Introduccin a ettercapng

1
Introducción a ettercap-ng

• Patricio López-Serrano Erickson
• 27 de noviembre de 2008

2
Qué es ettercap?

• Una herramienta muy versátil de manipulación de
  redes switcheadas.
• Tiene la habilidad de ejecutar ataques MITM
  (Man-In-The-Middle)
• Puede capturar y examinar el tráfico entre dos
  nodos

3
Envenenar la tabla ARP

• La base de la funcionalidad de ettercap
• ARP es un protocolo de la capa 3
• Se encarga de traducir IP a MAC
• Envenenar la tabla significa enviar paquetes
  espurios, fingiendo que se es la IP destinataria

4
Antes de envenenar
5
Después de envenenar
6
Y qué se puede hacer?

• Inyección de caracteres
• Filtrado de paquetes
• Recolección de contraseñas
• Matanza de conexiones

7
Inyección de caracteres

• Insertar cadenas arbitrarias en tiempo real
  durante una conexión (en cualquier dirección),
  simulando commandos que fluyen entre cliente y
  servidor.

8
Filtrado de paquetes

• Filtrar el flujo de paquetes TCP ó UDP en busca
  de cadenas arbitrarias con formato ASCII o
  hexadecimal (las cadenas que empaten con el
  patrón pueden sustituirse u omitirse).

9
Recolección de contraseñas

• El componente Active Dissector reconoce
  automáticamente la información pertinente sobre
  protocolos como TELNET, FTP, POP3, RLOGIN, SSH1,
  ICQ, SMB, MySQL, HTTP, NFS, etc.

10
Matanza de conexiones

• En el modo de listado de conexiones, se puede
  elegir una arbitrariamente para su terminación.

11
Funciones de reconocimiento

• Identificación de sistemas operativos
• Análisis pasivo de LAN
• Olfateo por IP y por MAC
• Búsqueda de envenenadores ARP
• Forja de paquetes

12
Ahora, a divertirse.
13
Ejemplo 1

• Olfateando una contraseña transmitida en texto
  plano con un navegador de internet.

14

• Este es el ejemplo más patatero
• No requiere más que echar a andar ettercap
• Envenenar la tabla
• Elegir a la víctima (opcional)
• Y comenzar el olfateo

15
Ejemplo 2

• Usando un filtro para sustituir cadenas
  arbitrarias.

16

• Más interesante...
• Hace uso de la herramienta de filtros

17
Filtros en ettercap

• Permiten cambiar el contenido de los paquetes
• Gran diversión en conferencias blackhat
• Muy similares al lenguaje C
• Hay que compilarlos con etterfilter antes de
  cargarlos en ettercap (etterfilter ig.filter -o
  ig.ef)

18
Sustitución de imágenes

• if (ip.proto TCP tcp.dst 80)
• if (search(DATA.data, "Accept-Encoding"))
• replace("Accept-Encoding",
  "Accept-Rubbish!")
• note replacement string is same length as
  original string
• msg("zapped Accept-Encoding!\n")
• if (ip.proto TCP tcp.src 80)
• replace("img src", "img src\"http//www.irong
  eek.com/images/jollypwn.png\" ")
• replace("IMG SRC", "img src\"http//www.irong
  eek.com/images/jollypwn.png\" ")
• msg("Filter Ran.\n")

19
El resultado
20
Ejemplo 3

• Ir caminando en la calle, mirando a las muchachas.

21

• Utilizando a ettercap en conjunto con la
  herramienta driftnet
• Para alentar de la manera más amable el buen uso
  de las redes en entornos serios

22

• Se puede construir una estación de monitoreo de
  imágenes en circulación por el segmento
• Muy buena idea colocar el monitor en el pasillo
  que lleva a la cafetera o al baño )

23

• Basta seguir los pasos del ejemplo 1
• Y levantar a driftnet en la misma interfaz que
  está olfateando ettercap

24
El resultado
25
Entonces...

• Muy metiches?