Tổng quan về tool Ettercap và cách thức vận hành của

Ettercap
Ettercap là gì? Ettercap là một tiện ích để phân tích lưu lượng mạng đi qua giao
diện máy tính, nhưng có thêm chức năng. Chương trình cho phép bạn thực hiện các
cuộc tấn công như "Man in the middle" để buộc một máy tính khác chuyển các gói
tin không phải đến bộ định tuyến mà là cho bạn. Ettercap là một công cụ chuyên
nghiệp có thể giúp bạn giả mạo các kết nối, giả mạo DNS,..Ettercap giúp bạn trung
gian giữa các cuộc tấn công trong mạng LAN. Nó có tính năng đánh hơi các các
kết nối trực tiếp, lọc nội dung chuyển trên mạng và nhiều thủ thuật thú vị khác. . sự
tìm tòi, nghiên cứu và thử nghiệm một số công cụ phần mềm hỗ trợ

Với Ettercap, bạn có thể kiểm tra tính bảo mật của mạng của mình, mức độ nhạy
cảm của nó với kiểu tấn công này và cũng có thể phân tích lưu lượng truy cập từ
một số máy tính và thậm chí sửa đổi nó ngay lập tức. Trong bài viết này, chúng ta
sẽ xem xét cách sử dụng Ettercap để phân tích và sửa đổi lưu lượng truy cập.
Man in the middle attack là gì?

Theo mặc định, máy tính sẽ gửi tất cả các gói mạng cần gửi lên Internet và gửi đến
bộ định tuyến, sau đó sẽ gửi chúng đến bộ định tuyến tiếp theo cho đến khi gói tin
đến được mục tiêu. Nhưng vì những lý do nhất định, gói tin có thể được truyền
không phải đến bộ định tuyến mà ngay lập tức đến máy tính của bạn và chỉ sau đó
đến bộ định tuyến.

Máy tính mà các gói sẽ đi qua có thể phân tích nguồn, địa chỉ đích và nếu chúng
không được mã hóa, thì toàn bộ nội dung của chúng. Có hai cách để thực hiện
MITM (Man In Middle Attack):

 Tấn công ARP - sử dụng các tính năng của giao thức ARP, máy tính của bạn
nói với người khác rằng đó là một bộ định tuyến, sau đó tất cả các gói tin bắt
đầu sử dụng nó;
 Tấn công DNS - khi một máy tính cố gắng lấy địa chỉ ip cho một miền,
chúng tôi thay thế địa chỉ này cho địa chỉ của chính nó, nhưng để loại này
hoạt động, bạn cần sử dụng phương pháp ARP.

Ettercap Linux có thể thực hiện cả hai kiểu tấn công. Ngoài ra, tiện ích có thể thực
hiện các cuộc tấn công từ chối dịch vụ và quét các cổng. Bây giờ chúng ta hãy xem
cách cài đặt và sử dụng Ettercap.

Cách cài đặt ettercap trên Linux Linux

Đây là một chương trình khá phổ biến trong giới chuyên gia an ninh mạng, vì vậy
nó nằm trong kho chính thức của hầu hết các bản phân phối. Ví dụ, để cài đặt
Ettercap trong Ubuntu, hãy chạy:

sudo apt install ettercap-gtk

Trên Fedora hoặc các bản phân phối khác dựa trên nó, lệnh sẽ trông tương tự:

sudo yum install ettercap-gtk

Chúng tôi đã đối phó với nhiệm vụ cài đặt Ettercap Linux, nhưng trước khi sử
dụng nó, bạn cần thay đổi một vài cài đặt trong tệp cấu hình.

sudo vi /etc/ettercap/etter.conf
Các dòng ec_uid và ec_gid phải được đặt thành 0 để dịch vụ chương trình hoạt
động thay mặt cho superuser:

[privs]
ec_uid = 0 # nobody is the default
ec_gid = 0 # nobody is the default

Tiếp theo, bạn cần tìm và bỏ ghi chú hai dòng sau:

redir_command_on = "iptables -t nat -A PREROUTING -i %iface -p tcp --dport %port -j REDI

RECT --to-port %rport"
redir_command_off = "iptables -t nat -D PREROUTING -i %iface -p tcp --dport %port -j RED
IRECT --to-port %rport"
Chúng được sử dụng để chuyển hướng kết nối SSL sang HTTP thông thường, nếu
có thể. Sau đó, lưu các thay đổi và chương trình đã sẵn sàng hoạt động.

