Ettercap Konzepte: Unterschied zwischen den Versionen

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen
(Die Seite wurde neu angelegt: „============================================================================ TECHNISCHES PAPIER ================================…“)
(kein Unterschied)

Version vom 19. September 2023, 09:54 Uhr

================================================================
                              TECHNISCHES PAPIER
================================================================

DIE HOSTLISTE

Durch Senden einer ARP-ANFRAGE für jede IP im LAN (unter Berücksichtigung der aktuellen IP und Netzmaske) ist es möglich, die ARP-ANTWORTEN zu erhalten und dann die Liste der Hosts zu erstellen, die im LAN antworten. Mit dieser Methode antworten sogar Windows-Hosts auf den Aufruf zur Antwort (sie antworten nicht auf Broadcast-Pings). Seien Sie sehr vorsichtig, wenn die Netzmaske eine Klasse B (255.255.0.0) ist, da ettercap 255 * 255 = 65025 ARP-Anfragen senden wird (die standardmäßige Verzögerung zwischen zwei Anfragen beträgt 1 Millisekunde und kann in der etter.conf konfiguriert werden).


VEREINHEITLICHES SNIFFING

Ettercap NG verwendet die Methode des vereinheitlichten Sniffings, die die Grundlage für alle Angriffe bildet. Die Weiterleitung von IP-Paketen im Kernel ist immer deaktiviert, und diese Aufgabe wird von ettercap selbst erledigt. Pakete, die weitergeleitet werden müssen, sind Pakete mit einer Ziel-MAC-Adresse, die der des Angreifers entspricht, aber mit einer anderen IP-Adresse. Diese Pakete werden zurück an das Drahtnetz gesendet, zum eigentlichen Ziel. Auf diese Weise können Sie gleichzeitig verschiedene Man-in-the-Middle-Angriffe durchführen. Sie können sogar externe Angreifer/Vergifter verwenden, sie müssen nur Pakete an den Host von ettercap umleiten, und das Spiel ist vorbei ;)


BRÜCKEN-SNIFFING

Verwendet zwei Netzwerk-Schnittstellen und leitet den Datenverkehr zwischen ihnen weiter, während er Sniffing und Inhaltsfilterung durchführt. Diese Sniffing-Methode ist sehr unauffällig, da es keine Möglichkeit gibt, festzustellen, dass sich jemand in der Mitte befindet. Sie können dies als Angriff auf Layer 1 betrachten. Verwenden Sie es nicht auf Gateways, da es Ihr Gateway in eine Brücke verwandeln wird.

HINWEIS: Sie können den Inhaltsfilter-Engine verwenden, um Pakete zu verwerfen, die nicht passieren sollen. Auf diese Weise fungiert ettercap als Inline-IPS ;)


ARP-POISONING-ANGRIFF

Wenn Sie diese Methode auswählen, wird ettercap den ARP-Cache der beiden Hosts vergiften und sich selbst als den anderen Host identifizieren (siehe den nächsten Abschnitt dafür). Sobald die ARP-Caches vergiftet sind, starten die beiden Hosts die Verbindung, aber ihre Pakete werden an uns gesendet, und wir werden sie aufzeichnen und dann an die richtige Seite der Verbindung weiterleiten. Daher ist die Verbindung für die Opfer transparent, ohne dass sie geschnüffelt werden. Die einzige Methode, um herauszufinden, dass sich ein Man-in-the-Middle in Ihrer Verbindung befindet, besteht darin, den ARP-Cache zu überwachen und zu überprüfen, ob es zwei Hosts mit derselben MAC-Adresse gibt! So erfahren wir, ob andere den ARP-Cache in unserem LAN vergiften und sind gewarnt, dass unser Datenverkehr überwacht wird! =) 

    HOST 1  - - - - - - - - - - - - - - - - - - - -> HOST 2
  (vergiftet)                                     (vergiftet)
      |                                               ^
      |                                               |
       ------------> ANGRIFFSHOST  ------------------
                     (ettercap)

Legende: 

            - - - ->   die logische Verbindung
            ------->   die tatsächliche Verbindung

Das ARP-Protokoll hat eine inhärente Unsicherheit. Um den Datenverkehr im Kabel zu reduzieren, fügt es einen Eintrag in den ARP-Cache ein, auch wenn er nicht angefordert wurde. Mit anderen Worten, JEDE ARP-Antwort, die auf dem Draht übertragen wird, wird in die ARP-Tabelle eingefügt. Daher machen wir uns diese "Funktion" zunutze und senden gefälschte ARP-Antworten an die beiden Hosts, die wir ausspionieren möchten. In dieser Antwort teilen wir mit, dass die MAC-Adresse des zweiten Hosts auf unserer Ethernet-Karte fest codiert ist. Dieser Host wird nun Pakete senden, die eigentlich zum ersten Host gehen sollten, an uns, weil er unsere MAC-Adresse trägt. Dasselbe Verfahren wird für den ersten Host in umgekehrter Weise durchgeführt, so dass wir eine perfekte Man-in-the-Middle-Verbindung zwischen den beiden Hosts haben, die ihre Pakete legal an uns senden. Beispiel: HOST 1: mac: 01:01:01:01:01:01 ATTACKER HOST: mac: 03:03:03:03:03:03 ip: 192.168.0.3 ip: 192.168.0.1 HOST 2: mac: 02:02:02:02:02:02 ip: 192.168.0.2

Wir senden ARP-Antworten an: HOST 1, wobei wir sagen, dass 192.168.0.2 auf 03:03:03:03:03:03 ist HOST 2, wobei wir sagen, dass 192.168.0.1 auf 03:03:03:03:03:03 ist Jetzt sind sie vergiftet!! Sie werden ihre Pakete an uns senden! Dann, wenn wir Pakete von HOST 1 empfangen, leiten wir sie an 02:02:02:02:02:02 weiter, und wenn wir Pakete von HOST 2 empfangen, leiten wir sie an 01:01:01:01:01:01 weiter. Einfach, oder?

      • LINUX KERNEL 2.4.x PROBLEM *** In der neuesten Version des Linux-Kernels finden wir in: /usr/src/linux/net/ipv4/arp.c

/* Unverlangte ARP wird standardmäßig nicht akzeptiert. Es ist möglich, dass diese Option für einige Geräte aktiviert werden sollte (strip ist ein Kandidat). */

Diese Kernel verwenden ein spezielles Nachbarsystem, um unverlangte ARP-Antworten (die ettercap an das Opfer sendet) zu verhindern. Ist ettercap mit diesem Kernel unbrauchbar? Die Antwort ist NEIN! Schauen wir uns das an... Im selben Quellcode finden wir:

/* 

*  Prozesseintrag. Die Idee hierbei ist, dass wir eine Antwort senden wollen, wenn es sich um
Abgerufen von „http://wiki.ixheim.de/index.php?title=Ettercap_Konzepte&oldid=49544