UC – Segurança em Redes de Computadores Docente: Eduardo Monks 6° sem – Redes de Computadores Aluno: Nataniel Vieira

ROTEIRO : Instalação e uso da ferramenta Ettercap

Introdução: Neste roteiro, serão abordados procedimentos para instalação da ferramenta de análise de redes denominada Ettercap, também conhecido como um poderoso sniffer de rede. A palavra Sniffer é marca registrada da Network Associates e refere-se ao produto “Sniffer Network Analyzer”. Popularmente conhecidos como Sniffers, são os analisadores de protocolos ou analisadores de rede. O ettercap nada mais é que um sniffer possibilitando capturar dados em uma rede local. Conhecidos como farejadores, os sniffers capturam o trafego em rede local, proporcionando ao invasor capturar senhas digitadas por outros usuários desta rede. O trafego também pode ser capturado usando a técnica chamada de man in the middle "MITM" que significa Homem no meio.

Para instalar o ettercap no em distribuições baseadas no debian/ubuntu: # sudo apt-get install ettercap-gtk

Para instalar o ettercap no windows: http://192.168.200.3/software/ANALISADORES/ettercap-NG-0.7.3-win32.exe

OBS: O ettercap encontra-se disponível nas diversas versões da distribuição do BackTrack Linux, que é um sistema operacional preparado com os principais softwares para realização de Penetration Test.

Após realizar a instalação execute o ettercap, para linux é necessário inicia-lo como root, caso contrario não será possível selecionar a interface.

Exemplo prático com ettercap:

Neste exemplo será abordada a técnica de envenenamento ARP ou ARP Poisoning, primeiramente deve-se preparar um ambiente totalmente controlado com o intuito de evitar danos a uma rede em produção. Na sequência siga todos os passos elencados. 01) Montar o cenário conforme ilustra a figura 1:

Figura 1

Com o cenário montado verifique a tabela ARP dos hosts com o comando “ arp – a”. Logo após execute o comando ping entre os hosts e observe novamente a tabela ARP dos mesmos.

02) Com o ettercap aberto clique na aba Sniff e posteriormente em Unified Sniffing .

Selecione a interface que está conectada à rede que você deseja farejar, clique em"OK".

03) Na aba Host selecionar a opção Scan for hosts. Os hosts que estão listados abaixo serão os micros que estão on-line na sua rede no momento.

Volte na aba Hosts e posteriormente em Host list , aparecerão os IPs das máquinas conectadas e host do atacante não será exibido na host list.

04) Selecione um IP da host list para atacar e clique em "Add to Target 1", em seguida, o roteador ou o segundo host desejado e "Add to Target 2".

05) Na sequência deve-se clicar na aba Mitm, a qual significa “man in the middle ou homem no meio, posteriormente clique em ARP Poisoning e marque a guia "Sniff remote connections" e clique em "OK"

06) Com o ettercap configurado, basta clicar na aba Start e iniciar o farejador em Start sniffing.

Pronto! Estamos capturando o trafego de rede. Ou seja, as tabelas ARP dos hosts do diagrama estão envenenadas com o do atacante.

Ao acessar a aba View e posteriormente a Connections é possível ver todas as conexões e clique duas vezes em um pode ver os dados que ele contém, inclusive conversas, os usuários e senhas, etc.

Na figura 2 é possível observar o resultado do arp poisoning gerado na rede. Figura 2

Sendo assim, ao concluir o roteiro revise as tabelas ARP dos hosts envolvidos para comprovar o resultado gerado na rede.

Medidas preventivas contra ettercap:

- Utilizar serviços criptografados na rede para evitar o sniffing. Usar SSH em vez de Telnet e SFTP em vez de FTP. - Acrescentar entradas estáticas na tabela ARP das máquinas do domínio (através de scripts), evitando assim a técnica de ARP Poisoning e consequentemente o man in the middle. - O ArpON pode ser uma boa opção para detectar e evitar ataques de redirecionamento ARP. Disponível em: http://www.pentestit.com/2010/06/09/arpon-arp-handler-inspection-tool/

Referências:

ASSUNÇÃO, Marcos Flávio Araújo – Segredos do hacker ético. 4ª edição. Florianópolis: Visual Books, 2011. Página oficial do Ettercap disponível em: http://ettercap.sourceforge.net/

Vídeo exemplificando o uso do ettercap: http://www.youtube.com/watch? v=1eTb7OnV8X8