Sử dụng Ettercap GUI

Chương trình có thể hoạt động ở một số chế độ - với giao diện đồ họa, không có và
như một dịch vụ. Chúng tôi sẽ xem xét công việc trong giao diện đồ họa. Để chạy
một chương trình có giao diện GTK, hãy sử dụng tùy chọn -G:

sudo -E ettercap –G
Chúng tôi sử dụng tùy chọn -E cho sudo để lưu tất cả các biến môi trường của
người dùng. Cửa sổ chính của chương trình trông rất đơn giản. Đầu tiên chúng ta
xem xét cách thức thực hiện cuộc tấn công bằng chất độc ARP.

Sự chuẩn bị
Thiết lập mạng
Để tiến hành lab này, bạn cần có 2 máy. Một máy tính được sử dụng để tấn công,
máy tính thứ hai
máy tính được sử dụng làm máy khách nạn nhân. Bạn nên sử dụng máy ảo có hệ
điều hành Ubuntu để thiết lập
trở thành máy khách và máy tấn công. Hướng dẫn thiết lập Máy ảo bằng
VirtualBox
hoặc VMPlayer có thể được tìm thấy trực tuyến.
• Cài đặt Ettercap trên 'Ubuntu': Ettercap là một công cụ mạnh mẽ khác thường
được sử dụng cho nhân viên
các cuộc tấn công trung gian.
$ sudoapt - tải cài đặt ettercap - đồ họa
ARP tấn công đầu độc
Bộ nhớ cache ARP là một phần quan trọng của giao thức ARP. Một lần ánh xạ
giữa MAC
địa chỉ và địa chỉ IP được giải quyết do thực thi giao thức ARP, ánh xạ
sẽ được lưu vào bộ nhớ đệm. Do đó, không cần lặp lại giao thức ARP nếu ánh xạ
đã
trong bộ nhớ cache. Tuy nhiên, vì giao thức ARP là không trạng thái, bộ nhớ cache
có thể dễ dàng bị nhiễm độc bởi
tin nhắn ARP được tạo độc hại. Một cuộc tấn công như vậy được gọi là cuộc tấn
công nhiễm độc bộ nhớ cache ARP.
Về cơ bản, không có hình thức xác thực tích hợp sẵn trong ARP, do đó, các câu trả
lời có thể
dễ bị giả mạo. Bằng cách gửi trả lời ARP sai, bạn có thể dễ dàng chuyển hướng lưu
lượng truy cập từ nạn nhân sang chính mình.
Tại thời điểm này, bạn có thể thực hiện một số cuộc tấn công. Bạn có thể giảm lưu
lượng truy cập, thực hiện một cách hiệu quả
từ chối dịch vụ. Bạn có thể lắng nghe lưu lượng truy cập và chuyển tiếp nó, đánh
hơi toàn bộ lưu lượng truy cập của nạn nhân.
Bạn cũng có thể sửa đổi lưu lượng truy cập trước khi gửi nó.
Trong nhiệm vụ này, bạn sẽ sử dụng ettercap để thực hiện một vụ đầu độc
ARP. Xem lại trang người đàn ông trên
ettercap và làm quen với các tùy chọn. Bạn sẽ sử dụng giao diện GUI của
ettercap. Trong này
bạn cần hai máy, một máy là máy khách nạn nhân và máy kia là kẻ tấn công.
Bước 1:
• Trên máy khách, ping máy chủ và kẻ tấn công.
• Sử dụng lệnh “arp -n” để kiểm tra bảng ARP hiện tại và xác nhận địa chỉ MAC.
CSC 5930/9010
Bước 2:
• Trên máy kẻ tấn công, trước tiên bạn cần bật chuyển tiếp IP để máy kẻ tấn công
sẽ đóng vai trò trung gian giữa nạn nhân và điểm đến đã định. Đăng nhập với tư
cách
root và thực thi
echo 1 > / proc / sys / net / ipv4 / ip_f orward
• Sau đó, bạn cần sửa đổi tệp cấu hình ettercap. Mở /etc/ethercap/etter.conf,
tìm phần “Linux” và bỏ ghi chú 4 dòng ở đó. Bây giờ hãy chạy “sudo ettercap
-G” để
khởi động chương trình ettercap.
1. Chọn “Đánh hơi → Đánh hơi hợp nhất” và đặt giao diện mạng (thường là eth0
hoặc eth1)
2. Chọn “Máy chủ → Quét máy chủ”, sau đó chọn “Máy chủ → Danh
sách máy chủ”. Nhấp vào của khách hàng nạn nhân
Địa chỉ IP và nhấp vào “Thêm vào mục tiêu 1”.
3. Chọn “Mitm → Arp độc”, sau đó chọn “Ngắt kết nối từ xa”.
4. Chọn “Bắt đầu → Bắt đầu đánh hơi”
Bước 3
• Kiểm tra bảng ARP trên máy khách và mô tả quan sát của bạn.
• Cài đặt Wirehark và Khởi động Wirehark trên máy khách (Bạn cũng có thể sử
dụng tcpdump). Bộ
bộ lọc để chỉ hiển thị các gói ARP. Trong bộ lọc hiển thị, hãy nhập như sau: ip.src
== spoofedipaddress
&& tcp.port == 80
• Dừng Wirehark ở phía máy khách và bắt đầu giám sát Wirehark khác đối với kẻ
tấn công
máy móc.
• Mở trình duyệt web trên máy khách và truy cập http://www.villanova.edu. Gõ
vào
một số từ khóa trong trường tìm kiếm và nhấn "Go".
Bước 4
• Quay lại máy của kẻ tấn công và kiểm tra cửa sổ Wirehark để xem liệu các từ
khóa
bị bắt.

