========================================================================================================================= #Deze howto is geschreven door Maikel (maikel@slackware.nl) # # # #De auteur ontheft zich van elke aansprakelijkheid van de geleden schade door het gebruik van dit programma # # # #Deze howto is geschreven puur voor educatief gebruik # #Alles valt onder de GNU/GPL Licentie # # # #Howto: packages sniffen met ettercap # #====================================================================================================================== # "a false sense of security, is worse than insecurity" -- Steve Gibson hey folks... wake up ! the net is NOT secure !! Mag de arrogantie en misleiding van Micro$ft zijn dood worden. ========================================== Reden waarom ik deze howto heb geschreven: ========================================== Veel mensen denken onterecht dat het internet veilig is. Beter nog, men weet het wel. Maar slaan er geen acht op. Als je ze aantoont hoe onveilig netwerken kunnen zijn. Dan worden ze een beetje stil. Tenslotte laten bekende o/s'es je lekker veilig voelen. En dat vind ik onterecht. Liever weten dat je totaal onveilig bent, dan schijnveiligheid die os/'es zoals Windows aanbieden. Met ettercap kan je prima aantonen dat er veel dingen over het netwerk onveilig rond vliegen, die heel gemakkelijk te onderscheppen zijn. Je kan ettercap dingen goed laten filteren en dingen opzoeken die jij precies wilt weten. Zoals msn gespreken onderscheppen. Paswoorden automatisch loggen. ========================= Wat mis ik in deze howto? ========================= Er zijn vele plugins voor ettercap. Hier ga ik niet op in. Er zijn zoveel, dat als ik klaar ben met schrijven van deze howto er vast en zeker weer 20 bij zijn gekomen. Dus dat is niet te doen Het tegen gaan van packages sniffers. tip wil je toch de plugins: $ make plugins =============== Verduidelijking =============== $ betekend dat dit de command regel is.. D.M.A.W na $ vul je de comando's in # betekend opmerking ======================== Hoe ettercap te krijgen? ======================== ettercap is te krijgen op: http://ettercap.sourceforge.net. Het is aan te raden om de source te downloaden. bv : ettercap-**-**.tar.gz download hem. Pak het pakketje uit met: $ tar xfvz ettercap-**-***.tar.gz Dan moet je het pakketje configuren: $ ./configure Tip!: als je niet wilt dat het hele programma door je systeem is verweven gebruik dan: $ ./configure --prefix=/**/** #dus de /**/** staan voor de directorie waar je het programma in wilt dumpen. Het pakketje compilen: dat doe je met: $ make Het pakketje installeren: $ make install Als je geen errors gekregen hebt, heb je nu als het goed is ettercap gecompiled en geinstalleerd. Hoe gebruik ik ettercap? ------------------------ Dit is een persoonlijke keuze, Je kan een mooie interface krijgen door middel van ettercap -G te doen voor X. Met Ncurses werken kan je door ettercap en dan de flag is te vullen... Maar zelf prefereer ik: $ ettercap -N #dat staat voor Non Ncurses..Dus lekker console werk ;-) Opzich met alle drie keuze kan je alles doen, pure kwestie van smaak dus. een snel voorbeeldje: $ ettercap -N -s -C 10.0.0.20 1. -N staat voor Non Ncurses 2. -s staat voor sniffen op ipbases 3. -C staat voor Collect paswords and usernamers Ik neem aan dat je dondersgoed begrijpt wat je nu doet :) je kan ook puur op poorten scannen: ettercap -N -s -C 10.0.0.20:80 dus nu sniff je alleen de paswoorden die voor poort 80 bestemd zijn. als je niet weet wat voor dingen over een bepaald ip vliegen.. Kan je ook wat leuks uithalen: $ ettercap -N -s 10.0.0.20 Dan zie je al