Вы можете выбрать mitm атаку по своему предпочтению и также можете комбинировать некоторые из них для выполнения различных атак в одно время.

Если mitm метод требует какие-либо параметры, вы можете указать их после двоеточия. (например, -M dhcp:ip_пул,маска сети,проч )

Доступны следующие mitm атаки:

arp ([remote],[oneway])

Этот метод осуществляет ARP отравление (пойзонинг — poisoning) атаки mitm. ARP запросы/ответы отправляются жертвам для отравления их ARP кэша. Когда кэш отравлен, жертвы будут отправлять все пакеты атакующему, который, в свою очередь, может их модифицировать и перенаправлять их реальным пунктам назначения.

В тихом режиме (опция -z) выбирается только первая цель, если вы хотите травить множество целей в тихом режиме используйте опцию -j для загрузки списка из файла.

Вы можете выбрать пустые цели и они будут расширены до «ЛЮБЫЕ» (все хосты в LAN). Список целей объединяется со списком хостов (созданным arp сканированием) и результат используется для выявления жертв атаки.

Параметр "remote" является опциональным и вы должны указать его если вы хотите сниффить удалённый ip адрес отравляя шлюз. В действительности если вы укажите жертву и шлюз в ЦЕЛЯХ, ettercap будет сниффить только соединение между ними, но чтобы ettercap был способен сниффить соединения, которые проходят через шлюз, вы должны использовать этот параметр.

Параметр "oneway" принудит ettercap отравлять только от ЦЕЛИ1 к ЦЕЛИ2. Полезно если вы хотите отравлять только клиента и не делать это с роутером (где может быть установлена программа вроде arpwatch , следящая за изменениями arp).

Пример

цели: /10.0.0.1-5/ /10.0.0.15-20/

А список хостов: 10.0.0.1 10.0.0.3 10.0.0.16 10.0.0.18

ассоциации между жертвами будут:

И 16, 1 и 18, 3 и 16, 3 и 18

Если цели перекрывают друг друга, ассоциации с идентичным IP адресом будут пропущены.

ПРИМЕЧАНИЕ: если вам удастся отравить клиента, то вы должны установить корректную таблицу в ядре, указав шлюз. Если ваша таблица маршрутизации некорректна, отравленный клиент не будет способен перемещаться по Интернету.

Icmp (MAC/IP)

Эта атака выполняет ICMP перенаправление. Она отправляет фальсифицированное сообщение icmp редиректа хостам в локальной сети притворяясь лучшим маршрутом для Интернета. Все соединения в Интернет будут отправлены атакующему который, в свою очередь, перенаправит их реальному шлюзу. Результатом атаки будет ПОЛУДУПЛЕКС mitm. Будут отравлены только клиенты, поскольку шлюз не примет сообщения редиректа для непосредственно подключённой сети. УБЕДИТЕСЬ, ЧТО НЕ ИСПОЛЬЗУЕТЕ ФИЛЬТРЫ, КОТОРЫЕ МОДИФИЦИРУЮТ ДЛИНУ ПОЛЕЗНОЙ НАГРУЗКИ. Вы можете использовать фильтр для модификации пакетов, но длина должна быть той же самой, поскольку последовательности tcp не могут быть обновлены по обоим направлениям.

Вам нужно передать в качестве аргумента MAC и IP адрес реального шлюза для локальной сети.

Очевидно, вы должны быть способны сниффить трафик. Если вы на коммутаторе, вы должны использовать другую mitm атаку такую как отравление.

ПРИМЕЧАНИЕ: для ограничения редиректа заданной целью, укажите её как ЦЕЛЬ

Пример

-M icmp:00:11:22:33:44:55/10.0.0.1

Будет перенаправлять все соединения, которые проходят через шлюз.

dhcp (ip_пул/сетевая маска/dns)

Эта атака реализует DHCP спуфинг (подмену). Она делает вид, что является DHCP сервером и пытается выиграть условия пути с реальным сервером, чтобы принудить клиента принять ответ атакующего. Этим манером ettercap способен манипулировать параметром шлюза и перехватывать весь исходящий трафик, генерируемый клиентами.

Результатом атаки будет ПОЛУДУПЛЕКС mitm. Поэтому убедитесь, что используете подобающие фильтры (смотрите выше секцию ICMP).

Вы должны передать пул IP для использования, сетевую маску и IP DNS сервера. Поскольку ettercap пытается победить в соревновании с реальным сервером, он НЕ ПРОВЕРЯТ был ли IP уже назначен. Вы должны указать пул СВОБОДНЫХ IP адресов для использования. Пул IP имеет тот же формат как и при задании цели.

Если клиент отправляет dhcp запрос (предполагая IP адрес) ettercap будет подтверждать получение этого IP и модифицировать только опцию шлюза. Если клиент делает исследование DHCP, ettercap будет использовать первый неиспользуемый IP адрес из указанного вами списка в командной строке. Каждое исследование потребляет один IP адрес. Когда список закончится, ettercap прекратит предлагать новые IP адреса и будет отвечать только на DHCP запросы.

Если вы не хотите предлагать какие-либо IP адреса, а только поменять информацию о роутере в DHCP запросах/подтверждения, вы можете указать пустой ip_пул.

БОЛЬШОЕ ПРЕДУПРЕЖДЕНИЕ: если вы укажите список IP, которые используются, вы наведёте беспорядок в вашей сети! В общем, используйте эту атаку с осторожностью. Она можете действительно натворить дел! Когда вы останавливаете эту атаку, жертвы всё ещё будут убеждены, что ettercap является шлюзом, пока не истечёт аренда адреса…

Пример:

-M dhcp:192.168.0.30,35,50-60/255.255.255.0/192.168.0.1

⇐ Предыдущая12345678910Следующая ⇒

Поделиться: