Instrukcja do laboratorium z przedmiotu Sieci Ethernet i IP Bezpieczeństwo sniffery, podsłuchiwanie

Transkrypt

1 Instrukcja do laboratorium z przedmiotu Sieci Ethernet i IP Bezpieczeństwo sniffery, podsłuchiwanie Celem laboratorium jest poznanie metod wykorzystywanych do pozyskiwania nieautoryzowanego dostępu do treści, tzn. najprostszych metod sniffingu. Podczas ćwiczenia studenci poznają wykorzystywane do tego oprogramowanie, a także metody obrony przed tego rodzaju atakami sieciowymi. 1. Wstęp, czyli czym właściwie jest sniffing? Węszenie (ang. sniffing) - to zagrożenie, polegające na możliwości wykorzystania specjalnego programu komputerowego do przechwytywania i analizowania wszystkich danych przepływających w sieci. Wspólną cechą wielu takich analizatorów jest przełączenie karty sieciowej w tryb mieszany (ang. promiscuous), w którym urządzenie odbiera wszystkie ramki z sieci, także te nie adresowane bezpośrednio do niego. Mimo tego, iż sniffer stanowi zwykle nieodzowne narzędzie diagnostyczne administratora sieci, to może być on również wykorzystywany do monitorowania aktywności sieciowej przez nieuprawnione osoby, co jest niezgodne z prawem. Sniffery umożliwiają bowiem atakującym nie tylko przechwycenie i analizę pakietów sieciowych, ale również ich dekodowanie zgodnie z odpowiednimi RFC (ang. Request For Comments) protokołów. Przeciwdziałanie: Metodą na zabezpieczenie sieci przed tak ważnymi naruszeniami prywatności, jakim jest między innymi podsłuchanie prywatnych haseł, sekretów, danych osobowych, przechwytywanie przesyłanej poczty elektronicznej (także wraz z załącznikami) czy np. rozmów prowadzonych poprzez jeden z największych polskich komunikatorów - jest zastosowanie odpowiednio dobranych metod kryptograficznych. 2. Podstawowe informacje. Protokół ARP (Address Resolution Protocol) jest wymaganym standardem protokołu TCP/IP zdefiniowanym w specyfikacji RCF826. Protokół ten zmienia adresy IP używane przez

2 oprogramowanie protokołu TCP/IP na adresy kontroli dostępu do nośnika (MAC), z których korzystają urządzenia sieci LAN. Protokół ARP oferuje hostom zlokalizowanym w tej samej sieci fizycznej następujące usługi: - Adresy MAC są uzyskiwane za pomocą żądania emisji sieciowej mającego formę pytania: Jaki jest adres AMC dla urządzenia, dla którego skonfigurowano załączony adres IP? - Jeśli nadejdzie odpowiedź na żądanie ARP, nadawca odpowiedzi ARP i urządzenie, które wysłało żądanie ARP, zapiszą swoje adresy IP i adresy MAC jako wpisy w tabeli lokalnej, zwanej także pamięcią podręczną ARP, aby móc ich użyć w przyszłości. Adresowanie sprzętowe Urządzenia przeznaczone do współpracy z sieciami LAN powinny mieć unikatowe adresy zaprogramowane przez producenta. Dla urządzeń pracujących w sieciach Ethernet i Token Ring adres ten znany jest jako adres MAC. Każdy adres MAC określa urządzenie we własnej sieci fizycznej za pomocą 6-bajtowej liczby zapisanej w pamięci ROM każdego fizycznego urządzenia sprzętowego, takiego jak karta sieciowa. Adresy kontroli dostępu do nośnika są zwykle zapisane w notacji szesnastkowej (na przykład 00-AA-00-3F-89-4A). Jak adresy MAC są zamieniane na ruch lokalny przez protokół ARP? Na poniższym rysunku przedstawiono sposób zamiany adresów IP na adresy MAC za pomocą protokołu ARP dla hostów zlokalizowanych w tej samej sieci lokalnej.

