DreaDy.HK
03-05-2010, 11:40 PM
Buenas Brothers:
Como muchos de ustedes ya habran visto un par de post mios por ahi pidiendo ayuda sobre ettercap y la infinidad de problemas que tuve al instalarlo y configurarlo de manera adecuada. Debo reconocer que soy una persona bastante perfeccionista y a pesar de mi poca experiencia en Linux (1 mes aproximadamente) no me quedo atrás con ningún desafío. Tuve un problema hace un par de dias lo que derivo en una serie de problemas, problemas que acarrearon un par de noches intentando solucionar los distintos problemas que iban surgiendo. Afortunadamente en casa tengo varias computadoras para poder probar de manera empírica los conocimientos adquiridos, pero sin mas vuelta vamos a lo importante acá les describo detalladamente la forma en que instale la aplicación y la configure, luego de varias formateadas y una infinidad de problemas ...
Proceso de instalación:
1. Instalamos las librerias y dependencias necesarias para que ettercap funcione sin problema, vamos a la consola y ejecutamso el siguiente comando:
sudo apt-get install libnet0 libnet1-dev libssl-dev libltdl3-dev libpcre3-dev libpcap0.8-dev
quizas puede que al ejecutar les de problema con libnet0, que no esta en su sistema y tampoco aparece en los repos (en karmic por lo menos no esta), asi que van a este link lo descargan y lo instalan http://ftp.ca.debian.org/debian/pool/main/libn/libnet0/libnet0_1.0.2a-7_i386.deb (esta en deb, asi que es solo cosa de darle doble click y listo, despues de esto vuelven a ejecutar el comando para que instale las librerias)
2. Instalando Ettercap (escogemos una de las dos opciones)
sudo apt-get install ettercap (para la versión por consola)
ó
sudo apt-get install ettercap-gtk (para la versión gráfica, esta también trae la versión por consola incluida)
3. Necesitamos editar un par de lineas del archivo de configuración de ettercap para que funcione de manera correcta
HAy que activar el forwarding de paquetes y modificar el fichero de configuración de ettercap para que reenvíe paquetes SSL (importante para realizar ataques Arp Poisoning entre otros). Para eso vamos a la consola y ejecutamos el siguiente comando:
sudo gedit /etc/etter.conf (en este caso yo uso "gedit", pero hay varios editores, pueden usar otro solo sustituyendo gedit por nano por ejemplo, o por el editor de archivos que tengan instalado y que mas les guste
Y ahí editamos la siguiente línea (descomentandola)
originalmente la línea esta así:
# redir_command_on = "iptables -t nat -A PREROUTING -i %iface -p tcp --dport %port -j REDIRECT --to-port %rport"
Debemos descomentarla (esto quiere decir quitar el # de la línea), quedando así:
redir_command_on = "iptables -t nat -A PREROUTING -i %iface -p tcp --dport %port -j REDIRECT --to-port %rport"
Debemos guardar los cambios, si lo editamos con gedit solo guardamos los cambios con el boton guardar, si lo editamos con nano para guardar los cambios es de la siguiente manera ctrl+x--> le damos si --> presionamos enter.
4. Luego activas el forwarding de paquetes, esta parte es importantisima ya que si no esta activada esta opción, los paquetes no serán reenviados a la computadora "victima" y se quedara sin acceso a internet
sudo sysctl -w net.ipv4.ip_forward=1
Este punto es importantisimo, con el valor en 1 ettercap reenvia paquetes y todo funcionara de buena manera, con esta valor en 0 pasara lo que les comentaba anteriormente, no reenviara paquetes y la computadora "victima" se quedara sin acceso a internet y lo mas probable que la nuestra tambien.
