|
Título: HOW TO: Sniffing en Linux (Ettercap+SSLstrip+Driftnet) Publicado por: mrfloffy en 6 Enero 2010, 23:35 pm HOW TO: SNIFFING EN LINUX (ETTERCAP+SSLSTRIP+DRIFTNET) INTRODUCIÓN Con este manual se pretende mostrar el funcionamiento de tres herramientas básicas de sniffing en el entorno linux. - Ettercap:es un interceptor/sniffer/registrador para LANs con switch. Descargar Aquí (NG-0.7.3) (http://sourceforge.net/projects/ettercap/files/ettercap/NG-0.7.3/ettercap-NG-0.7.3.tar.gz/download) - SSLStrip:una herramienta que automatiza el ataque sobre la conexión SSL. Descargar Aquí (0.7) (http://www.thoughtcrime.org/software/sslstrip/sslstrip-0.7.tar.gz) - Driftnet:programa que escucha el tráfico de red y elige imágenes de flujos TCP que observa.Descargar Aquí (0.1.6) (http://www.ex-parrot.com/~chris/driftnet/driftnet-0.1.6.tar.gz) INSTALACIÓN DE HERRAMIENTAS ETTERCAP Modo 1 (Recomendado): Código: wget http://downloads.sourceforge.net/project/ettercap/ettercap/NG-0.7.3/ettercap-NG-0.7.3.tar.gz?use_mirror=heanet Modo 2: Código: sudo apt-get install ettercap SSLSTRIP Modo 1 (Recomendado): Código: wget http://www.thoughtcrime.org/software/sslstrip/sslstrip-0.7.tar.gz DRIFTNET Modo 1 (NO Recomendado): Código: wget http://www.ex-parrot.com/~chris/driftnet/driftnet-0.1.6.tar.gz Modo 2 (Recomendado): Código: apt-get install driftnet EMPEZAMOS A USAR LAS HERRAMIENTAS Bueno en este manual vamos hacer un supuesto de sniffing en una red inalámbrica (En este caso la mia xD) Empecemos.... Parte 1 [Uso de Ettercap] Uso General (Análisis de Tráfico) Código: 1.Vamos a una shell Uso de Filtros "PROXIMAMENTE" Parte 2 [Uso de SSLSTRIP] Código: 1.Accedemos a la carpeta del ssl strip, en nuestro caso (cd /usr/bin/sslstrip-0.7) Parte 3 [Uso de Driftnet] Código: 1.Escribimos en la consola sudo driftnet -i wlan0 (Donde wlan0 el nombre de la interfraz) Próximamente actualizare el tema para que quede más detallado y añadiré algunas fotografías, para dudas o proposiciones (indebidas no gracias xD!) estaré encantado de recibirlas i también esperare actualizaciones P.D=Arreglado lo del puerto xD Título: Re: HOW TO: SNIFFING EN LINUX (ETTERCAP+SSLSTRIP+DRIFTNET) Publicado por: kamsky en 6 Enero 2010, 23:42 pm Buen aporte gracias
p.d.: pon el título en minúscula (menos lo How To) y deja algún salto de linea para no tener que hacer scroll lateral ;) Título: Re: HOW TO: Sniffing en Linux (Ettercap+SSLstrip+Driftnet) Publicado por: toxeek en 7 Enero 2010, 06:24 am Que tal. Esperamos mas aportes mrfloffy :) Saludos. Título: Re: HOW TO: Sniffing en Linux (Ettercap+SSLstrip+Driftnet) Publicado por: rockernault en 7 Enero 2010, 13:18 pm me interesa sobre todo lo de SSL Strip, que no le he podido hacer funcionar... y que aun sigo atorado porque me han quitado mi computadora....
saludos y gracias por el aporte, se ve interesante... Título: Re: HOW TO: Sniffing en Linux (Ettercap+SSLstrip+Driftnet) Publicado por: chatarrero en 7 Enero 2010, 14:29 pm Muy buen tutorial, probare el drifnet que el ettercap y sslstrip ya los tengo funcionando.
Saludos Título: Re: HOW TO: Sniffing en Linux (Ettercap+SSLstrip+Driftnet) Publicado por: jorgebr en 8 Enero 2010, 18:05 pm Muy bueno el manual, tengo que probar ese Driftnet aver como va.
Por cierto, creo que hay un fallo en la orden de redirigir el puerto 80 al 44444, deberian redirigirse al puerto 10000 (que es el puerto de escucha por defecto de sslstrip), o indicarle a sslstrip que escuche en el 44444. saludos! :) Edito: una pregunta. ¿Se podría en ettercap indicar más de una ip victima a la vez, por ejemplo 5 ip's, y hacerlo de manera "multiple"?¿sería viable?. Ya que no dispongo de 3 pc's para probarlo me gustaria saberlo. Título: Re: HOW TO: Sniffing en Linux (Ettercap+SSLstrip+Driftnet) Publicado por: mordisquitos1980 en 9 Enero 2010, 00:00 am saludos foro,,ettercap en wifiway no me deja ir mas alla de la consola,,tipeo ettercap -C y al pinchar sniff me vuelve a la consola anterior y aparece:
Ooops ! This shouldn't happen... Segmentation Fault... Please recompile in debug mode, reproduce the bug and send a bugreport no esta soportado por el tan querido wifiway?? Título: Re: HOW TO: Sniffing en Linux (Ettercap+SSLstrip+Driftnet) Publicado por: mokoMonster en 9 Enero 2010, 00:19 am Hay un error en:
iptables -t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-port 44444 debe hacerse como root y para iptables seria "iptables --t" Código: sudo iptables --t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-port 44444 Modifico: Hay tambien otro error en la ultima linea del Paso 2: Código: bsdkiller@bsdkiller:/usr/bin/sslstrip-0.7$ sudo python sslstrip -l 10000 Código: bsdkiller@bsdkiller:/usr/bin/sslstrip-0.7$ sudo python sslstrip.py -l 10000 Y hay otro error con Driftnet: Código: bsdkiller@bsdkiller:~$ sudo driftnet -i eth1 Por cierto, creo que hay un fallo en la orden de redirigir el puerto 80 al 44444, deberian redirigirse al puerto 10000 (que es el puerto de escucha por defecto de sslstrip), o indicarle a sslstrip que escuche en el 44444. Edito: una pregunta. ¿Se podría en ettercap indicar más de una ip victima a la vez, por ejemplo 5 ip's, y hacerlo de manera "multiple"?¿sería viable?. Ya que no dispongo de 3 pc's para probarlo me gustaria saberlo. Me gustaria que el autor diera mas informacion acerca de la cita que hago de jorgebr. Y jorgebr, yo tengo mas de 5 :D Asi que lo puedo probar por tu, que dices? nos unimos ? Título: Re: HOW TO: Sniffing en Linux (Ettercap+SSLstrip+Driftnet) Publicado por: jorgebr en 9 Enero 2010, 14:26 pm Me gustaria que el autor diera mas informacion acerca de la cita que hago de jorgebr. Y jorgebr, yo tengo mas de 5 :D Asi que lo puedo probar por tu, que dices? nos unimos ? Hola mokoMonster!, pues sí, me uno a que nos aclaren si es posible hacer eso que digo, y de serlo estaría bien que lo probaras, tengo curiosidad. Yo supongo que sí se podrá hacer. Saludos Título: Re: HOW TO: Sniffing en Linux (Ettercap+SSLstrip+Driftnet) Publicado por: mrfloffy en 9 Enero 2010, 14:29 pm Edito: una pregunta. ¿Se podría en ettercap indicar más de una ip victima a la vez, por ejemplo 5 ip's, y hacerlo de manera "multiple"?