3 W tym przykładzie dwa hosty TCP/IP, A i B, są zlokalizowane w tej samej sieci fizycznej. Hostowi A zostaje przypisany adres IP o wartości , a hostowi B adres IP o wartości Gdy host A podejmuje próbę połączenia się z hostem B, adres przypisany hostowi B za pomocą oprogramowania ( ) jest zamieniany na adres MACprzypisany sprzętowo hostowi B w następujący sposób: 1. Na podstawie zawartości tabeli routingu dla hosta A protokół IP określa, że przy przesyłaniu danych do hosta B będzie używany adres IP o wartości Host A szuka odpowiedniego adresu sprzętowego dla hosta B w lokalnej pamięci podręcznej ARP. 2. Jeśli host A nie znajdzie mapowania adresu w pamięci podręcznej, do wszystkich hostów w sieci lokalnej zostanie wyemitowana ramka żądania z pytaniem Jaki jest adres sprzętowy dla adresu ? W żądaniu ARP jest zawarty zarówno adres sprzętowy źródła, jak i adres programowy źródła hosta A. Każdy host w sieci lokalnej otrzymuje żądanie ARP i szuka adresu odpowiadającego własnemu adresowi IP. Jeśli host nie może znaleźć pasującego adresu, żądanie ARP zostaje odrzucone. 3. Host B określa, czy adres IP zawarty w żądaniu ARP pasuje do jego adresu IP, a następnie dodaje mapowanie adresu sprzętowego na adres programowy hosta A do lokalnej pamięci podręcznej ARP. 4. Host B wysyła odpowiedź ARP zawierającą jego adres sprzętowy bezpośrednio do hosta A. 5. Po otrzymaniu odpowiedzi ARP hosta B przez hosta A, host A aktualizuje swoją pamięć podręczną ARP mapowaniem adresu sprzętowego na adres programowy hosta B. Po określeniu adresu MAChosta B, host A może przesłać ruch IP do hosta B, kierując ten ruch na jego adres MAC. 3. Sniffing w sieciach opartych o huby Koncentrator (hub) - urządzenie łączące wiele urządzeń sieciowych w sieci komputerowej o topologii gwiazdy. Koncentrator pracuje w warstwie pierwszej modelu ISO/OSI (warstwie fizycznej), przesyłając sygnał z jednego portu (gniazda) na wszystkie pozostałe. Nie analizuje ramki pod kątem adresu MAC oraz IP. Ponieważ koncentrator powtarza każdy sygnał

4 elektroniczny, tworzy jedną domenę kolizyjną. Koncentrator najczęściej podłączany jest do routera jako rozgałęziacz, do niego zaś dopiero podłączane są pozostałe urządzenia sieciowe: komputery pełniące rolę stacji roboczych, serwerów, drukarki sieciowe i inne. Sprawa jest bardzo prosta. Sprowadza się do zmuszenia karty do obierania wszystkich pakietów bez względu na ich adresatów. Bez obaw- nie musimy w nią ingerować fizycznie, gdyż każda nowoczesna karta może pracować w tak zwanym trybie mieszanym (promiscuous). Aby ręcznie w systemie Linux przestawić kartę sieciową w ten tryb, należy wydać polecenie: # ifconfig <interfejs_sieciowy> promisc w większości przypadków (czyli dla pierwszej karty podłączonej do komputera): # ifconfig eth0 promisc Aby wyłączyć tryb mieszany: # ifconfig eth0 -promisc Aby sprawdzić aktualny tryb pracy, należy wydać polecenie: $ ifconfig -a i szukać wystąpienia słowa PROMISC, lub bezpośrednio: $ ifconfig -a grep PROMISC Jeżeli polecenie to nic nie wypisze na ekranie- mamy omawiany tryb wyłączony. Niestety nie istnieje póki co analogiczna droga w systemach z rodziny Windows- nie ma żadnego prostego sposobu na włączenie trybu mieszanego ręcznie. Wszystkie sniffery mają tą wspólną cechę, że same automatycznie przełączają kartę w tryb mieszany, zarówno w systemie Windows jak i Linux. Podsumowując, sniffing w sieciach opartych o huby sprowadza się tylko i wyłącznie

