Приветствую тебя, юный хакер! Сегодня --
твой день.
Ты уже наверняка слышал о мощном хакерском
средстве, о программе ettercap? Ettercap весьма
бурно эволюционирует, и в этот раз я
расскажу тебе о новой версии этой
суперпроги, 0.6.7, выпущенной буквально на
днях. Начиная с этой версии, ettercap достоин
носить название полноценного крякера
локальных сетей =))) Нельзя сказать, что ettercap
реализует какие-то особенно новые или
гениальные технологии, но у него есть одно
принципиальное отличие, что делает его
уникальным. Он объединяет кучу средств для
кошерного хака локальных сетей в единое
целое.
КОМПИЛИРУЕМ
Домашняя страница проекта: http://ettercap.sourceforge.net/
Ettercap реализован под следующие платформы:
MacOS X, Windows 9x/NT/2000/XP, FreeBSD, OpenBSD и, конечно же, Linux.
Для работы, ettercap'у не нужны какие-то
дополнительные библиотеки вроде libpcap или
libnet (за исключением библиотеки WinPCap для Windows-версии),
но для полнофункциональной работы
рекомендуется включить библиотеку curses (я
использовал шестой ncurses) и openssl (я
использовал дефолтную для red hat 7.2
библиотеку).
Процесс компиляции прост, особенно под Linux:
./configure --help
включаем нужные параметры
./configure
./make help
и далее следуем простым инструкциям,
компилируя и устанавливая сам ettercap и
плагины к нему.
В итоге, мы получаем ncurses-based-программу с
очень простым интерфейсом и богатым
диапазоном возможностей.
Документация к программе не очень обильна,
но я крайне рекомендую тебе прочесть все,
что идет в поставке пакета.
ВОЗМОЖНОСТИ
Все, что написано про возможности программы
на сайте - это правда =)) Но я не буду все это
пересказывать здесь, ты ведь уже не
маленький и умеешь читать по-английски.
Не спеши запускать прогу и пытаться её
юзать сразу же, едва скомпилировав и
установив. Прочти man ettercap, все readme, разберись
с конфигом (etter.conf) и фильтрами (etter.filter и
etter.filter.ssh). Учти, что по дефолту программа
выполняет множество лишних действий (например,
dns-резолвинг найденных адресов). Кроме того,
активный arpoisoning и некоторые другие действия
могут скомпрометировать хакера,
использующего ettercap. Даже в самой программе
встроена функция обнаружения себе подобных
=)) Конечно же, некоторые действия требуют
активной работы программы (т.е. испускания
ею некоторых кадров данных, которые могут
быть пойманы и продиагностированы), от
этого никуда не деться, но лучше, все-таки,
об этом знать =))
ЗАПУСКАЕМ
Запуск программы, её начальная работа
зависит от версии (Windows-версия спросит у
тебя номер интерфейс, который необходимо
использовать), от ключей, с которыми
программа была запущена, а также от
настроек в конфигурационных файлах. Я буду
рассказывать о максимально дефолтной (следовательно,
о предельно неприкрытой) работе программы.
Запускаем, выбираем интерфейс, программа
сканирует сабнет интерфейса (у меня это
192.168.0.246, маска подсети 255.255.255.0) на предмет
выяснения соответствий IP<->MAC, dns- и netbios-имен
машин. Открывается ncurses-окошко примерно
такого содержания:
Это главное (начальное) окно ettercap'а, откуда
ты можешь выбирать вражеские адреса,
запускать плагины (если твой ettercap их
поддерживает), выполнять различные команды.
Жми кнопку 'h', и ты получишь справку о
возможных функциях программы на этом
уровне. Почти во всех случаях, тебе
необходимо выбрать адреса, с которыми тебе
необходимо работать. Левая колонка -- source,
правая -- destination. Селект и деселект
производится кнопками <enter> и <space>.
Далее следует выбрать метод сниффинга. ettercap
предлагает целых три, я расскажу о каждом в
отдельности.
СНИФФИНГ
Итак, методов сниффинга три.
1) <a>, ARP poisoning based sniffing, применяется для
сниффинга в свичуемых сетях, а также для
применения атак класса mitm. В данном случае
используется атака arpoison, которая
модифицирует ARP-таблицы заражаемых хостов
таким образом, что все кадры данных с
выбранного source идут на твой хост, а с твоего
уже - на destination.
Иными словами, с помощью этого метода
сниффинга ты сможешь видеть любой траффик
твоего сегмента за пределами каких бы то ни
было ограничивающих тебя свичей. Ты также
сможешь проводить любые mitm-атаки, ровно с
той же силой, как если бы ты на самом деле
был посередине двух хостов. На основе этого
метода, уже с версии 0.6.7 ettercap реализует
перехват (dissection) паролей протоколов ssh1 и https.
Можно даже сниффить пароли в ssh версии 2,
если подключить фильтр (ettercap -F etter.filter.ssh),
который будет спуфить версию ssh-сервера с 1.99
(openssh-0.9.6, etc) на 1.51, поддерживающую только
лишь первую версию протокола ssh.
Очевидно, что для проведения атаки arpoison,
ettercap'у необходимо нагадить в сеть целой
пачкой ложных ARP-пакетов, и я почти уверен,
что уже есть средства, отлавливающие эту
атаку. И уж тебе решать, как от этого
спасаться. Можно, например, вводить ложный
IP-адрес...
2,3) <s>, IP based sniffing, <m>, MAC based sniffing, это
обычный пассивный сниффинг локальной сети.
Возможности такого сниффинга ограничены,
хотя меня впечатлило количество
поддерживаемых протоколов при
относительно небольшом размере программы.
Напихав нужные адреса в source, destination или в оба
сразу (я выбрал 192.168.0.200 в качестве source),
выбирай метод сниффинга (я выбрал <a>), ты
попадешь в соответствующее окно:
и будешь видеть все интересующие тебя
соединения. Для того, чтобы собирать пароли,
делать не нужно вообще ничего =)) Наведи
курсор на нужное тебе соединение: пароли
будут появляться в нужной части экрана =))
Сброс паролей в лог -- кнопка <l>. Нажми на
кнопку <h> и ты увидишь новый диапазон
возможностей, уверен, он тебя впечатлит.
Убийство соединений, хайджекинг, филтеринг,
etc... Что ещё нужно хакеру? =)
ВКУСНОСТИ
Возможности программы ettercap огромны, но я
почти уверен, что они тебя не удовлетворят
на все 100%. Ну что же, для твоих злобных целей
предусмотрены варианты в виде:
1) Написания плагинов; ну тут все просто и
понятно: не влезая в кишки ettercap'a, рюхаешь
плагинный интерфейс этой проги и делаешь
нужный тебе компонент, который ты сможешь
подгружать в программу всякий раз, когда
тебе это нужно.
2) Возможность bind'ить локальный порт, с
которым ettercap проассоциирует нужное тебе
соединение. Это очень ценное свойство
программы: ты сможешь заранее реализовать
нужные тебе механизмы, воспроизвести
которые в реальном времени весьма
затруднительно =)) Проще говоря, влезать в
чужие IRC-приваты и материться можно и руками,
но если ты захочешь впарить кому-нибудь
бекдор, проспуфив http или ftp, или сообщить
какому-нибудь биржевому игроку, что его
акции упали в цене в четыре раза, такое
свойство программы может оказаться весьма
и весьма кстати =))
ГОРЬКОСТИ
Они тоже есть, а куда же без них? =))) И
горькостей, пожалуй, даже больше, чем
вкусностей.
1) Виндовый порт программы, мягко говоря,
далёк от совершенства. В этом вина
реализации posix'овой мультизадачности cygwin'а,
сквалыжностью сетевой части и множеством
более минорных моментов, связанных с
портированием софта. Даже в моей win2k,
системе довольно кондовой и крепкой, ettercap
работает нестабильно...
2) Если ты не программист (принципиально, как
один мой знакомый журналист, или просто от
нежелания/неумения), то тебе придется
забыть о возможных вкусностях ettercap'а,
довольствоваться дефолтным содержимым и
ждать обновлений программы.
3) Один мой знакомый хакер из Свердловска
уже опубликовал патч к ядру linux-2.4 против
атаки arpoison. Следует надеяться, что ядра Windows
исправят нескоро, но уже можно утверждать,
что дни arpoison сочтены... О патче к ядру linux-2.4
ты можешь прочесть тут:
http://www.securitylab.ru/?ID=33493
http://www.securitylab.ru/?ID=33591
Желаю тебе удачи, юный хакер!
P.S. И не ходи под рутом на захваченных
машинах... man adduser -=)
С уважением, [Privacy]