Aide-mémoire Ettercap

Ettercap est un outil gratuit et open source qui peut être utilisé pour les attaques de l'homme du milieu sur les réseaux. En tant que tel, cela peut constituer une menace pour la sécurité du réseau. Cependant, les administrateurs réseau doivent connaître cet outil pour vérifier les vulnérabilités de leurs systèmes.

Qu’est-ce qu’Ettercap ?

Il s'agit d'un outil de capture de paquets qui peut réécrire des paquets sur le réseau. Ainsi, les flux de données peuvent être détournés et modifiés à la volée. Le système peut également être utilisé pour l'analyse de protocole afin d'analyser le trafic réseau et de déterminer quelles applications génèrent le plus de trafic.

Il y a une interface graphique pour Ettercap, et il est également possible d'utiliser Ettercap en ligne de commande. Cependant, l’interface n’est pas si chaude. De plus, étant donné le niveau élevé des outils de surveillance de réseau auxquels les administrateurs réseau sont habitués de nos jours, il est peu probable qu'Ettercap effectue analyse du trafic réseau .

Les utilisations les plus courantes d’Ettercap sont attaques de l'homme du milieu à travers Intoxication à l'ARP . De plus, les pirates utilisent cet outil et vous pouvez l'utiliser pour des tests d'intrusion.

Compatibilité du système d'exploitation Ettercap

Ettercap est avant tout un outil pour Linux et autres systèmes d'exploitation de type Unix. Il est disponible pour les distributions Linux suivantes :

• Debian
• Ubuntu
• Temps
• RetourTrack
• Comme
• Feutre
• Gentoo
• Pentoo
• OpenSuSe (non pris en charge)
• CentOS (non pris en charge)
• RHEL (non pris en charge)

Le logiciel fonctionnera également sous Unix :

• GratuitBSD
• OpenBSD
• NetBSD
• Solaris (non pris en charge)

Les versions du système d'exploitation Mac qui, selon les notes de version officielles, exécuteront Ettercap sont :

• 10.6 Léopard des neiges
• 10.7 Lions

Les notes de version indiquent qu'Ettercap peut être installé sous Windows, mais cette implémentation n'est pas prise en charge. Il existe une deuxième version d'Ettercap disponible pour les systèmes 32 bits exécutant Windows. Les versions Windows mentionnées par les développeurs sont :

• Windows Vista
• Windows 7
• Windows 8

Installer Ettercap

Le processus d'installation est légèrement différent pour chaque système d'exploitation.

Installer Ettercap sur Kali Linux

Si vous disposez de Kali Linux, vous n’avez rien à faire pour installer Ettercap. Il est déjà installé.

Installez Ettercap sur Ubuntu Linux

Accédez à la ligne de commande et entrez les deux commandes :

|_+_|

Installez Ettercap sur Debian, BackTrack et Mint Linux

Ouvrez une session Terminal et saisissez :

|_+_|

Installez Ettercap sur CentOS, Fedora et RHEL

Émettez les commandes :

|_+_|

Installez Ettercap sur Windows Vista, Windows 7 et Windows 8

1. Aller à la page Web https://sourceforge.net/projects/ettercap/files/unofficial%20binaries/windows/
2. Cliquez sur l'entrée .msi supérieure répertoriée sur la page.
3. Choisissez un répertoire pour télécharger le fichier.
4. Cliquez sur le fichier d'installation une fois qu'il a été téléchargé.

Quel est le meilleur système d’exploitation pour Ettercap

La dernière version du package compatible Windows pour Ettercap disponible sur SourceForge a été publiée en décembre 2011. Malheureusement, elle est très ancienne et les commentaires des utilisateurs indiquent que le système plante fréquemment.

Vous verrez plusieurs sites prétendant avoir une version fonctionnelle d'Ettercap pour Windows 10 . Soyez toutefois prudent : téléchargez uniquement des logiciels à partir de sites connus, tels que GitHub ou SourceForge. Les pirates informatiques ont créé leurs sites de téléchargement pour attirer les membres du public qui leur font confiance. Les logiciels que vous trouvez sur ces sites sont faux et contiennent des logiciels malveillants au lieu des utilitaires promis.

Pour résumer, il n'existe pas de version fonctionnelle d'Ettercap, et la version pour Windows 7 et Windows 8 ne fonctionne pas très bien. La seule version sérieuse d'Ettercap est disponible pour Linux. Le système fonctionne bien sur n'importe quelle version de Linux. Cependant, la meilleure distribution pour utiliser Ettercap est probablement Kali Linux .

