banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận bảo mật EtterCap - ARP Spoofing Và Beyond  XML
  [Question]   EtterCap - ARP Spoofing Và Beyond 10/03/2009 01:33:44 (+0700) | #1 | 172532
[Avatar]
dangminh4
Member

[Minus]    0    [Plus]
Joined: 04/02/2007 21:44:21
Messages: 107
Offline
[Profile] [PM]
EtterCap - ARP Spoofing Và Beyond


Written : Mati Aharoni


Khi nói đến an ninh mạng, triết lý của tôi là : "Bạn hãy hiểu giống như một hacker " Điều này có nghĩa là để bảo vệ bản thân một cách hiệu quả, chúng ta cần phải hiểu biết và kinh nghiệm cùng một công cụ , kỹ thuật được sử dụng chống lại chính chúng ta

Sau đây là một bài viết ngắn giới thiệu về EtterCap 0.6a là một công cụ "multipurpose sniffer / interceptor / logger cho switched LANs".

EtterCap heaviliy dựa vào ARP spoofing, và nếu điều này là khái niệm mới với bạn thì bạn có thể đọc thêm về nó tại www.mutsonline.com trước khi đọc hướng dẫn này.

Chú ý: ARP spoofing có thể gây ra thiệt hại cho mạng của bạn! hãy chắc chắn để thử điều này trong một môi trường phòng thí nghiệm riêng biệt! Ettercap có thể được tìm thấy tại http://ettercap.sourceforge.net.

EtterCap là một multipurpose sniffer / interceptor / logger switched LAN. Nó hỗ trợ cả 2 loại active and passive dissection của nhiều giao thức (ngay cả với ciphered) và bao gồm nhiều tính năng dành cho máy chủ và mạng lưới phân tích. Các tính năng này bao gồm :

Tiêm ký tự khi một kết nối được thành lập: Bạn có thể tiêm ký tự tới server (emulating commands), hoặc tới client (emulating replies ) duy trì kết nối sống!

SSH1 support bạn có thể lấy được tên người dùng và mật khẩu hoặc thậm chí là CSDL của một SSH1 connection

HTTPS support : Bạn có thể lấy đươc dữ liệu từ HTTP SSL... và ngay cả khi kết nối được thực hiện thông qua một proxy

Remote traffic thông qua ống GRE : bạn có thể sniff lưu lượng truy cập từ xa thông qua một đường hầm GRE xa từ một bộ định tuyến của Cisco và thực hiện các cuộc tấn công MITM vào nó

PPTP broker : you can perform man in the middle attack against PPTP tunnels

Password collector for : Telnet, FTP, POP, RLOGIN, SSH1, ICQ, nưa, MySQL, HTTP, nntp, X11, NAPSTER, IRC, RIP, BGP, Socks 5, IMAP 4, VNC, LDAP, giao thức NFS, SNMP, HALF LIFE , Quake 3, MSN, YMSG.

Packet filtering/dropping : Bạn có thể thiết lập một bộ lọc mà tìm kiếm cho một chuỗi ký tự (kể cả hex) trong TCP hay UDP Payload và thay thế nó bằng máy của bạn hoặc drop toàn bộ gói.

OS fingerprint : bạn có thể fingerprint trên hệ điều hành của các nạn nhân và thậm chí là cả router mesh

Kill một kết nối: kết nối từ danh sách, bạn có thể giết chết tất cả các kết nối bạn muốn

Passive scanning of the LAN : bạn có thể lấy các thông tin các máy trong mạng LAN, mở cổng, các phiên bản, loại của các máy chủ (cổng, bộ định tuyến hoặc đơn giản là một host ) và ước tính từ xa trong một bước mạng
Check for other poisoners : EtterCap có khả năng active hoặc passively tìm poisoners trên mạng LAN khác
Chúng tôi sẽ xem xét chỉ là một vài tính năng của EtterCap - phần còn lại là tùy thuộc vào bạn.
Các phòng thí nghiệm mạng lưới bao gồm các máy vi tính. Mặc định là 192.168.1.138 Gateway. Tôi đang sử dụng một Cisco Catalyst 2900XL Switch (chuyển môi trường).




Gõ IPConfig trên máy 192.168.1.1 (victim) để xem IP và ARP cache. xem thông ở MAC addresses listed trong ARP Cache - trước khi shot.




Khởi động EtterCap trên máy của mình cụ thể đây là 192.168.1.10 và hãy chọn đúng MAC address của mình




Một khi điều này được thực hiện, thì a quick ARP scan is performed in order to map out the network, và sau đó là màn hình hiển thị sau đây:




Đây là màn hình chính. Từ đây bạn có thể thực hiện hầu hết các chức năng của EtterCap. Bạn có thể bấm phím "H" trên tất cả các màn hình để có được một trình đơn giúp đỡ, như được hiển thị trong ảnh kế.




EtterCap biết làm thế nào để "vân tay" máy. Điều này được thực hiện bằng cách chọn một máy tính trong màn hình chính, và nhấn nút "F"




Để bắt đầu một cuộc tấn công ARP spoofing, chúng ta cần phải lựa chọn một nguồn và đích . Tôi đã chọn một victim đó là (192.168.1.1) và đây là một df gatewaytrong mạng của tôi . Điều này sẽ có hiệu quả sniff lưu lượng truy cập tới tất cả các Internet và đi vào 192.168.1.1. Bây giờ chúng tôi đã lựa chọn mã nguồn và đích của chúng tôi như được hiển thị trong hình kế tiếp, và bấm "A" để bắt đầu spoofing




Sau ấn "A" sẽ thấy thông báo như hình dưới : máy tấn công(192.168.1.10) đã ARP poisoned và 192.168.1.1






Bây giờ chúng tôi sẽ mở một phiên FTP từ máy tấn công (chỉ là một ví dụ) và xem những gì xảy ra





Chúng ta có thể thấy rằng các phiên FTP đã được đăng nhập, bao gồm cả việc cleartext tên người dùng và mật khẩu.




Nếu chúng ta lựa chọn một phiên cụ thể và nhập vao và xem dữ liệu thực tế trên mạng (xem hình kế tiếp).




We have successfully managed to sniff a machine on a switched network. However, EtterCap có thể đi sâu vào việc sniffing, và thậm chí là can thiệp vào phiên làm việc hiện có It's definitely one of those tools worth investigating.

Don't forget that by pressing "H" on each screen you'll get a "Help" menu, to guide you as you go along





Còn nữa



[Up] [Print Copy]
  [Question]   Re: EtterCap - ARP Spoofing Và Beyond 10/03/2009 02:16:17 (+0700) | #2 | 172536
[Avatar]
tranduyninh
Member

[Minus]    0    [Plus]
Joined: 05/07/2006 12:05:48
Messages: 253
Location: aiowebs.net
Offline
[Profile] [PM] [WWW] [Yahoo!]
Bản này máy dịch
Các bạn giúp mình giải cứu bạn gái này nha : http://bit.ly/23mHJE ( đây là 1 cuộc thi đó ) không biêt các hắc cơ có ý kiến như thế nào ?
[Up] [Print Copy]
  [Question]   Re: EtterCap - ARP Spoofing Và Beyond 10/03/2009 03:28:55 (+0700) | #3 | 172547
[Avatar]
gamma95
Researcher

Joined: 20/05/2003 07:15:41
Messages: 1377
Location: aaa">
Offline
[Profile] [PM] [ICQ]
Tự viết một công cụ ARP spoofing cho riêng mình mới module SCAPY của python
Cánh chym không mỏi
lol
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|