Bước 5
• Chọn “Mitm → Stop mitm attack” và “Start → Stop hít”. Sau đó, thoát khỏi
ettercap pro-gram

Đầu độc ARP Tấn công trong Ettercap

Như tôi đã nói, với cuộc tấn công này, chúng ta có thể buộc máy tính mục tiêu gửi
các gói tin không phải đến bộ định tuyến mà cho chúng ta. Mọi thứ hoạt động khá
đơn giản. Máy tính biết IP của bộ định tuyến, nó sẽ nhận được khi kết nối với
mạng. Nhưng mỗi khi anh ta cần gửi một gói tin, anh ta cần chuyển đổi địa chỉ IP
phổ quát này thành một địa chỉ cấp thấp của công nghệ mạng được sử dụng, ví dụ,
đối với Internet có dây - đây là địa chỉ MAC.
Đối với điều này, giao thức ARP được sử dụng. Máy tính sẽ gửi một yêu cầu đến
tất cả các thiết bị trên mạng, ví dụ: “ai là 192.168.1.1” và bộ định tuyến, khi nhìn
thấy địa chỉ của nó, sẽ gửi phản hồi MAC của nó. Sau đó, nó sẽ được lưu trong bộ
nhớ cache. Nhưng chúng ta có thể sử dụng Ettercap để yêu cầu máy tính đích cập
nhật bộ đệm ARP của nó và chuyển địa chỉ MAC của nó thay vì địa chỉ MAC của
bộ định tuyến. Sau đó, tất cả các gói sẽ được chuyển cho chúng tôi, và chúng tôi sẽ
gửi chúng khi cần thiết.

