Ettercap


Bueno…..En el apartado Sniffers veiamos como sniffear una red: Teníamos como topologia una red en la cual el dispositivo activo de conexión era un hub, alli explicabamos que el hub trabajaba por inundación, osea que las tramas y paquetes, viajaban atravez de toda la red o mejor dicho por todos los puertos buscando la direccion destino en una comunicación.

Una de las diferencias entre un Switche y un Hub, es la manera de reenviar los paquetes, ya que el Switche almacena en una tabla MAC las direcciones MAC con sus respectivas IP, esto hace de este dispositivo un dispositivo mucho mas inteligente y por consiguiente genera menos trafico en la red. Ahora si lo pensamos bien, como hacemos entonces para sniffear, si todos los paquetes de la red ya no pasan por mi tarjeta de red, así la tenga en modo promiscuo?. Entonces existe algo llamado MITM o traducido al español como: Hombre en el medio. La técnica en resumidas cuentas lo que hace es que situa a un intruso entre una maquina victima y el Switche o router… La verdad es mucho mas largo el concepto, pero bueno esta es la forma de abreviarlo facilmente 🙂

Ahora vamos al ataque 🙂

  • Primero veamos el escenario, me disculpan lo basico del dibujo pero por cuestiones de tiempo no puede hacerlo mejor 🙂

  • Ahora vamos a instalar Ettercap.. Si teneis Ubuntu o debian, lo trae incluido en los repositorios, entonces digitamos:

sudo aptitude install ettercap

  • Ahora miremos las tablas ARP de la victima para identificar que direcciones o MAC tiene almacenadas, en este momento..Recordemos que esta tabla ARP se limpia cada X segundos:

Nota: Vemos entonces que tiene almacenada la IP y la MAC tanto del router como de la maquina intrusa.

  • Lo siguiente es abrir el Wireshark, recordemos que debemos estar logueados como superusuario y digitamos:

wireshark

  • Vemos entonces que si hacemos un filtro para sniffear los paquetes de la maquina victima, no nos muestra nada

  • Al ataque: Ahora vamos a ejecutar Ettercap. Para esto digitamos el comando

ettercap -Tq -M arp:remote /192.168.0.102/ /192.168.0.1/


-T ——> Indica que lo vamos hacer desde la terminal

-q ——-> No mostrar lo que se captura ya que usaremos Wireshark

arp ——> selección del tipo de “mimt”

Nota: Lo que hemos hecho es suplantar la dirección ARP del router  y de esta forma la victima creerá que se esta comunicando con el router cuando verdaderamente los paquetes están pasando por nosotros, aun así la maquina victima seguirá teniendo internet, y este proceso es totalmente transparente para el.

  • Veamos como se ve la tabla ARP de la victima

Nota: veamos como se ha modificado la tabla ARP, y vemos que tanto para la maquina atacante como para el router tiene la misma MAC, por supuesto es la MAC del intruso 🙂

  • Y por ultimo miremos si ahora el Wireshark nos permite sniffear la maquina victima.

  • Y bueno si deseamos cancelar la ejecución del ataque solo entramos en la consola y digitamos la tecla “q

No siendo mas espero os guste esta técnica 🙂

Anuncios
comentarios
  1. xmen dice:

    Hola, muy buen tutorial.
    Cuando ruedo ettercap -G , luego selecciono eth0 y en host le doy scan host , ettercap me muestra la misma direccion MAC con diferentes direcciones ip (aclaro que ya descomente las dos lineas del /etc/etter.conf; y me cerciore que funcione el ip-fprwar tecleando: echo “1” > /proc/sys/net/ipv4/ip_forward , y luego dandole #ysctl -w net.ipv4.ip_forward=1 respondiendome # 1 ):

    ip Adress MAC Addres
    xxx.xx.xxx.x 00:11:22:33:44:55
    xxx.xx.xxx.xx 00:11:22:33:44:55
    xxx.xx.xxx.xx 00:11:22:33:44:55
    xxx.xx.xxx.xxx 00:11:22:33:44:55
    xxx.xx.xxx.x

    • humanliks dice:

      Gracias por visitar el blog.

      Son muy raros los resultados que te muestra… Sin el forwarder tambien deberia mostrar las direcciones IP con sus mascaras…

      Sin embargo mandame un pantallazo para que miremos.

      Saludos

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s