Utiliser Ettercap

Vous pouvez tester la résilience des paramètres de votre système en exécutant une série d'attaques de pirates informatiques dans le cadre d'un exercice de test d'intrusion avec les utilitaires Ettercap. Les épisodes que vous pouvez émuler sont :

• Attaques de l'homme du milieu
• Usurpation DNS
• Capture des informations d'identification
• Attaque DOS

Examinons chacune de ces attaques et comment vous pouvez les mettre en œuvre avec Ettercap.

Attaques de l'homme du milieu

Dans une attaque de l'homme du milieu, chaque partie dans une conversation réseau pense qu'elle échange des données entre elle mais communique avec le pirate informatique. Par exemple, a se connecte à B, mais le pirate informatique intercepte la demande de connexion et répond à A en se faisant passer pour B. Eventuellement, au même moment, le pirate informatique pourrait se connecter à B en se faisant passer pour A. Cette deuxième connexion serait nécessaire pour extraire de B des données qui permettront au hacker de convaincre A qu'il est connecté à B.

La principale motivation de l'attaque de l'homme du milieu est de voler des données depuis A afin que le pirate informatique puisse accéder ultérieurement à B sous l'apparence de A. Dans ce cas, le pirate informatique n'a pas activement besoin d'interagir avec la victime, il suffit surveiller le trafic des allers-retours entre la victime et le site Web.

Un objectif typique de ce scénario d'attaque serait de voler le nom d'un utilisateur. identifiants de connexion pour un système précieux, tel que la banque en ligne. Le même objectif peut être satisfait avec les escroqueries par e-mail de phishing, qui sont techniquement plus facile à mettre en œuvre, et donc actuellement, les attaques de l’homme du milieu ne sont pas si répandues.

Il existe deux façons de détourner le trafic via votre ordinateur à des fins de manipulation, et les deux peuvent être mises en œuvre avec Ettercap. Le premier d’entre eux est l’empoisonnement ARP et le second est une attaque DNS. Intoxication à l'ARP est la méthode la plus simple des deux et donne de meilleurs résultats pour une attaque de l'homme du milieu sur un réseau local. La méthode d’empoisonnement ARP est au cœur de la méthodologie d’attaque d’Ettwrcap.

Ajuster la configuration d'Ettercap pour l'empoisonnement ARP

Tout d’abord, mettez à jour le fichier de configuration Ettercap pour augmenter le trafic vers le superutilisateur.

|_+_|

Recherchez la section [privs] dans le fichier. Modifiez les deux lignes suivantes.

|_+_|

Enregistrez le fichier.

Configurer l'attaque MITM

Notez le routeur de votre réseau. Tapez la commande suivante :

|_+_|

Les résultats indiqueront par défaut via, puis une adresse IP. C'est l'adresse du routeur. Écris le.

Démarrez Ettercap avec son interface graphique frontale. Avec la commande :

|_+_|

Dans cette stratégie d’attaque, nous ferons croire à l’ordinateur de la victime que notre ordinateur est le routeur. L'ordinateur expéditeur connaît déjà l'adresse IP du routeur. Nous ne changerons pas cela. Au lieu de cela, nous lierons l'adresse MAC de notre ordinateur à cette adresse IP.

Cliquer sur Renifler dans le menu supérieur, puis sélectionnez Reniflage unifié dans le menu déroulant. Vous verrez une boîte de dialogue Entrée Ettercap. Sélectionnez l'interface réseau qui se trouve sur le même réseau que l'ordinateur cible et appuyez sur D'ACCORD .

Clique sur le Hôtes option dans le menu supérieur et sélectionnez Rechercher des hôtes dans le menu déroulant. Ensuite, cliquez sur le Hôtes option à nouveau et choisissez Liste des hôtes . Cela vous montrera les autres appareils connectés au réseau. Tout d’abord, vous devez déterminer lequel de ces éléments est votre ordinateur cible.

La liste des hôtes affiche les adresses IP de tous les ordinateurs connectés au réseau. Cliquez sur la ligne de la cible et cliquez sur le Ajouter à la cible 1 bouton. Ensuite, cliquez sur l'adresse du routeur du réseau et appuyez sur le bouton Ajouter à la cible 2 bouton. Vous pouvez ajouter autant d'adresses Target 1 que vous le souhaitez. Pour chaque adresse cible 1 que vous insérez dans cette configuration, l'ordinateur associé à cette adresse IP verra son trafic détourné via l'ordinateur exécutant le système Ettercap. Tous les autres ordinateurs communiqueront avec le routeur de la manière habituelle.

