Ettercap NG – сетевой sniffer /interceptor/ logger для коммутируемых сетей (switched LAN). Программа использует ARP poisoning и “man-in-the-middle” методы нападения, чтобы перехватывать подключения между двумя хостами в реальном времени. Вы можете перехватить трафик между двумя хостами в сети интернет, используя MAC-based sniffing mode. Позволяет перехватывать SSH1, HTTPS и другие защищенные протоколы.
Позволяет расшифровывать пароли для следующих протоколов - TELNET, FTP, POP, RLOGIN, SSH1, ICQ, SMB, MySQL, HTTP, NNTP, X11, NAPSTER, IRC, RIP, BGP, SOCKS 5, IMAP 4, VNC, LDAP, NFS, SNMP, HALF LIFE, QUAKE 3, MSN, YMSG.
Методов работы всего три
1) <a>, ARP poisoning based sniffing, применяется для сниффинга в свичуемых сетях, а также для применения атак класса mitm. В данном случае используется атака arpoison, которая модифицирует ARP-таблицы заражаемых хостов таким образом, что все кадры данных с выбранного source идут на твой хост, а с твоего уже - на destination.
Иными словами, с помощью этого метода сниффинга ты сможешь видеть любой траффик твоего сегмента за пределами каких бы то ни было ограничивающих тебя свичей. Ты также сможешь проводить любые mitm-атаки, ровно с той же силой, как если бы ты на самом деле был посередине двух хостов. На основе этого метода, уже с версии 0.6.7 ettercap реализует перехват (dissection) паролей протоколов ssh1 и https. Можно даже сниффить пароли в ssh версии 2, если подключить фильтр (ettercap -F etter.filter.ssh), который будет спуфить версию ssh-сервера с 1.99 (openssh-0.9.6, etc) на 1.51, поддерживающую только лишь первую версию протокола ssh.
Очевидно, что для проведения атаки arpoison, ettercap'у необходимо нагадить в сеть целой пачкой ложных ARP-пакетов, и я почти уверен, что уже есть средства, отлавливающие эту атаку. И уж тебе решать, как от этого спасаться. Можно, например, вводить ложный IP-адрес...
2,3) <s>, IP based sniffing, <m>, MAC based sniffing, это обычный пассивный сниффинг локальной сети. Возможности такого сниффинга ограничены, хотя меня впечатлило количество поддерживаемых протоколов при относительно небольшом размере программы.
Напихав нужные адреса в source, destination или в оба сразу (я выбрал 192.168.0.200 в качестве source), выбирай метод сниффинга (я выбрал <a>), ты попадешь в соответствующее окно:
и будешь видеть все интересующие тебя соединения. Для того, чтобы собирать пароли, делать не нужно вообще ничего =)) Наведи курсор на нужное тебе соединение: пароли будут появляться в нужной части экрана =)) Сброс паролей в лог -- кнопка <l>. Нажми на кнопку <h> и ты увидишь новый диапазон возможностей, уверен, он тебя впечатлит. Убийство соединений, хайджекинг, филтеринг, etc... Что ещё нужно для залива на банковские карты? =)
ВКУСНОСТИ
Возможности программы ettercap огромны, но я почти уверен, что они тебя не удовлетворят на все 100%. Ну что же, для твоих злобных целей предусмотрены варианты в виде:
1) Написания плагинов; ну тут все просто и понятно: не влезая в кишки ettercap'a, рюхаешь плагинный интерфейс этой проги и делаешь нужный тебе компонент, который ты сможешь подгружать в программу всякий раз, когда тебе это нужно.
