Ettercap-ng

Un article de Backtrack-fr.

Sommaire

1 Introduction
2 Mode graphique
3 Mode texte
4 Liens vidéos
5 Liens externes

[modifier] Introduction

Ettercap est un utilitaire réseau aux multiples fonctionnalités. A sa naissance, l’utilisation la plus courante qu’on en faisait, était de sniffer (capturer les paquets) des réseaux LAN. Dorénavant, il est également possible de réaliser des attaques de MITM ou d'"Homme au milieu" (attaque comme l’hijacking TCP, le DNS Spoofing...).

Ettercap est doté de plug-in facilitant la recherche de password. Pour cela, il suffit simplement qu’une session d’un protocole non sécurisé ait lieu, pour qu’il détecte toutes les informations sensibles. De nombreux protocoles sont supportés (ftp, http, telnet,...). Depuis l’intégration de module gérant le ssh, et les sessions html sécurisés (ssl), il est également possible de récupérer les mots de passe à travers un MITM.

Il est composé également de fonctions intéressantes sur le réseau comme l’injection de requêtes, soit à envoyer au client (pour par exemple garder une connection active), soit à envoyer au server (pour en tirer parti). On peut également réaliser des analyses d’hosts intéressantes et des identification sur les machines (informations sur le système...etc)

C’est un projet libre, qui peut être utilisé au travers d’un mode graphique, et d'un mode texte simple, ou interactive avec des menus.

Version actuel : 0.7.3

[modifier] Mode graphique

Vous pouvez le lancer à partir de la ligne de commande :

 bt ~ # ettercap -G

[modifier] Le sniffing et les dissecteurs

Pour éviter de se noyer dans la masse de donnée capturé, Ettercap met en place des dissecteurs, c'est à dire des filtres qui gardent les paquets à potentiel, tel que les mots de passe et les identifiants. Vous pouvez également créer les votres.

[modifier] Les plugs-in

[modifier] Informations disponible sur le réseau

Beaucoup de protocoles utilisent des systèmes de communications non sécurisés : le telnet , le FTP , et certain sites http ne sont pas du tout protégés et les mots de passe circules en clair.De plus , l'implémentation du remplacement d'un certificat permet de sniffer les sessions SSL.

[modifier] Cas du Man In The Middle "MITM"

Ettercap-ng à surtout été développé pour mettre en place rapîdement et efficacement une attaque du type : man in the middle.

[modifier] Arp Poisoning

Il faut en premier spécifier que l'on souhaite "sniffer" : pour se faire , dérouler le menu "sniff" et choisir son mode. Unified : sur une seul carte réseau Bridged : sur deux cartes réseau Afin de réaliser de l'ARP Poisoning, il faut tout d'abord scanner la plage IP correspondant au réseau local du poste, afin de déterminer les hôtes en ligne. Le bouton Scan for Host réalisera cette action.

Les hôtes en ligne seront alors ajoutés dans la Host List. Target1 et Target2 représentent la liste des ordinateurs entres lesquelles nous allons nous immiscer. Ajoutez au moins une IP dans chacune de ces deux listes.

Pour commencer l'attaque , on sélectionne ARP Poisoning dans le menu Mitm.

Pensez aussi à l'utiliser avec d'autres outils ainsi qu'avec les plugins.

Le plugin chk_poison vous indiquera si l'arp poisoning fonctionne bien ce qui est fort appréciable.

Le plugin dns_spoof va permettre de rediriger une url sur celle que l'on veut (remplacer microsoft.com par celle souhaité léa linux; linux france...)

Vous pouvez aussi rediriger sur votre serveur apache en local (rappel: menu kde,service, httpd, start httpd). Ici on va placer dans notre fichier dns notre adresse ip local (192.168.1.10 par exemple)pour rediriger sur le serveur apache.

Il y a aussi l'abaissement de niveau qui est fort interessant comme plugin...

Une utilisation de ettercap-ng couplé à driftnet en wifi est vraiment interessante puisque vous pouvez observer les images et video mpeg de la victime (+ sauvegarde si désiré)

Pour les connections sécurisés (tel que gmail) pensez à décommenter les iptables dans votre fichier de configuration etter.conf