Clique sur le MITM option dans le menu supérieur, puis sur Intoxication à l'ARP . Dans la boîte de dialogue qui apparaît, sélectionnez Renifler les connexions à distance puis cliquez sur D'ACCORD . Ensuite, cliquez sur le Commencer option dans le menu supérieur, puis choisissez Commencez à renifler . Cela remappe l'adresse IP du routeur sur votre ordinateur. Le système Ettercap transmettra le trafic au routeur réel et canalisera les réponses vers la cible.

Lancez l'attaque MITM

Vous recevrez désormais tout le trafic de cette machine cible vers le routeur. Toutes les connexions HTTPS seront rétrogradées vers une communication HTTP non protégée.

Dans l'interface Ettercap, cliquez sur le Voir option dans le menu supérieur et sélectionnez Connexions dans le menu déroulant. Cliquez ensuite sur une ligne de la liste de connexions affichée dans le panneau central de l'interface pour ouvrir un split board. Cela vous montrera les données d'en-tête du paquet pour la connexion. Si la charge utile n’est pas chiffrée, vous devez lire le contenu du corps du paquet.

Usurpation DNS

Pour détourner le trafic entre une cible et un site Web externe afin d'effectuer une attaque de l'homme du milieu, vous pouvez utiliser l'usurpation d'identité DNS. Le système de noms de domaine croise les noms de domaine Web avec les adresses IP réelles des serveurs qui hébergent les pages de ce site. Par conséquent, mettre à jour un serveur DNS local pour donner votre adresse IP pour un domaine vous permettra de capturer le trafic vers et depuis ce site.

L'option d'usurpation d'identité DNS vous permet de lire et de transmettre tout le trafic ou de l'intercepter complètement, fournissant ainsi votre version du site Web souhaité à la victime.

Ajustez la configuration d'Ettercap pour l'usurpation d'identité DNS

Vous devez modifier le fichier de configuration de votre instance Ettercap pour effectuer une usurpation DNS. L’usurpation DNS ne remplace pas la technique d’empoisonnement ARP expliquée dans la section précédente. Vous avez besoin que le système d'empoisonnement ARP soit actif via Ettercap pour que le service d'usurpation DNS fonctionne.

Editez le fichier etter.dns avec Vi :

|_+_|

Ce fichier sera la base de données DNS locale référencée par votre ordinateur cible. Il s’agit du serveur DNS le plus proche de la victime, donc tous les sites qui ne sont pas mentionnés dans votre enregistrement local seront référencés via le serveur DNS le plus proche, spécifié par le serveur DNS de la victime.

Saisissez un enregistrement pour le site Web pour lequel vous souhaitez capturer les connexions. Cela devrait être au format UN . Par exemple, si vous souhaitez que tout le trafic de l'ordinateur de la victime vers compatritech.com soit acheminé vers votre ordinateur sur le réseau et que votre adresse locale est 127.0.0.3, l'enregistrement que vous écrivez serait :

|_+_|

Vous pouvez effectuer autant de saisies que vous le souhaitez et il est possible de pointer plusieurs sites différents vers la même adresse.

Enregistrez le fichier etter.dns modifié.

Exécutez l'attaque d'usurpation DNS

Lors de l’exécution de ces tests, vous avez l’avantage d’être à l’intérieur du réseau local. Un pirate informatique pourrait utiliser cet outil pour rediriger les requêtes vers n’importe quel endroit sur terre – il n’est pas nécessaire que la nouvelle adresse du serveur se trouve sur le réseau local. Cependant, avec Ettercap, l'interception assurée par l'empoisonnement ARP doit fonctionner sur le réseau local pour que cette attaque fonctionne.

Accédez à l'interface Ettercap. N'oubliez pas qu'il devrait déjà être en cours d'exécution Intoxication à l'ARP pour une ou plusieurs victimes du réseau.

Cliquer sur Plugins dans le menu supérieur, puis sélectionnez Gérer les plugins dans le menu déroulant. Cela ouvrira un nouvel onglet dans l'interface et listera tous les plugins disponibles. Parcourez la liste et trouvez dns_spoof . Double-cliquez sur cette ligne pour activer le service. Cela signifie que votre etter.dns devient le serveur DNS local pour les ordinateurs victimes que vous avez dans votre Cibler 1 hôtes liste.

Capture des informations d'identification

Vous pouvez lire le contenu des paquets qui passent dans l'interface Ettercap une fois l'empoisonnement ARP actif. Cependant, si l’ordinateur cible utilise HTTPS pour communiquer avec des sites Web, le contenu de la charge utile du paquet sera chiffré sur tout le trafic. La clé de cryptage sera négociée entre les deux extrémités de la connexion lorsque le contact sera établi. Le moyen le plus simple de briser cette protection est de supprimer le besoin de HTTPS. Cela empêche l’ordinateur de la victime d’utiliser HTTPS et l’oblige à simplement utiliser HTTP pour communiquer avec les sites Web, laissant ainsi la charge utile non cryptée et lisible.