Hãy để chúng tôi đi đến vấn đề và thực hiện cuộc tấn công attercap arp
spofing. Trong Ettercap, mở   menu Sniff và chọn  Unified Snifing . Sau đó chọn
giao diện mạng của bạn, ví dụ: eth0 hoặc wlan0:

Cửa sổ chương trình sẽ thay đổi và nhiều chức năng hơn sẽ có sẵn cho chúng
tôi. Bây giờ bạn cần phải quét mạng. Để thực hiện việc này, hãy mở menu Máy
chủ và nhấp vào Quét máy chủ. Ngay cả khi một cái gì đó không hoạt động, thì
bạn có thể tải danh sách các máy chủ từ tệp:
Hơn nữa, sau khi quét nhanh, nếu bạn mở Máy chủ -> Danh sách máy chủ, bạn sẽ
thấy danh sách các thiết bị được kết nối với mạng:
Để bắt đầu cuộc tấn công, chúng ta cần chỉ định mục tiêu 1 và mục tiêu 2. Là mục
tiêu đầu tiên, bạn cần chỉ định IP của máy mà chúng ta sẽ tấn công và mục tiêu 2 là
ip của bộ định tuyến. Để thêm mục tiêu, hãy sử dụng các nút Thêm mục tiêu 1 và
Thêm mục tiêu 2:
Tiếp theo, mở   menu  MITM và chọn    ngộ độc ARP :
Trong cửa sổ mở ra, hãy đánh dấu vào   hộp Sniff remote connection để chặn tất
cả các kết nối từ xa từ máy tính này:
Bây giờ, để bắt đầu quá trình thay thế, trong menu Bắt đầu, hãy chọn  Bắt đầu
đánh hơi .

Sau đó, chương trình sẽ bắt đầu gửi các gói đến mạng, với yêu cầu 192.168.1.3 để
cập nhật bộ đệm ARP và thay thế địa chỉ MAC của bộ định tuyến bằng địa chỉ của
bạn. Cuộc tấn công được bắt đầu và thực hiện thành công. Bạn có thể mở
menu  Xem -> Kết nối  và xem các kết nối đang hoạt động cho thiết bị đích:
Nếu gói tin không được mã hóa, thì chúng ta có thể xem thông tin được truyền
bằng cách nhấp vào kết nối bằng chuột. Thông tin đã gửi được hiển thị ở bên trái
và thông tin đã nhận được hiển thị ở bên phải.
Giả mạo DNS với ettercap

Một dịch vụ đặc biệt, DNS, được sử dụng để chuyển đổi tên trang web thành địa
chỉ IP mạng. Khi máy tính cần ip của trang web, anh ta yêu cầu anh ta cung cấp
máy chủ DNS. Nhưng nếu bạn đang thực hiện một cuộc tấn công MITM, thì chúng
tôi có thể giả mạo phản hồi của máy chủ để thay vì IP của máy chủ trang web, IP
của chúng tôi được trả về. Trước tiên, chúng ta cần chỉnh sửa tệp
/etc/ettercap/etter.dns:
sudo vi /etc/ettercap/etter.dns
google.com A 127.0.0.1

Hồ sơ này có nghĩa là chúng tôi sẽ thay thế IP chính google.com bằng

127.0.0.1. Xin lưu ý rằng cuộc tấn công này không được thực hiện mà không có
cuộc tấn công trước đó. Tiếp tục mở menu Plugins -> Manage Plugin:
Sau đó nhấp đúp vào  plugin dns_spoof  :
Plugin sẽ được kích hoạt và bạn có thể kiểm tra ip trên thiết bị. DNS thực sự đang
được thay thế. Ví dụ: bạn có thể chạy trên máy mục tiêu:

ping google.com
ping www.ettercap.org
Ngoài các trình cắm này, còn có những trình cắm khác mà bạn có thể thực hiện các
hành động cần thiết.