Debo destacar un fenomeno importante que me ocurrio y que lo mas probable es que pase con todos los user de ettercaṕ, es una de las primeras conclusiones que mis dias de estudio de este programa me han entregado, al ejecutar esta herramienta el valor del ip_forward se devuelve a 0 justo en el momento en que presionamos Sniff --> unified Sniffing por lo cual el programa no ejecutara las tareas que solicitemos, al cerrar este programa el valor vuelve a 1. Para comprobar si el valor esta en "0" o en "1" usamos el siguiente comando (en la consola)
cat /proc/sys/net/ipv4/ip_forward
por lo mismo si queremos que nos funcione de manera adecuada el programa, cada vez que iniciemos y luego de entrar a sniff---> unified sniffing tendremos que volver a activar el forward de paquetes con el comando descrito anteriormente, vamos a la consola y ejecutamos :
sudo sysctl -w net.ipv4.ip_forward=1
ahora pueden comprobar nuevamente con
cat /proc/sys/net/ipv4/ip_forward
y podran ver que el valor ya esta en "1" ...
5. Ejecutar ettercap, lo pueden hacer directamente desde aplicaciones---> internet ---> ettercap y ahi nos pedira la contraseña para entrar con permisos de sudo, aunque les recomiendo entrar desde la consola de la siguiente manera:
Para ejecutar ettercap en modo consola
sudo ettercap -C -i (dispositivo de conexion)
dispositivo de conexion: puede ser etho, wlan0, wlan1 ... esto lo comprueban en la consola con iwconfig o con ifconfig o con airmon-ng en caso de que tengan instalada la suite aircrack-ng.
Para ejecutar ettercap en modo gráfico
sudo ettercap --gtk
Ya estando dentro del programa y dependiendo de las intenciones de cada uno se puede interactuar sin ninguna dificultad desde nuestra máquina, Me explico el programa o el tipo de "ataque" que estemos realizando no solo involucra nuestra máquina, sino todos los dispositivos asociados en este "ataque", entiendase por sispositivos a routers, computadoras y todo medio que haga posible la conexión entre estas.
Conclusión:
Luego de probar en mi red personal, pude sacar varias conclusiones:
La red se compone de varias computadoras, 3 conectadas por inalambrica y una conectada por cable, uso un modem conectado a un router y ... :
Ataque realizado para comprobar: Arp poisoning (este ataque falsifica certificados para obtener pass y cuentas que usan el protocolo SSL, como google, facebo**, hotamail, entre otras ...)
A.- El ataque no funciona con maquinas con win xp sp3 y su firewall activado ???, el windows actualizado a la fecha de hoy 6 de Marzo del 2010, el mensaje que entrega es este
no poisonning betwwen xxx ---> yyy (dondelas "xxx" y las "yyy" representan las ips involucradas en el ataque) lo extraño es que a pesar del mensaje el ataque funciona sin problema, a que se debe esto ???
al desactivar el firewall el ataque funciona en toda su amplitud ...
el mensaje avisa que el poisonning se llevo acabo e igual funciona todo ...
(la maquina tiene antivirus activado en todo momento y actualizado a la fecha "microsoft security essential) pero este no influye para nada en el ataque)
este punto fue comprobado en 3 maquinas, una con un windows xp sp3 de los editados (win UE), un XP SP3 original sin modificaciones y en una con backtrack 4 Final en los casos de los con XP los resultados fueron iguales "el firewall bloquea los ataques" en backtrack 4 funciono sin ningun tipo de problema como se puede preasumir ...
B.- Hay que volver a activar el ip_forward (dejandolo en 1 se activa), despues de entrar a Sniff --> unified Sniffing en ettercap ...
para garantizar el ataque en este caso, aunque debo reconocer que me ha funcionado las veces que olvide cambiarlo, pero no es recomendable que este en 0, aunque debo reconocer que el cambiar o no el valor no me ha afectado en las maquinas en las que he probado de aca de mi red personal, he probado en las 4 y funciona sin problema pero es recomendable dejarlo en "1"
Bueno eso es todo, espero que les sirva a ustedes, me encuentro sorprendido con el firewall de windows, no pense que pudiese prevenir estos ataques ...
Salu2 By DreaDy.HK
PD: Aprovecho de agradecer a todos los que me ayudaron contestando mis preguntas y orientandome de una manera u otra con sus consejos ...
