introduccion

//__** INTRODUCCION **__ // **__ ¡¡ ETTERCAP !! __** //¿Qué es ettercap? // ** Ettercap ** es un interceptor/ [|sniffer] /registrador para LANs con [|switch]. Soporta direcciones activas y pasivas de varios protocolos (incluso aquellos cifrados, como [|SSH] y [|HTTPS] ). También hace posible la inyección de datos en una conexión establecida y filtrado al vuelo aun manteniendo la conexión sincronizada gracias a su poder para establecer un [|Ataque Man-in-the-middle] ( [|Spoofing] ). Muchos modos de sniffing fueron implementados para darnos un conjunto de herramientas poderoso y completo de sniffing.

= =

**//Entre sus funciones, las mas destacadas son las siguientes //**
 * * Ingestión de caracteres en una conexión establecida emulando comandos o **** respuestas mientras la conexión está activa. **


 * * Compatibilidad con SSH1: Puede interceptar users y **
 * passwords incluso en conexiones "seguras" con SSH. **


 * *Compatibilidad con HTTPS: Intercepta conexiones mediante http SSL (supuestamente seguras) **
 * incluso si se establecen a través de un proxy. **

Ettercap ettercap-ng es la mejor herramienta para usar en redes con Hub o switch, ya que te permite analizar el trafico que pasa por tu red. Poniendo en modo promiscuo la tarjeta de red Wireless o ethernet, seras capaz de ver conexiones tienen tus computadoras con el router y que trafico hay en ellas, con que ips conectan y que intercambian, en texto plano.

texto plano?? texto plano! son todos aquellos datos que viajan sin encriptacion,

algo de teoria: Para sniffar correctamente, es necesario una victima y un router/switch, debes de envenenar las tablas cache de tu victima y de tu router, veamos un ejemplo:

//** tablas cache 192.168.1.45 192.168.1.254 00:44:66:55:33:55 192.167.1.23 00:11:22:33:44:55

tablas cache 192.168.1.254 192.168.1.45 22:33:55:46:66:77 192.167.1.23 00:11:22:33:44:55 **//

estas, serian las tablas cache de tus equipos en red. vemos que hay IP/MAC. De eso se encarga... ARP (Adress resolution protocol) de asegurarse que todo esto este correcto y funcionando. Veamos un ejemplo de ARP poisoning.

y todo el trafico de tu red pasara por tu tarjeta de red.

VEAMOSLO EN LA PRACTICA: instalamos ettercap desde synaptic (Ubuntu 9.04) o desde su fuente. No debemos olvidar que se ejecuta con permisos de root

vamos al menu sniff y seleccionamos Unified Sniffing. Este unified sniffing es para seleccionar la interfaz de la tarjeta de red que queremos que sniffe. (eth0 es para Ethernet y rausb0,wlan0,ath0 es para wifi) no esta de mas decirte que debes de estar asociado a la red que quieres sniffar

Cuando seleccionas Bridged Sniffing, debes tener 2 tarjetas de red operativas en la computadora

ya que empezamos, y ettercap acepto nuestra interfaz ahora lo que sigue:

Scaneo de host: scanear host significa que hara un scan de la gente conectada a tu red, independientemente de que sean WIFI o ethernet... lo he probado y funciona muy bien con wifi a ethernet

presionamos ctrl + S y aparecera la ventana que indica que esta sniffando hosts:

al terminar... presionamos H y nos apareceran los host de tu red, incluyendo en router, seleccionamos la victima y luego presionamos "add to target 2" y luego el router y presionamos "add to target 1"

veamos la interfaz y los botones

Teoria: en si, esto es para envenenar las tablas ARP de ambas victimas... el ataque se llama Man In The Middle y consiste en hacer pasar todo el trafico entre la victima y el router por nuestra tarjeta de red. Esto es que el trafico desde la victima sea dirigido a nuestra MAC, convenciendo a la victima que nosotros somos el router, y despues de "analizarlo" sea enviado al router... simulando ser el cliente victima, y viceversa.

ya que hemos seleccionado nuestra victima procedemos a envenenar sus arp:

Seleccionamos Mitm del menu de ettercap y luego le damos en ARP Poisoning, seleccionamos "sniff remote connections"

y le damos en aceptar.

ahora solo es cuestion de presionar ctrl + W y empezar a sniffar

podemos ver el trafico que se genera en distintos puertos, presionando ctrl + c y presionando enter podremos ver el trafico que circula en ese puerto.

presionando ctrl + o veremos las ips conectadas y su nombre de dominio.

veamos una captura normal... vemos que han caido unos datos (user/pass), no tienen importancia alguna

veamos un trafico normal de un puerto, especificamente el 1863, para ver texto plano. Nota: no es muy efectivo en estos casos, ya que solo captura parte.

veamos para que otras cosas sirve ettercap-ng

FILTROS EN ETTERCAP. los filtros se encargan de analizar los paquetes y cuando ven una coincidencia, ejecutan una accion sobre el paquete, ya sea inyectarle algo, o quitarle algo, es muy util, cuando requerimos que no haya conexiones al puerto 23,445 u otros... o matar todas las conexiones cifradas al puerto 443...

veamos un ejemplo de filtro:

este un filtro; lo copian a /usr/share/ettercap y lo ponen como ig.txt:

Código:############################################################################



if (ip.proto == TCP && tcp.dst == 80) { if (search(DATA.data, "Accept-Encoding")) { replace("Accept-Encoding", "Accept-Rubbish!"); msg("zapped Accept-Encoding!\n"); } } if (ip.proto == TCP && tcp.src == 80) { replace("img src=", "img src=\"http://img91.imageshack.us/img91/5052/xxxtqd.jpg\" "); replace("IMG SRC=", "img src=\"http://img91.imageshack.us/img91/5052/xxxtqd.jpg\" "); msg("Filter Ran.\n"); }
 * 1) hacked -- ig.filter -- filter source file #
 * 2) By rockernault. based on code from ALoR & NaGA #
 * 3) Along with some help from Kev and jon.dmml #
 * 4) http://ettercap.sourceforge.net/forum/viewtopic.php?t=2833 #
 * 5) This program is free software; you can redistribute it and/or modify #
 * 6) it under the terms of the GNU General Public License as published by #
 * 7) the Free Software Foundation; either version 2 of the License, or #
 * 8) (at your option) any later version. #
 * 1) the Free Software Foundation; either version 2 of the License, or #
 * 2) (at your option) any later version. #
 * 1) note: replacement string is same length as original string

ahora, ya que lo copiaron a la ruta que les dije es cuestion de compilarlo veamoslo en la terminal

en mi caso, el filtro lo genero en /home/user, pero si son root lo generara alli mismo

asegurense que el filtro, llamado "filter.ef" este en la ruta donde estan todos los demas archivos (/usr/share/ettercap)

y solo es cuestion de aplicarlo, en el menu "filter" de ettercap o presionando ctrl + F

si lo quieren desarmar es cuestion de presionar F

y eso es todo acerca de los filtros en ettercap

y eso es todo, el ettercap tiene mas usos; pero esos son los mas comunes...