Ettercap-ng

De Backtrack-fr

Sommaire

Introduction

Ettercap est un utilitaire réseau aux multiples fonctionnalités. A sa naissance, l’utilisation la plus courante qu’on en faisait était de sniffer (capturer les paquets) des réseaux LAN. Dorénavant, il est également possible de réaliser des attaques de type Man In The Middle (MITM ou "Homme au milieu" : voir Introduction au spoofing, sniffing, et aux brutes forceurs.) (attaque comme l’hijacking TCP, le DNS Spoofing...).

Ettercap est doté de plugins facilitant la recherche de mots de passe. Pour cela, il suffit simplement qu’une session d’un protocole non sécurisé ait lieu, et Ettercap détecte toutes les informations sensibles. De nombreux protocoles sont supportés (FTP, HTTP, telnet,...). Depuis l’intégration de module gérant le SSH et les sessions HTML sécurisés (SSL), il est également possible de récupérer les mots de passe grâce à la méthode MITM.

Il est également composé de fonctions intéressantes sur le réseau comme l’injection de requêtes, soit à envoyer au client (pour par exemple garder une connexion active), soit à envoyer au serveur (pour en tirer parti). On peut également réaliser des analyses d’hosts intéressantes et des identifications sur les machines (informations sur le système...etc)

C’est un projet libre, qui peut être utilisé au travers d’un mode graphique, et d'un mode texte simple, ou interactif avec des menus.

Version actuelle : 0.7.3

Ettercap.png

Mode graphique

Vous pouvez le lancer à partir de la ligne de commande :

 bt ~ # ettercap -G

Le sniffing et les dissecteurs

Pour éviter de se noyer dans la masse des données capturés, Ettercap met en place des dissecteurs, c'est à dire des filtres qui gardent les paquets à potentiel, tel que les mots de passe et les identifiants. Vous pouvez également créer les vôtres.

Les plugins

Informations disponibles sur le réseau

Beaucoup de protocoles utilisent des systèmes de communications non sécurisés : le telnet , le FTP , et certains sites HTTP ne sont pas du tout protégés et les mots de passe circulent en clair. De plus , l'implémentation du remplacement d'un certificat permet de sniffer les sessions SSL.

Cas du Man In The Middle ou MITM

Ettercap-ng a surtout été développé pour mettre en place rapidement et efficacement une attaque du type Man In The Middle.

Arp Poisoning

Il faut en premier lieu spécifier ce que l'on souhaite "sniffer" : pour ce faire , dérouler le menu "sniff" et choisir son mode :

  • Unified : sur une seul carte réseau
  • Bridged : sur deux cartes réseau

Afin de réaliser de l'ARP Poisoning, il faut tout d'abord scanner la plage IP correspondant au réseau local du poste, afin de déterminer les hôtes en ligne. Le bouton Scan for Host réalisera cette action.

Les hôtes en ligne seront alors ajoutés dans la Host List. Target1 et Target2 représentent la liste des ordinateurs entres lesquels nous allons nous immiscer. Ajoutez au moins une IP dans chacune de ces deux listes.

Ettercap1.jpg

Pour commencer l'attaque , on sélectionne ARP Poisoning dans le menu Mitm.

Ettercap2.jpg

Pensez aussi à l'utiliser avec d'autres outils ainsi qu'avec les plugins :

  • Le plugin chk_poison vous indiquera si l'arp poisoning fonctionne bien ce qui est fort appréciable.
  • Le plugin dns_spoof va permettre de rediriger une url sur celle que l'on veut (remplacer microsoft.com par celle souhaité léa linux; linux france...)

Vous pouvez aussi rediriger sur votre serveur apache en local (rappel: menu kde,service, httpd, start httpd). Ici on va placer dans notre fichier DNS notre adresse ip locale pour rediriger vers le serveur apache.

Il y a aussi l'abaissement de niveau qui est fort intéressant comme plugin...

Une utilisation de ettercap-ng couplé à driftnet en wifi est vraiment intéressante puisque vous pouvez observer les images et la vidéo (mpeg) de la victime (+ sauvegarde si désiré).

Pour les connections sécurisés (tel que GMail) pensez à décommenter les iptables dans votre fichier de configuration etter.conf

Icmp redirect

Mode texte

Liens vidéos

Visionnez la vidéo d'Etterpcap-ng sur le player en ligne
Page de téléchargement de la vidéo Ettercap-ng

Liens externes

(en) Projet sourceforge
(en) Tutoriel de Ettercap en mode texte
(en) Tutoriel sur les filtres de Kev

(fr) Tutoriel du site secuobs
(fr) Tutoriel du site openmaniak
(fr) Tutoriel du site bricowifi (arp poisoning...)
(fr) Tutoriel en mode Texte
(fr) Tutoriel installation OS X

Outils personnels