5 do uruchomienia sniffera (!). 4. Sieci przełączane (oparte na przełącznikach switchach) Przełącznik (komutator, także z ang. switch) urządzenie łączące segmenty sieci komputerowej pracujące głównie w drugiej warstwie modelu ISO/OSI (łącza danych), jego zadaniem jest przekazywanie ramki między segmentami sieci z doborem portu przełącznika, na który jest przekazywana. Przełącznik określa się też jako wieloportowy most lub inteligentny koncentrator, gdyż: przekazuje ramki wyłącznie do docelowego segmentu sieci (podobnie do mostu, w przeciwieństwie do koncentratora), umożliwia połączenie wielu segmentów sieci w gwiazdę (podobnie do huba, w przeciwieństwie do mostu ograniczonego do dwóch segmentów), działa w trybie dupleks (w przeciwieństwie do koncentratora). Przełącznik w sieci Ethernet analizuje adresy MAC nadawcy i odbiorcy przychodzącej ramki. Adres MAC nadawcy jest wykorzystywany prowadzenia tablicy skojarzeń, zawierającej adresy MAC i odpowiadające im porty przełącznika, tablica ta może zawierać 4096, 8192 a nawet wpisów. By zapewnić dostosowywanie się przełącznika do zmian w sieci ważność wpisu wygasa jeżeli przez określony czas nie napływają ramki z danym MAC nadawcy. Po otrzymaniu ramki przełącznik szuka adresu MAC odbiorcy w tablicy skojarzeń, jeżeli adres nie występuje w niej, to ramka wysyłana jest na wszystkie porty z wyjątkiem źródłowego, gdy jest znany, to tylko na port określony w tablicy skojarzeń. Przez przesyłanie ramki tylko na jeden port przełączniki ograniczają domenę kolizyjną do pojedynczego portu, dzięki czemu są w stanie zapewnić każdemu hostowi podłączonemu do portu osobny kanał transmisyjno-nadawczy, nie zaś współdzielony, jak to jest w przypadku koncentratora. W sieciach przełączanych switch e pamiętają, do którego portu podłączona jest karta o danym adresie MAC. Gdy Komputer1 łączy się z Komputerem2 (np. wtedy gdy chce ściągnąć jakieś udostępnione dane, lub po prostu gdy użytkownicy tych komputerów chcą pograć w CS-a), to switch przekierowuje dane tak, aby wędrowały one tylko właściwym kablem (czyli kablem

6 prowadzącym do karty sieciowej Komputera1 lub/i 2). Jak w takim razie podsłuchiwać pakiety, skoro nie dochodzą one do naszej karty sieciowej? Trzeba oszukać a) switcha lub b) komputer, którego pasmo chcemy podsłuchiwać. MAC Flooding Wspomniana wcześniej tablica odwzorowań [MAC port (złącze)] jaką posiada każdy switch, ma ograniczoną wielkość. Jeżeli intruzowi uda się ją zapełnić, to switch mówiąc obrazowo zwariuje - nie będzie miał gdzie zapisywać kolejnych odwzorowań, co w praktyce oznacza, że przełącznik taki zamieni się w zwykłego huba- podobnie jak koncentrator będzie przekazywał pakiety na wszystkie porty poza tym, z którego daną ramkę otrzymał. Aby przepełnić tablice CAM- bo tak się ona fachowo nazywa (Content Addressable Memory), intruz musi wygenerować bardzo dużo pakietów z losowymi adresami źródłowymi. W tym celu może się posłużyć na przykład narzędziem macof, należącym do pakietu dsniff: # macof -i eth0 Gdy operacja powiedzie się, intruzowi pozostaje jedynie uruchomić sniffera i analizować dane. Metoda ta jest na szczęście z każdym rokiem mniej skuteczna. Obecnie raczej rzadko kończy się powodzeniem. Nowoczesne switche mają więcej pamięci niż ich odpowiedniki sprzed kilku lat, a co za tym idzie trudniej jest przepełnić ich tablice. Drugim powodem jej nieskuteczności może być fakt, iż coraz częściej spotyka się- szczególnie w rozległych sieciach- bardziej rozbudowane i droższe switche posiadające statyczną tablice CAM. Jeżeli tylko administrator potrafi w pełni wykorzystać możliwości takiego przełącznika (a zapewne po to go zakupił ) to takowy, dobrze skonfigurowany switch jest całkowicie odporny na MAC flooding.

