UC – Segurança em Redes de Computadores Docente: Eduardo Monks 6° sem – Redes de Computadores Aluno: Nataniel Vieira
ROTEIRO : Instalação e uso da ferramenta Ettercap
Introdução: Neste roteiro, serão abordados procedimentos para instalação da ferramenta de análise de redes denominada Ettercap, também conhecido como um poderoso sniffer de rede. A palavra Sniffer é marca registrada da Network Associates e refere-se ao produto “Sniffer Network Analyzer”. Popularmente conhecidos como Sniffers, são os analisadores de protocolos ou analisadores de rede. O ettercap nada mais é que um sniffer possibilitando capturar dados em uma rede local. Conhecidos como farejadores, os sniffers capturam o trafego em rede local, proporcionando ao invasor capturar senhas digitadas por outros usuários desta rede. O trafego também pode ser capturado usando a técnica chamada de man in the middle "MITM" que significa Homem no meio.
Para instalar o ettercap no Linux em distribuições baseadas no debian/ubuntu: # sudo apt-get install ettercap-gtk
Para instalar o ettercap no windows: http://192.168.200.3/software/ANALISADORES/ettercap-NG-0.7.3-win32.exe
OBS: O ettercap encontra-se disponível nas diversas versões da distribuição do BackTrack Linux, que é um sistema operacional preparado com os principais softwares para realização de Penetration Test.
Após realizar a instalação execute o ettercap, para linux é necessário inicia-lo como root, caso contrario não será possível selecionar a interface.
Exemplo prático com ettercap:
Neste exemplo será abordada a técnica de envenenamento ARP ou ARP Poisoning, primeiramente deve-se preparar um ambiente totalmente controlado com o intuito de evitar danos a uma rede em produção. Na sequência siga todos os passos elencados. 01) Montar o cenário conforme ilustra a figura 1:
Figura 1
Com o cenário montado verifique a tabela ARP dos hosts com o comando “ arp – a”. Logo após execute o comando ping entre os hosts e observe novamente a tabela ARP dos mesmos.
02) Com o ettercap aberto clique na aba Sniff e posteriormente em Unified Sniffing .
Selecione a interface que está conectada à rede que você deseja farejar, clique em"OK".
03) Na aba Host selecionar a opção Scan for hosts. Os hosts que estão listados abaixo serão os micros que estão on-line na sua rede no momento.
Volte na aba Hosts e posteriormente em Host list , aparecerão os IPs das máquinas conectadas e host do atacante não será exibido na host list.
04) Selecione um IP da host list para atacar e clique em "Add to Target 1", em seguida, o roteador ou o segundo host desejado e "Add to Target 2".
05) Na sequência deve-se clicar na aba Mitm, a qual significa “man in the middle ou homem no meio, posteriormente clique em ARP Poisoning e marque a guia "Sniff remote connections" e clique em "OK"
06) Com o ettercap configurado, basta clicar na aba Start e iniciar o farejador em Start sniffing.
Pronto! Estamos capturando o trafego de rede. Ou seja, as tabelas ARP dos hosts do diagrama estão envenenadas com o mac address do atacante.
Ao acessar a aba View e posteriormente a Connections é possível ver todas as conexões e clique duas vezes em um pode ver os dados que ele contém, inclusive conversas, os usuários e senhas, etc.
Na figura 2 é possível observar o resultado do arp poisoning gerado na rede. Figura 2
Sendo assim, ao concluir o roteiro revise as tabelas ARP dos hosts envolvidos para comprovar o resultado gerado na rede.
Medidas preventivas contra ettercap:
- Utilizar serviços criptografados na rede para evitar o sniffing. Usar SSH em vez de Telnet e SFTP em vez de FTP. - Acrescentar entradas estáticas na tabela ARP das máquinas do domínio (através de scripts), evitando assim a técnica de ARP Poisoning e consequentemente o man in the middle. - O ArpON pode ser uma boa opção para detectar e evitar ataques de redirecionamento ARP. Disponível em: http://www.pentestit.com/2010/06/09/arpon-arp-handler-inspection-tool/
Referências:
ASSUNÇÃO, Marcos Flávio Araújo – Segredos do hacker ético. 4ª edição. Florianópolis: Visual Books, 2011. Página oficial do Ettercap disponível em: http://ettercap.sourceforge.net/
Vídeo exemplificando o uso do ettercap: http://www.youtube.com/watch? v=1eTb7OnV8X8