Definire Ettercap come un semplice sniffer di rete è molto riduttivo, questo utilissimo software è in grado di fare ben altro, in questo articolo cercherò di fare una panoramica su come è possibile utilizzarlo. Ettercap a differenza degli sniffer "tradizionali", può intercettare traffico di rete anche in reti switchate, senza ricorrere a programmi esterni per compiere l ' arp-poisoning.Oltre a questo Ettercap possiede delle capacità di HTTPS E SSL 1 password sniffing ,OS fingerprinting(riconoscimento dei sistemi operativi) su host in rete, possibilità di killing sulle connessioni e capacità di DNS spoofing. Chi ha preparato la chiavetta con Backtrack 4, potrà subito cimentarsi nel provare il programma , gli altri possono scaricarlo a questo indirizzo http://ettercap.sourceforge.net/download.php.Vediamo ad esempio come è semplice sniffare il traffico fra un router e un sistema bersaglio, una volta lanciata l'interfaccia grafica selezionare la voce di menu "Sniff –> Unified Sniffing" , da qui è possibile scegliere l'interfaccia di rete da utilizzare nello sniffing. Per cercare gli hosts connessi scegliere dal menu "Hosts –> Scan for Hosts", dopo qualche secondo dal menu "Hosts –> Hosts List" è possibile vedere tutti gli hosts collegati alla rete.Ora potete scegliete il vostro sistema bersaglio, dalla finestra "Hosts List" selezionare l' indirizzo del router e cliccare su "Add to target 1", ripetete la stessa operazione per il sistema bersaglio e premere "Add to target 2". Quindi selezionare il menu "Mitm –> ARP Poisoning" spuntate l' opzione "sniff remote connections" e dare OK.
Le potenzialità del software non sono affatto finite,si possono utilizzare plugin e filtri, vediamo ad esempio come è possibile impedire la connessione alla rete di un particolare IP con l'ausilio dei filtri.Prima operazione da compiere è scrivere il filtro, dobbiamo semplicemente scrivere in un file di testo questo codice:
#filtra uno specifico ip
if(ip.src=='xxx.xxx.xxx.xxx'){
kill();
drop();
}
}
#eof
#vim:ts=3:expandtabAl posto delle x inserire l'IP che volete filtrare e salvate il tutto con il nome "etter.myfilt" nella directory:
/usr/share/ettercap/.
etterfilter -o /usr/share/ettercap/etter.myfilt.ef /usr/share/ettercap/etter.myfilt
Ok, il filtro è pronto e compilato.
Eseguite ettercap, scegliete l' interfaccia, trovate gli host, aggiungete il router come come target1, poi il vostro sistema bersaglio come target2, quindi "Mitm –> ARP Poisoning" spuntando "sniff remote connections" dare OK, iniziate lo sniffing "Start –> Start Sniffing".Quando lo sniffing è in corso dal menu "filters" selezionate il file che avete creato "etter.myfilt.ef" , all'IP specificato nel filtro viene impedito il collegamento alla rete. Altri esempi sui filtri sono contenuti nella directory /usr/share/ettercap/, ad ogni modo torneremo ancora su ettercap per scoprire altre interessanti possibilità.
Nessun commento:
Posta un commento