Como muchos de ustedes ya habran visto un par de post mios por ahi pidiendo ayuda sobre ettercap y la infinidad de problemas que tuve al instalarlo y configurarlo de manera adecuada. Debo reconocer que soy una persona bastante perfeccionista y a pesar de mi poca experiencia en Linux (1 mes aproximadamente) no me quedo atrás con ningún desafío. Tuve un problema hace un par de dias lo que derivo en una serie de problemas, problemas que acarrearon un par de noches intentando solucionar los distintos problemas que iban surgiendo. Afortunadamente en casa tengo varias computadoras para poder probar de manera empírica los conocimientos adquiridos, pero sin mas vuelta vamos a lo importante acá les describo detalladamente la forma en que instale la aplicación y la configure, luego de varias formateadas y una infinidad de problemas ...
Proceso de instalación:
1. Instalamos las librerias y dependencias necesarias para que ettercap funcione sin problema, vamos a la consola y ejecutamso el siguiente comando:
sudo apt-get install libnet0 libnet1-dev libssl-dev libltdl3-dev libpcre3-dev libpcap0.8-dev
quizas puede que al ejecutar les de problema con libnet0, que no esta en su sistema y tampoco aparece en los repos (en karmic por lo menos no esta), asi que van a este link lo descargan y lo instalan http://ftp.ca.debian.org/debian/pool/main/libn/libnet0/libnet0_1.0.2a-7_i386.deb (esta en deb, asi que es solo cosa de darle doble click y listo, despues de esto vuelven a ejecutar el comando para que instale las librerias)
2. Instalando Ettercap (escogemos una de las dos opciones)
sudo apt-get install ettercap (para la versión por consola)
ó
sudo apt-get install ettercap-gtk (para la versión gráfica, esta también trae la versión por consola incluida)
3. Necesitamos editar un par de lineas del archivo de configuración de ettercap para que funcione de manera correcta
HAy que activar el forwarding de paquetes y modificar el fichero de configuración de ettercap para que reenvíe paquetes SSL (importante para realizar ataques Arp Poisoning entre otros). Para eso vamos a la consola y ejecutamos el siguiente comando:
sudo gedit /etc/etter.conf (en este caso yo uso "gedit", pero hay varios editores, pueden usar otro solo sustituyendo gedit por nano por ejemplo, o por el editor de archivos que tengan instalado y que mas les guste
Y ahí editamos la siguiente línea (descomentandola)
originalmente la línea esta así:
# redir_command_on = "iptables -t nat -A PREROUTING -i %iface -p tcp --dport %port -j REDIRECT --to-port %rport"
Debemos descomentarla (esto quiere decir quitar el # de la línea), quedando así:
redir_command_on = "iptables -t nat -A PREROUTING -i %iface -p tcp --dport %port -j REDIRECT --to-port %rport"
Debemos guardar los cambios, si lo editamos con gedit solo guardamos los cambios con el boton guardar, si lo editamos con nano para guardar los cambios es de la siguiente manera ctrl+x--> le damos si --> presionamos enter.
4. Luego activas el forwarding de paquetes, esta parte es importantisima ya que si no esta activada esta opción, los paquetes no serán reenviados a la computadora "victima" y se quedara sin acceso a internet
sudo sysctl -w net.ipv4.ip_forward=1
Este punto es importantisimo, con el valor en 1 ettercap reenvia paquetes y todo funcionara de buena manera, con esta valor en 0 pasara lo que les comentaba anteriormente, no reenviara paquetes y la computadora "victima" se quedara sin acceso a internet y lo mas probable que la nuestra tambien.