7 ARP Spoofing Znacznie efektywniejszy sposób na sniffing w sieciach przełączanych. Atakuje się w nim nie switch, lecz bezpośrednio komputer, którego chce się podsłuchiwać lub bramę - w celu podsłuchiwania całej sieci. Aby wytłumaczyć zasadę działania, najpierw przyjrzyjmy się samemu protokołowi ARP. Address Resolution Protocol czyli po naszemu Protokół Odwzorowania Adresów, pozwala na odnajdowanie adresu sprzętowego (MAC) komputera gdy dany jest adres sieciowy (IP). Jak już wiemy w sieci ethernet, aby dwie maszyny mogły się ze sobą komunikować, muszą znać swoje adresy sprzętowe- jest to wynikiem m.in. tego, iż każda karta sieciowa przyjmuje tylko pakiety, które zawierają jej adres MAC (adres docelowy)- to już wiemy. Ponieważ jednak w sieci głównie operuje się adresami sieciowymi, musiał zostać opracowany sposób na łatwe ich tłumaczenie do postaci sprzętowej- w ten sposób powstał ARP. Ponieważ ciągłe wysyłanie pakietów ARP za każdym razem gdy komputer chce się z kimś połączyć, powodowałoby spory ruch i niepotrzebnie obciążałoby łącza oraz sam komputer (który musiałby każdorazowo przetwarzać uzyskane dane), opracowano standard, który opisuje także zachowanie systemu operacyjnego. I tak, każdy system operacyjny przechowuje i zarządza tzw. tablicą ARP. Składa się ona z odwzorowań [adres sieciowy (IP) adres fizyczny (MAC)]. System operacyjny za każdym razem gdy otrzymuje odpowiedź ARP, zapamiętuje adres IP jego nadawcy oraz odpowiadający mu adres MAC i wykorzystuje go później przy wysyłaniu kolejnych pakietów. Tablica taka jest co pewien okres czasu odświeżana, tak aby zawierała aktualne dane. Popatrzmy co się dzieje gdy Komputer1 chce nawiązać łączność z komputerem o IP : Komputer1 wysyła na adres rozgłoszeniowy (czyli do wszystkich komputerów w sieci) zapytanie ARP Request : Jestem , mój MAC to 11:11:11:11:11:11. Kto ma ip ? Komputer2 odpowiada Komputerowi1 pakietem ARP Reply: Hey to ja! Mój MAC to 22:22:22:22:22:22 Jednocześnie Komputer2 spodziewając się połączenia z Komputerem1 zapisuje w swojej tablicy ARP odwzorowanie: <-> 11:11:11:11:11:11

8 Komputer1 zapisuje w swojej tablicy ARP odwozorwanie: <-> 22:22:22:22:22:22 Komputer1 wysyła kolejne pakiety, zastępując docelowy adres sieciowy ( ) docelowym adresem sprzętowym (22:22:22:22:22:22) Komputer2 odpowiada na tej samej zasadzie. ARP ma swoje niedoskonałości, które możemy wykorzystać do oszukania danego komputera, tak aby myślał, że jesteśmy kimś kim nie jesteśmy, a z kim on chce nawiązać połączenie. Wystarczy spojrzeć na powyższe punkty aby wydedukować, na których etapach może wkroczyć intruz. Wystarczy bowiem, że ten z Komputera3 zdoła szybciej odpowiedzieć na zapytanie Komputera1 wysyłając ARP Reply z podrobionym (swoim - 33:33:33:33:33:33) adresem sprzętowym, aby Komputer1 wysyłał do niego swoje dane błędnie myśląc że wysyła je do Komputera2. Tablica ARP Komputera1 będzie miała wtedy błędne odwzorowanie <-> 33:33:33:33:33:33. Ostatnie co intruz będzie musiał zrobić aby jego występek nie został zauważony, to odesłać odebrane dane do właściwego odbiorcy czyli w tym wypadku do Komputera2. W przeciwnym razie pakiety te znikną w czeluściach nicości i oba komputery nie będą mogły prawidłowo przesyłać do siebie danych. Dodatkowo nawet gdy Komputer1 nie wysyłał zapytania ARP do Komputera2, ani do żadnego innego, lecz otrzymał jakiś pakiet ARP Reply, to zapisze odwzorowanie w nim zawarte w swojej tablicy ARP, bezgranicznie w nie wierząc. To znacznie ułatwia życie intruzom. Aby wyświetlić aktualny stan swojej tablicy ARP należy wpisać: w Linuksie: $ arp lub dla alternatywnego stylu BSD $ arp -a w Windowsie: C:\WINDOWS> arp -a

9 Standardowo - jeżeli nie łączyliśmy się z nikim w sieci- powinno znaleźć się tam odwzorowanie dla naszej bramy (jeżeli nawet z nią się jeszcze nie komunikowaliśmy, to także jej tam nie będzie). Możemy pobawić się chwilę w obserwowanie, jakie zmiany zachodzą w naszej tablicy, gdy zaczynamy pingować jakiś komputer w sieci LAN lub gdy on pinguje nas. Czas na przykładowy atak wykorzystujący opisywaną technikę. Sieć składa się z dwóch komputerów, jeden to komputer intruza podłączony do routera zwykłym kablem sieciowym ( ), drugi komputer korzysta z routera poprzez połączenie radiowe( ). Sam router pełni w tym wypadku rolę bramy sieciowej o IP Nie ma w tej sieci odrębnego switcha, ponieważ wykorzystywany router posiada wbudowany cztero-portowy switch LAN, oraz antenę wi-fi. Routery takie często bywają wykorzystywane do podziału Internetu w domu. Oba komputery posiadają w swojej tablicy ARP tylko prawidłowe odwzorowanie dla bramy sieciowej. Co jest jak najbardziej zrozumiałą sytuacja, gdyż oba komputery nie komunikowały się ze sobą, natomiast non stop komunikują się z routerem, wysyłając lub pobierając dane z internetu. Nadszedł czas na przygotowanie się do ataku. Na komputerze intruza musimy włączyć forwardowanie pakietów (IP Forwarding) tak aby ramki, które przechwycimy zostały odesłane do prawidłowego hosta. Najlepiej zrobić to na początku aby żaden pakiet nie został utracony. Jeżeli tego nie zrobimy, to w praktyce komputer ofiary zostanie odcięty od internetu - wszystkie pakiety przez niego wysłane zaginą w karcie sieciowej intruza. W systemie Linux można to zrobić bez dodatkowych narzędzi w ten sposób: # echo 1 > /proc/sys/net/ipv4/ip_forward Można też skorzystać z programu fragrouter, który na bieżąco wyświetla informacje o forwardowanych pakietach. Opcja -B1 dla normalnego forwardowania: # fragrouter -B1 W systemie Windows można skorzystać z programu WinArpSpoof, który posłuży nam do przeprowadzenia całego ataku. Wystarczy w opcjach na zakładce Spoofing zaznaczyć

10 w IP-Forwarder opcje Act as a Router... Następnie uruchamiamy jakiegoś sniffera. W tym wypadku będzie to Ettercap, który jest dostępny zarówno dla Linuxa jak i Windowsa. Jest to dość rozbudowany sniffer, łatwy w obsłudze i automatycznie filtrujący najciekawsze dane. Uruchamiamy go pod Linuxem z uprawnieniami roota: # ettercap -G Powinniśmy ujrzeć prosty interfejs, w którym wybieramy kolejno Sniff -> Unified sniffiing. Nastepnie nasz interfejs sieciowy, w tym wypadku eth0. Ettercap posiada wbudowany mechanizm zatruwania pakietami ARP wybranego celu. Jest on dostępny w menu Mitm i jest dosyć prosty, dlatego tutaj zostanie przedstawiony inny program przygotowany do tego celu, a mianowicie arpspoof dostępny w pakiecie dsniff. Jego użycie jest następujące: # arpspoof -i <interfejs> -t <target> host Opcja -i <interfejs> określa interfejs sieciowy, -t <target> określa atakowany host, czyli komputer, którego tablice ARP będziemy zatruwać (jeśli parametr ten nie zostanie podany to atakowana będzie cała sieć). Host oznacza komputer, za który będziemy się podszywać (najczęściej jest to brama i tak będzie i tutaj). Dopasowując do naszych warunków: # arpspoof -i eth W systemie Windows, jeśli korzystamy z programu WinArpSpoof, w oknie Options na zakładce Spoofing określamy rodzaj ataku: na hosta, na bramę lub w obie strony- zaznaczamy na hosta. Następnie klikamy w przycisk Scan głównego okna programu. Po chwili, po zebraniu informacji o sieci wybieramy komputery, które chcemy sniffować i wciskamy Start. Ok, w tym momencie wszystkie pakiety wysyłane z komputera ofiary najpierw przechodzą przez maszynę intruza, a dopiero potem trafiają do bramy i przez nią dalej do internetu. Sprawdźmy ponownie tablice ARP na komputerze ofiary poprzedni adres MAC bramy został