het inkomen verkeer. Let op! als er veel verkeer is.. Vliegt die info over je scherm. dit kan je opvangen door middel van de spatiebalk. Dan stopt de info door over je scherm loopt. En kan je de pakketje analyseren. Standaard staat de info in ASCII mode. LET OP!! Als je een netmask hebt van 255.0.0.0 Controleerd hij 256^3 adressen. Dus het is beter dat je een netmask opgeeft van 255.255.255.0 tenzij je netwerk meer dan 250 computer bevat. ============ Wat is arp? =========== Arp is een men in the middle attack. Dit is klassieke methode, dit op de dag vandaag nog steeds geld, en veel gebruikt word. Overzicht: HOST 1 - - - - - - - - - - - - - - - - - - - -> HOST 2 (poisend) (poisoned) | ^ | | ------------> Aanvallende HOST ------------------ ( ettercap ) Als host 1 wat wilt versturen naar hosts 2 is het normaal: host1 <==>host2 Maar als je gaat arpen is het: host1<==>evil cracker<==>host2 Dus dit is leuk, maar nu nog ff de theorie. In een pakketje zit de bestemming en de afkomst, Jij vangt alles pakketjes op van host1, en jij stuurd die weer door naar hosts 2. Host2 denk dat het pakketje van hosts1 afkomt, en zogaat het ook andersom. Arp is alleen van belang als je zelf pakketjes wilt injecteren en als je met swichtes werken. Je moet wel eerst weten welk ip adres met welk ip adres praat. Hoe is dit ingodsnaam mogelijk? ------------------------------- Als je een hub thuis hebt, die aangesloten zit op de router. Komen alle pakketjes ook langs jou computer, alleen normaal ziet jou computer dat het niet bedoeld is voor jou computer, dus negeerd het pakketje dat bedoelt is voor de andere computer Maar met ettercap negeer je ze niet. Je pikt ze op! ;-) Zo kan je dus rustig de pakketjes analyseren. Het stomme is dat veel netwerk applicaties als, msn,bankprogramma's,irc en veel meer niet geencrypt is (versleuteld). Je kan dus met ettercap gespreken afluisten, overstortingen doen en in naam van iemand anders ongekennende mogelijkheden doen. hoe komt het dan dat toch ook het pakketje aan komt bij de host als ik al het pakketje heb ontvangen? een overzicht: | / | ( ) / | ( internet)---- --|- alle pakktetjes die naar de hub gaan, gaan dus ook langs jou heb, en van het internet. ( ) \ | Te router dupliceerd de pakketjes. \ | | Met een switch werkt dit anders. Een switch verstuurd niet de pakketjes naar alle computers, maar naar enkel diegene waarvoor het bedoel is. En hier komt arp dus in gebruik Dus samengevat: Arp is niet nodig voor hub netwerken (veel bedrijven en particulieren, denk alleen aan geld en niet aan dit) Arp is vooral handig voor switch netwerken. En als je zelf actief mee wilt doen in toevoegingen. mogelijke keuzen met ettercap: Sniff methodes: -------------- -a (arpsniffing) ARP (men in the middel) je moet twee hosts selecteren waarmen tussen praat -s Op ipbases sniffen. Als je geen ipadres invuld. Laat hij alle pakketjes zien van alle computers -m Op mac adres sniffen. OFF line sniffing: ----------------- -T --readcapfile (leest van een bestand) Het opgeslagen bestand uitlezen met -T -Y --writecapfile hier mee kan je dus de gesniffde pakketen in een bestand stoppen Algemene Opties: --------------- -N --simple Geen interactieve modes (zonder Ncurses) -G --gtk GTK mode (voor X11) -z --silent stilte mode (geen arp storm tijden het opstarten van ettercap) -O --pasive passief scannen van het LAN -b --broadping broadcast een ping, ipv een arpstorm tijden het opstarten -S --spoof Tijdens het opstarten met dit ipadres data opvragen -H --host Scant alleen deze ipadressen -d --dontresolve Vraagt geen ipadressen op (versneld aanzienlijk de start procedure) -i --interface Het selecteren van het