2) Возможность bind'ить локальный порт, с которым ettercap проассоциирует нужное тебе соединение. Это очень ценное свойство программы: ты сможешь заранее реализовать нужные тебе механизмы, воспроизвести которые в реальном времени весьма затруднительно =)) Проще говоря, влезать в чужие IRC-приваты и материться можно и руками, но если ты захочешь впарить кому-нибудь бекдор, проспуфив http или ftp, или сообщить какому-нибудь биржевому игроку, что его акции упали в цене в четыре раза, такое свойство программы может оказаться весьма и весьма кстати =))
Позволяет расшифровывать пароли для следующих протоколов - TELNET, FTP, POP, RLOGIN, SSH1, ICQ, SMB, MySQL, HTTP, NNTP, X11, NAPSTER, IRC, RIP, BGP, SOCKS 5, IMAP 4, VNC, LDAP, NFS, SNMP, HALF LIFE, QUAKE 3, MSN, YMSG.
Методов работы всего три
1) <a>, ARP poisoning based sniffing, применяется для сниффинга в свичуемых сетях, а также для применения атак класса mitm. В данном случае используется атака arpoison, которая модифицирует ARP-таблицы заражаемых хостов таким образом, что все кадры данных с выбранного source идут на твой хост, а с твоего уже - на destination.
Иными словами, с помощью этого метода сниффинга ты сможешь видеть любой траффик твоего сегмента за пределами каких бы то ни было ограничивающих тебя свичей. Ты также сможешь проводить любые mitm-атаки, ровно с той же силой, как если бы ты на самом деле был посередине двух хостов. На основе этого метода, уже с версии 0.6.7 ettercap реализует перехват (dissection) паролей протоколов ssh1 и https. Можно даже сниффить пароли в ssh версии 2, если подключить фильтр (ettercap -F etter.filter.ssh), который будет спуфить версию ssh-сервера с 1.99 (openssh-0.9.6, etc) на 1.51, поддерживающую только лишь первую версию протокола ssh.
Очевидно, что для проведения атаки arpoison, ettercap'у необходимо нагадить в сеть целой пачкой ложных ARP-пакетов, и я почти уверен, что уже есть средства, отлавливающие эту атаку. И уж тебе решать, как от этого спасаться. Можно, например, вводить ложный IP-адрес...
2,3) <s>, IP based sniffing, <m>, MAC based sniffing, это обычный пассивный сниффинг локальной сети. Возможности такого сниффинга ограничены, хотя меня впечатлило количество поддерживаемых протоколов при относительно небольшом размере программы.
Напихав нужные адреса в source, destination или в оба сразу (я выбрал 192.168.0.200 в качестве source), выбирай метод сниффинга (я выбрал <a>), ты попадешь в соответствующее окно:
и будешь видеть все интересующие тебя соединения. Для того, чтобы собирать пароли, делать не нужно вообще ничего =)) Наведи курсор на нужное тебе соединение: пароли будут появляться в нужной части экрана =)) Сброс паролей в лог -- кнопка <l>. Нажми на кнопку <h> и ты увидишь новый диапазон возможностей, уверен, он тебя впечатлит. Убийство соединений, хайджекинг, филтеринг, etc... Что ещё нужно для залива на банковские карты? =)
ВКУСНОСТИ
Возможности программы ettercap огромны, но я почти уверен, что они тебя не удовлетворят на все 100%. Ну что же, для твоих злобных целей предусмотрены варианты в виде:
1) Написания плагинов; ну тут все просто и понятно: не влезая в кишки ettercap'a, рюхаешь плагинный интерфейс этой проги и делаешь нужный тебе компонент, который ты сможешь подгружать в программу всякий раз, когда тебе это нужно.
2) Возможность bind'ить локальный порт, с которым ettercap проассоциирует нужное тебе соединение. Это очень ценное свойство программы: ты сможешь заранее реализовать нужные тебе механизмы, воспроизвести которые в реальном времени весьма затруднительно =)) Проще говоря, влезать в чужие IRC-приваты и материться можно и руками, но если ты захочешь впарить кому-нибудь бекдор, проспуфив http или ftp, или сообщить какому-нибудь биржевому игроку, что его акции упали в цене в четыре раза, такое свойство программы может оказаться весьма и весьма кстати =))