Bộ lọc Ettercap

Bộ lọc cho phép bạn sửa đổi các gói được truyền qua chương trình một cách nhanh
chóng. Bạn có thể bỏ các gói hoặc thực hiện các thay đổi cần thiết đối với chúng
bằng chức năng thay thế. Các bộ lọc cũng chỉ hoạt động khi cuộc tấn công MITM
đang chạy. Cú pháp của các điều kiện mà chúng tôi sẽ lọc các gói rất giống với
wirehark. Hãy xem xét một bộ lọc đơn giản sẽ thay thế tất cả các hình ảnh bằng bộ
lọc của chúng tôi:

vi test.filter
if (ip.proto == TCP && tcp.dst == 80) {
if (search(DATA.data, "Accept-Encoding")) {
replace("Accept-Encoding", "Accept-Rubbish!");
# note: replacement string is same length as original string
msg("zapped Accept-Encoding!\n");
}
}
if (ip.proto == TCP && tcp.src == 80) {
replace("img src=", "img src=\"https://pbs.twimg.com/profile_images/655061121007616000/NC
replace("IMG SRC=", "img src=\"https://pbs.twimg.com/profile_images/655061121007616000/
msg("Filter Ran.\n");
}
Đối với những người đã có kinh nghiệm với các ngôn ngữ lập trình, mọi thứ sẽ rõ
ràng ở đây. Nếu giao thức TCP và cổng đích là 80, chúng tôi tiếp tục tìm kiếm và
tìm kiếm Mã hóa chấp nhận. Sau đó, chúng tôi thay thế từ này bằng bất kỳ từ nào
khác, nhưng có độ dài tương đương. Bởi vì nếu trình duyệt sẽ gửi Gzip Accept-
Encoding, thì dữ liệu sẽ được nén và chúng tôi sẽ không lọc bất cứ thứ gì ở
đó. Tiếp theo, trong phản hồi của máy chủ, cổng nguồn là 80, chúng tôi thay thế tất
cả các hình ảnh bằng của chúng tôi. Bây giờ bộ lọc cần được biên dịch:

etterfilter test.filter -o test.ef

Nó vẫn để tải bộ lọc bằng cách sử dụng menu Bộ lọc -> Tải bộ lọc:
Chọn một tệp bộ lọc trong hệ thống tệp:
Bộ lọc sẽ được tải và bạn có thể mở bất kỳ trang web nào không sử dụng https để
đảm bảo mọi thứ hoạt động. Để ngăn cuộc tấn công MITM, hãy mở menu MITM
và chọn Dừng tất cả các cuộc tấn công Mitm. Sổ tay Ettercap của chúng tôi sắp kết
thúc, nhưng…

Làm thế nào để bảo vệ bản thân?

Chắc hẳn, sau khi đọc xong bài viết, bạn đã có một câu hỏi hợp lý, đó là làm thế
nào để bảo vệ máy tính của mình khỏi kiểu tấn công này? Có một số công cụ cho
việc này, bao gồm cả cho hệ điều hành Linux:
  XArp là một tiện ích đồ họa có thể phát hiện các nỗ lực giả mạo địa chỉ
MAC bằng giao thức ARP và chống lại điều này. Nó có thể hoạt động trong
Windows và Linux;
 Snort là một hệ thống khá nổi tiếng để chống lại các cuộc xâm nhập, trong
số những thứ khác, nó phát hiện các cuộc tấn công vào giao thức ARP;
 ArpON là một dịch vụ nhỏ giám sát bảng ARP và bảo vệ nó khỏi việc giả
mạo địa chỉ MAC.

Kết quả

Trong bài viết này, chúng ta đã xem xét cách sử dụng Ettercap, một chương trình
để phân tích các gói mạng và thực hiện các cuộc tấn công Man-in-the-Middle. Chỉ
sử dụng chương trình để kiểm tra tính bảo mật của mạng hoặc ứng dụng của bạn và
đừng quên rằng những hành động bất hợp pháp trong không gian thông tin cũng bị
trừng phạt.