netwerkapparaat (bv eth1 eth0 ppp0) -n --netmask Het kieze van een netmask wat gebruikt kan worden gebruikt voor je LAN -e --etterconf Laat configuraties opties via een bestand -j --loadhosts --haalt een bestand met de hosts/ip en mac adressen via een bestand binnen -k --savedhosts --Bewaard alle gevonden hosts,ip en mac adressen in een bestand -h --help Laat alle mogelijk opties zien #dit is bijna hierboven vertaald Passieve opties, moet gecombineerd zijn met -N ---------------------------------------------- -R --reverse Scant alles behalve dit geselecteerde ipadressen -l --list laat alle hosts zien op je lan -C --collect Collecteerd alle paswoorden en username's -c --check Check voor andere arp poiseneers (dus kijkt over er andere mensen die op het netwerk zijn die men in the middle spelen) -f --fingerprint probeert vast te stellen welk O/S de host draait -g --linktype Probeert het lan type te indentyficeren (hub,switch) * onthoud dat dit niet alle mogelijkheden staan maar wel de meest gebruikt. Dus kijk zelf altijd voor meer mogelijkheden Voorbeelden: ------------ Wat ik veel doe ik gewoon het hele netwerk afkijken en dan paswoorden stellen maar dan voor het hele netwerk: $ ettercap -N -s -C Als ik een bepaald persoon wilt afluistern: $ ettercap -N -s Als ik een bepaald persoon met een bepaald portnummer wil afluisteren: $ ettecap -N -s : ARP vereist meer kennis van het netwerk...dit voorbeeldje heb ik gestolen van het REAMDE file en vertaald, zelf gebruik ik nooit arp HOST 1: mac: 01:01:01:01:01:01 ettercap HOST: ip: 192.168.0.1 mac: 03:03:03:03:03:03 ip: 192.168.0.3 HOST 2: mac: 02:02:02:02:02:02 ip: 192.168.0.2 we zenden arp beantwoordingen naar: HOST 1 verrtellen we dat: 192.168.0.2 is op mac 03:03:03:03:03:03 HOST 2 vertellen we dat: 192.168.0.1 is op mac 03:03:03:03:03:03 Nou zijn ze gekoppeld aan de ettercap gebruik !! Ze zullen dus alle pakketjes naar ons toesturen ! HOST 1 word door gestuurd naar: 02:02:02:02:02:02 HOST 2 word door gestuurd naar: 01:01:01:01:01:01 Mijn mening van package sniffers: --------------------------------- Hoe je het went of keerd, je weet dat je fout bezig bent als je dit gebruikt op je werk, als je bedoelingen hebt om paswoorden van anderen gebruikers te stelen. Wat ik fout vind van ontwikkerlaars van e-mail clients, msn en irc is dat het niet geencrypt word. Toch gebruik ik vaak package sniffers, om te kijken of mijn pakketjes gevoelige informatie bevatten. Als men geencrypt paswoorden,tekst,chat,usernames verstuurd. Ben je al een stuk veiliger. Onthoud dat de meeste netwerken van binnenuit ingebroken word. Aangezien dat het nu heel makkelijk om paswoorden te stelen. Gelukkig zien ik dat er al een opkomst is dat wachtwoorden geencrypt zijn. Toch vind ik het enorme te kortkomingen en ik vind dat de ontwikkeleraar van communicatie software ook stil moet staan met dit soort mogelijkheden. Tegenwoordig gebruiken veel mensen het internet op hun werk om prive dingen te doen als chatten en privemail op te halen. Ik hoop dat je ook door deze howto een stuk voorzichter bent met zomaar even je email op te halen op je bedrijfsnetwerk of te msn'en met een broer die iets te veel verstand heeft :). Er zijn vele mogelijkheden om geecrypt te chatten en mail op te halen. Ik raad dan ook aan om je hier in te verdiepen. Het motto van veel computergebruikers is ook, "ik heb niets te verbergen". Zoals iemand tegen mij zei. "Vind je het leuk als ik je pincode weet, en geld van je bank haal". "Vind je het leuk als ik je vrouw vertel dat je vreemd ga". Ga zo maar door de meest rare doom senarios zijn mogelijk met foute mensen met foute bedoelingen en kennis van dit soort trucjes.