARP-таблицы целевых хостов таким образом, что все кадры данных с выбранного source идут на твой хост с Ettercap NG, а с твоего хоста уже - на destination в пункт назначения на bgp-роутер или клиенту криптомоста, это уж как тебе будет удобнее.Иными словами, с помощью этого метода сниффинга ты сможешь видеть любой траффик твоего сегмента сети за пределами каких бы то ни было ограничивающих тебя коммутаторов. Ты также сможешь реализовывать любые mitm-сценарии, ровно с той же силой, как если бы твой хост на самом деле был бы посередине двух хостов. На основе этого метода, уже с версии 0.6.7 Ettercap NG реализует перехват (dissection) паролей протоколов ssh1 и https. Можно даже сниффить пароли в ssh версии 2, если подключить фильтр (ettercap -F etter.filter.ssh), который будет спуфить версию ssh-сервера с 1.99 (openssh-0.9.6, etc) на 1.51, поддерживающую только лишь первую версию протокола ssh.
Очевидно, что для реализации сценария arpoison, ettercap'у необходимо зафлудить сеть целой пачкой сгенерированных ARP-пакетов, и я тебе скажу больше, что на современных управляемых коммутаторах уже есть средства, отлавливающие этот сценарий. И уж конечно тебе решать, как от этого спасаться, чтобы не спалиться Можно, например, вводить ложный IP-адрес...
2,3) <s>, IP based sniffing, <m>, MAC based sniffing, это обычный пассивный сниффинг локальной сети. Возможности такого сниффинга ограничены, хотя меня впечатлило количество поддерживаемых протоколов при относительно небольшом размере программы.
Напихав нужные адреса в source, destination или в оба сразу (я выбрал 192.168.0.200 в качестве source), выбирай метод сниффинга (я выбрал <a>), ты попадешь в соответствующее окно:
Очевидно, что для реализации сценария arpoison, ettercap'у необходимо зафлудить сеть целой пачкой сгенерированных ARP-пакетов, и я тебе скажу больше, что на современных управляемых коммутаторах уже есть средства, отлавливающие этот сценарий. И уж конечно тебе решать, как от этого спасаться, чтобы не спалиться Можно, например, вводить ложный IP-адрес...
2,3) <s>, IP based sniffing, <m>, MAC based sniffing, это обычный пассивный сниффинг локальной сети. Возможности такого сниффинга ограничены, хотя меня впечатлило количество поддерживаемых протоколов при относительно небольшом размере программы.
Напихав нужные адреса в source, destination или в оба сразу (я выбрал 192.168.0.200 в качестве source), выбирай метод сниффинга (я выбрал <a>), ты попадешь в соответствующее окно:
и будешь видеть все интересующие тебя соединения. Для того, чтобы собирать пароли, делать не нужно вообще ничего =)) Наведи курсор на нужное тебе соединение: пароли будут появляться в нужной части экрана =)) Сброс паролей в лог -- кнопка <l>. Нажми на кнопку <h> и ты увидишь новый диапазон возможностей, уверен, он тебя впечатлит. Убийство соединений, хайджекинг, филтеринг, etc... Что ещё нужно для перехвата bgp-сессии и реализации bgp-spoofing сценария при работе с криптоканалами и криптомостами? =) На видео более подробно поговорим про утечки маршрутов (route leaks) и к чему вообще всё это....
ВКУСНОСТИ
Возможности программы ettercap ng огромны, но я почти уверен, что они тебя не удовлетворят на все 100%. Ну что же, для твоих криптовалютных целей предусмотрены варианты в виде:
1) Написания плагинов; ну тут все просто и понятно: не влезая в кишки ettercap'a, юзаешь плагинный интерфейс этой проги и делаешь нужный тебе компонент, который ты сможешь подгружать в программу всякий раз, когда тебе это нужно.
2) Возможность bind'ить локальный порт, с которым ettercap проассоциирует нужное тебе соединение, например по 179 порту. Это очень ценное свойство программы: ты сможешь заранее реализовать нужные тебе механизмы, воспроизвести которые в реальном времени обычными средствами весьма затруднительно =)) Проще говоря, влезать в чужие IRC-приваты и материться можно и руками, но если ты захочешь впарить кому-нибудь бекдор, проспуфив http или ftp, или сообщить какому-нибудь биржевому игроку, что его акции упали в цене в четыре раза, или же подменить некий криптомост, где плавают жирные киты на время своим мостом с нужными тебе смартконтрактами, такое свойство программы может оказаться весьма и весьма кстати =))
No comments:
Post a Comment