11 podmieniony na inny adres MAC - MAC intruza! A więc rzeczywiście- gdy ofiara loguje się na jakąś stronę internetową lub forum, jej login i hasło wędruje drogą radiową do routera (z wbudowanym switchem), następnie do intruza, a od intruza z powrotem do bramy i w świat! Jak widzimy medium jakim łączymy się z naszą siecią (kabel, wifi) jest bez znaczenia. Czas sprawdzić skuteczność tych słów. Powracamy więc do Ettercapa, klikamy na Start -> Start sniffing i czekamy aż ofiara wyśle do internetu jakieś ciekawe dane. Jak widzimy Ettercap przechwycił próby logowania: na pocztę- przez stronę internetową, na serwer ftp, znów na pocztę- tym razem przez POP, a także na popularną stronę gier on-line. Na szczególną uwagę zasługuje fakt, iż Ettercap potrafi także (z wykorzystaniem dodatkowych technik pośredniczących) atakować sesje SSHv1 i SSL. My poprzestajemy na danych, które właśnie uzyskaliśmy. Aktualnie sniffujemy tylko w jedną stronę, czyli pakiety wychodzące z komputera ofiary do bramy. Aby podsłuchiwać także dane przychodzące z internetu (bramy) do ofiary musimy dodatkowo uruchomić arpspoofa z innymi opcjami: # arpspoof -i eth0 -t W WinArpSpoofie natomiast zaznaczamy typ ataku w obie strony. Operacja ta nie powiedzie się jeżeli brama ma statyczną tablice ARP. Atak kradzież portu przełącznika Ten typ ataku używa zalewania adresami MAC portu, do którego host ofiary jest połączony. Przełączniki zapamiętują adres MAC danego hosta dla danego portu(poprzez analizę pakietów przychodzący na dany port). Atakujący kradnie port, do którego podłączona jest ofiara, dzięki czemu możliwe jest śledzenie ruchu przez atakującego.

12 Atak rozpoczyna się od zalania przełącznika spreparowanymi pakietami ARP reply, które zawierają adres źródłowy MAC należący do ofiary i adres docelowy MAC należący do atakującego. Proces zalewania jest inny niż w przypadku metody zalewania tabeli CAM, każdy wysłany pakiet posiada adres docelowy MAC atakującego, dlatego przełącznik nie rozgłosi tego pakietu na inne porty (nie będzie to widoczne dla innych hostów w sieci). Trzeba pamiętać, że host ofiary będzie w tym samym czasie wysyłał pakiety zawierające swój adres docelowy MAC. Aktualnie przełącznik widzi pakiety z takim samym adresem źródłowym MAC na dwóch portach, przez co ciągle zmienia przypisanie adresu MAC do jednego z dwóch portów(tylko jeden adres MAC może być przypisany do jednego portu). Jeśli atakujący będzie wystarczająco szybki, pakiety, które miały być wysłane do hosta ofiary, trafią do atakującego. W momencie kiedy pakiet dojdzie do atakującego, wysyła on żądanie ARP pytające o adres IP hosta ofiary, następnie zatrzymuje zalewanie i czeka na odpowiedź ARP. Kiedy ją otrzyma będzie to znaczyło, iż port przełącznika został przywrócony do oryginalnego stanu. W tym momencie można wywęszyć pakiet, przekierować go do hosta ofiary a następnie powtórzyć całą operację. 4. Narzędzia wykorzystywane w laboratorium Wireshark - jest to darmowy sniffer. W głównej mierze jest wykorzystywany przez administratorów sieci, służby specjalne oraz hackerów do śledzenia pakietów. Jedną z jego zalet