Revenez au fichier etter.conf et modifiez-le :

|_+_|

Passer à la section qui dit # si vous utilisez iptables et supprimez le hachage du commentaire au début des deux courir lignes. Ces rétrogradations des connexions SSL vers HTTP non protégées. Enregistrez le fichier.

Maintenant, lorsque vous revenez à l'interface Ettercap et Voir > Connexions , vous pourrez lire le contenu du paquet et trouver les noms d'utilisateur et les mots de passe transmis dans le format de message du protocole HTML.

Attaque DOS

Vous pouvez bloquer complètement tout accès Web pour des points de terminaison spécifiques de votre réseau via Ettercap. Pour ce faire, vous devez faire fonctionner l’attaque d’empoisonnement ARP décrite ci-dessus. Après cela, le blocage fonctionnera pour tous les points de terminaison ajoutés à votre liste Target 1.

Une fois l'empoisonnement ARP en cours, cliquez sur Plugins dans le menu supérieur et sélectionnez Gérer les plugins dans la liste déroulante. Cela affichera une liste des services disponibles. Parcourez la liste pour trouver une ligne pour Attaque DOS . Il s'agit généralement de la ligne suivante après le dns_spoof entrée. Double-cliquez sur la ligne dos_attack pour activer l'attaque.

Se défendre contre Ettercap

Ce guide vous en a montré quelques-uns tests faciles pour voir comment les pirates peuvent gâcher les communications sur votre réseau en utilisant Ettercap. Bien qu'Ettercap soit connu sous le nom un outil de piratage , il a une faiblesse : il doit fonctionner sur un ordinateur au sein d'un réseau pour être efficace.

Dans ce guide, nous avons vu comment utiliser Ettercap via son interface utilisateur graphique. Cependant, il existe également une version en ligne de commande, et cela pourrait être configuré sans aucun indicateur visible sur l’ordinateur ciblé. Un pirate informatique pourrait écrire des scripts pour installer Ettercap et définir une session d'empoisonnement ARP sans que l'utilisateur ne voie cette opération en arrière-plan.

Une façon de se défendre contre l'utilisation d'Ettercap par des pirates informatiques pour nuire à la sécurité de votre réseau consiste à analyser chaque point de terminaison pour le processus Ettercap. Ceci peut facilement être effectué par n'importe quel détection et réponse des points finaux (EDR), qui sera probablement déjà prêt à repérer et tuer Ettercap.

La manière la plus probable pour un pirate informatique de faire fonctionner Ettercap sur l’un des points de terminaison de votre réseau est de masquer un programme d’installation, également connu sous le nom de «  compte-gouttes », sous forme de fichier PDF ou zip joint à un e-mail. Cela s’activerait ensuite une fois que l’utilisateur escroqué l’ouvrirait. Ainsi, il est essentiel de éduquer les utilisateurs contre l’ouverture des pièces jointes aux e-mails.

FAQ Ettercap

À quoi sert Ettercap ?

Ettercap est un outil d'analyse de sécurité qui émule une attaque « de l'homme du milieu » pour détecter les vulnérabilités du système. Le service déploie des techniques telles que l'empoisonnement ARP et le décryptage des mots de passe pour capturer le trafic et insérer de fausses réponses dans le flux. Il peut également être utilisé pour des attaques DoS.

Ettercap est-il un renifleur ?

Ettercap a été initialement conçu pour être un renifleur de paquets et cette fonction est toujours au cœur de l'outil. Considérez Ettercap comme un renifleur de paquets avec des fonctions supplémentaires. Ces fonctions supplémentaires sont désormais considérées comme la principale raison d’utiliser Ettercdap – pour les attaques réseau ou les tests d’intrusion.

Qu'est-ce que l'usurpation d'identité ARP et l'empoisonnement ARP ?

ARP Spoofing et ARP Poisoning signifient la même chose, à savoir la modification des enregistrements du protocole de résolution d'adresse. « Spoofing » signifie usurper l'identité, donc l'usurpation d'identité ARP signifie représenter un ordinateur avec l'adresse IP qui a été initialement attribuée à l'adresse MAC d'un autre ordinateur. Dans un souci d'exhaustivité, cela devrait également inclure la modification de l'enregistrement ARP concerné. « Empoisonnement » signifie corrompre la table ARP. Il est possible de mettre en œuvre une usurpation d’identité sans empoisonnement. Cependant, cela dépend du fait que l'ordinateur trompé ne vérifie pas les tables ARP, il est donc préférable d'implémenter également l'empoisonnement.