Debo destacar un fenomeno importante que me ocurrio y que lo mas probable es que pase con todos los user de ettercaṕ, es una de las primeras conclusiones que mis dias de estudio de este programa me han entregado, al ejecutar esta herramienta el valor del ip_forward se devuelve a 0 justo en el momento en que presionamos Sniff --> unified Sniffing por lo cual el programa no ejecutara las tareas que solicitemos, al cerrar este programa el valor vuelve a 1. Para comprobar si el valor esta en "0" o en "1" usamos el siguiente comando (en la consola)
cat /proc/sys/net/ipv4/ip_forward
por lo mismo si queremos que nos funcione de manera adecuada el programa, cada vez que iniciemos y luego de entrar a sniff---> unified sniffing tendremos que volver a activar el forward de paquetes con el comando descrito anteriormente, vamos a la consola y ejecutamos :
sudo sysctl -w net.ipv4.ip_forward=1
ahora pueden comprobar nuevamente con
cat /proc/sys/net/ipv4/ip_forward
y podran ver que el valor ya esta en "1" ...
5. Ejecutar ettercap, lo pueden hacer directamente desde aplicaciones---> internet ---> ettercap y ahi nos pedira la contraseña para entrar con permisos de sudo, aunque les recomiendo entrar desde la consola de la siguiente manera:
Para ejecutar ettercap en modo consola
sudo ettercap -C -i (dispositivo de conexion)
dispositivo de conexion: puede ser etho, wlan0, wlan1 ... esto lo comprueban en la consola con iwconfig o con ifconfig o con airmon-ng en caso de que tengan instalada la suite aircrack-ng.
Para ejecutar ettercap en modo gráfico
sudo ettercap --gtk
Ya estando dentro del programa y dependiendo de las intenciones de cada uno se puede interactuar sin ninguna dificultad desde nuestra máquina, Me explico el programa o el tipo de "ataque" que estemos realizando no solo involucra nuestra máquina, sino todos los dispositivos asociados en este "ataque", entiendase por sispositivos a routers, computadoras y todo medio que haga posible la conexión entre estas.
Conclusión:
Luego de probar en mi red personal, pude sacar varias conclusiones:
La red se compone de varias computadoras, 3 conectadas por inalambrica y una conectada por cable, uso un modem conectado a un router y ... :
Ataque realizado para comprobar: Arp poisoning (este ataque falsifica certificados para obtener pass y cuentas que usan el protocolo SSL, como google, facebo**, hotamail, entre otras ...)
A.- El ataque no funciona con maquinas con win xp sp3 y su firewall activado ???, el windows actualizado a la fecha de hoy 6 de Marzo del 2010, el mensaje que entrega es este
no poisonning betwwen xxx ---> yyy (dondelas "xxx" y las "yyy" representan las ips involucradas en el ataque) lo extraño es que a pesar del mensaje el ataque funciona sin problema, a que se debe esto ???
al desactivar el firewall el ataque funciona en toda su amplitud ...
el mensaje avisa que el poisonning se llevo acabo e igual funciona todo ...
(la maquina tiene antivirus activado en todo momento y actualizado a la fecha "microsoft security essential) pero este no influye para nada en el ataque)
este punto fue comprobado en 3 maquinas, una con un windows xp sp3 de los editados (win UE), un XP SP3 original sin modificaciones y en una con backtrack 4 Final en los casos de los con XP los resultados fueron iguales "el firewall bloquea los ataques" en backtrack 4 funciono sin ningun tipo de problema como se puede preasumir ...
B.- Hay que volver a activar el ip_forward (dejandolo en 1 se activa), despues de entrar a Sniff --> unified Sniffing en ettercap ...
para garantizar el ataque en este caso, aunque debo reconocer que me ha funcionado las veces que olvide cambiarlo, pero no es recomendable que este en 0, aunque debo reconocer que el cambiar o no el valor no me ha afectado en las maquinas en las que he probado de aca de mi red personal, he probado en las 4 y funciona sin problema pero es recomendable dejarlo en "1"
Bueno eso es todo, espero que les sirva a ustedes, me encuentro sorprendido con el firewall de windows, no pense que pudiese prevenir estos ataques ...
Salu2 By DreaDy.HK
PD: Aprovecho de agradecer a todos los que me ayudaron contestando mis preguntas y orientandome de una manera u otra con sus consejos ...