13 jest posiadanie GUI - graficznego interfejsu użytkownika. Do czerwca 2006 nosił nazwę Ethereal. Pozwala na: przechwytywanie pakietów na danym interfejsie na żywo wyświetlenie pakietów z dokładną informacją protokołu zapisywanie przechwyconych pakietów import i eksport danych z innych programów przechwytujących filtrowanie pakietów wg wielu kryteriów przeszukiwanie pakietów tworzenie różnorakich statystyk Ettercap program dla systemów Windows, Linux i Unix, który pozwala na przekierowywanie oraz diagnostykę ruchu w sieciach lokalnych (LAN). Programy tego typu nazywane są snifferami (ang. sniff - węszyć). Pozwalają one na diagnostykę poprawnego działania sieci oraz na dokonywanie ataków MITM (ang. man in the middle - człowiek w środku) na innych użytkowników sieci. Program może być uruchomiony w jednym z trzech trybów graficznych: czysty tekst (konsola znakowa), ekran znakowy Ncurses (konsola znakowa), interfejs graficzny (X Window System). Można korzystać z niego zarówno na konsoli tekstowej jak i graficznie. Po uruchomieniu Ettercapa wybieramy interfejs sieciowy, który chcemy podsłuchiwać (eth0 to pierwsza karta sieciowa Ethernet). Program pozwala na wyświetlenie wszystkich aktywnych połączeń oraz przeglądanie wysyłanych przez nie danych. W trybach Ncurses i okienkowym dane wysyłane przez w obie strony widoczne są w dwóch oknach. W ten sposób można obserwować przebieg komunikacji. Jeżeli przez sieć przesyłane są niezaszyfrowane dane, Ettercap pozwala na przechwycenie wszystkich komunikatów. Jest on skuteczny zarówno w sieciach Ethernet z hubem jak i z przełącznikiem. W przypadku stosowania tego drugiego program stosuje technikę ARP Spoofing polegającą na wysyłaniu fałszywych pakietów protokołu ARP. Istnieje możliwość ładowania do niego zewnętrznych wtyczek (ang. plugin). Można je wykorzystać do zaawansowanych ataków MITM, gdzie dane muszą być odpowiednio preparowane w czasie

14 rzeczywistym. Sposób użycia: ettercap [OPTIONS] [TARGET1] [TARGET2] TARGET is in the form MAC/IPs/PORTs, where IPs/PORTs can be ranges -M, --mitm <METHOD:ARGS> - MITM attack Opcja aktywuje atak, który jest niezależny od sniffowania. Pozwala on na kradzież pakietów i przekierowanie ich do ettercap'a. Silnik odpowiedzialny za sniffowanie przekaże je do hosta ofiary, jeśli będzie taka potrzeba. arp ([remote], [oneway]) komenda pozwala na zainicjowanie ataku zatruwania pamięci ARP port ([remote], [free]) komenda pozwala na zainicjowanie ataku kradzieży portu przełącznika Przykłady: ettercap -T -M arp // // przeprowadź atak zatruwania pamięci ARP na wszystkich hostach w sieci LAN ettercap -T -M arp -i ethx/ip_ofiary/ // przeprowadź atak zatruwania pamięci ARP z interfejsu ethx, na hosta o adresie ip ip_ofiary ettercap -Tzq / /21,22,23 sniffowanie hosta na portach 21,22 i 23 ettercap -P list wyświetlenie listy dostępnych pluginów 5. Przykładowe pytania na wejściówkę: 1) Podaj jakie są wspólne cechy analizatorów wykorzystywanych do sniffingu. 2) Aby przestawić kartę sieciową w tryb promiscuous w systemie Linux należy wydać w terminalu polecenie 3) Dokończ zdanie: Protokół ARP (Address Resolution Protocol) 4) Do czego sprowadza się Sniffing w sieciach opartych o huby? 5) Wymień podstawowe funkcje przełącznika. 6) Co to jest koncentrator.

15 7) Program służący do przekierowywania ruchów w sieci to. 8) Dokończ zdanie: Adres MAC 9) Program Wiresharka posiada następujące opcje: 10) Dokończ zdanie: Ettercap działa w sieciach 11) Dokończ zdanie: ARP Spoofing Pytania są przykładowe, na kartkówce pojawią się pytania z puli lub inne.