¿sería viable?. Ya que no dispongo de 3 pc's para probarlo me gustaria saberlo. Para sniffear mas de un host simplemente hay que omitir el paso 7 "No hace falta seleccionar el ip en host list" Título: Re: HOW TO: Sniffing en Linux (Ettercap+SSLstrip+Driftnet) Publicado por: jorgebr en 9 Enero 2010, 14:40 pm Para sniffear mas de un host simplemente hay que omitir el paso 7 "No hace falta seleccionar el ip en host list" Gracias por la info mrfloffy, entonces si seria posible hacerlo. Y por ejemplo,supongo que si hubiese 10 pc's y queremos seleccionar 5 pc's, se podrían añadir todas las ip's que nos interesan, y luego la del router. Con el caín recuerdo que se podia hacer, pero leí que al añadir muchos hosts se podia quedar colgado. saludos, y mokoMonster, si te animas a probarlo, comentanos que tal ;) Título: Re: HOW TO: Sniffing en Linux (Ettercap+SSLstrip+Driftnet) PROBLEMA ETTERCAP Publicado por: __zeros__ en 6 Marzo 2010, 17:25 pm Hola a tod@s,
A ver os comento tengo un problemilla, a ver si podeis echarme una mano. Cuando ejecuto el Ettercap, despues de buscar y seleccionar los hosts, voy a Mitm selecciono el arp poisoning, y me mata todas las conexiones de los hosts. Vamos que el pc pierde el acceso a Internet. ¿Es esto normal? Gracias por adelantado Título: Re: HOW TO: Sniffing en Linux (Ettercap+SSLstrip+Driftnet) Publicado por: Debci en 6 Marzo 2010, 17:29 pm una cosa, con ssl trip puedo modificar cosas que esten bajo ssl? como los paquetes de red protegidos u otros?
Hasta que punto es efectivo? Saludos Título: Re: HOW TO: Sniffing en Linux (Ettercap+SSLstrip+Driftnet) Publicado por: kamsky en 6 Marzo 2010, 19:34 pm Con sslstrip lo unico que haces es pasar de una sesion segura a una que no lo es
Título: Re: HOW TO: Sniffing en Linux (Ettercap+SSLstrip+Driftnet) Publicado por: Goshin en 7 Marzo 2010, 18:40 pm Un saludo el Manual esta muy bien me ha gustado mucho y funciona perfectamente. Cambie el puerto por el 10000. gracias de nuevo es muy interesante ya colgare alguna captura si quereis xD.
Nos vemos Título: Re: HOW TO: Sniffing en Linux (Ettercap+SSLstrip+Driftnet) Publicado por: l1vv3r en 15 Abril 2010, 16:38 pm Interesante el Driftnet desconocia su existencia.
Gracias. Título: Re: HOW TO: Sniffing en Linux (Ettercap+SSLstrip+Driftnet) Publicado por: blisk en 20 Abril 2010, 21:26 pm _zeros_ tienes que tener la redireccion de paquetes de uno a otro pc al hacer el mitm...
busca en google por ip_forward Título: Re: HOW TO: Sniffing en Linux (Ettercap+SSLstrip+Driftnet) Publicado por: Dreewzt en 25 Abril 2010, 23:26 pm No me deja hacer ningun make despues de haberme bajado el tar.gz, descomprimido y hacerle el ./configure...
Código: ubuntu@ubuntu:~/ettercap-NG-0.7.3$ make clean Trabajo sobre un livecd Ubuntu 9.10. Alguna idea? Gracias Título: Re: HOW TO: Sniffing en Linux (Ettercap+SSLstrip+Driftnet) Publicado por: toxeek en 27 Abril 2010, 01:01 am Citar No targets specified and no makefile found Existe en ese directorio, un fichero que se llame Makefile ?? Mira a ver, porque si no hay, no puedes ejecutar make. Si lo hubiera prueba con make linux. Saludos. Título: Re: HOW TO: Sniffing en Linux (Ettercap+SSLstrip+Driftnet) Publicado por: Almamu en 6 Mayo 2010, 16:56 pm ¿Una vez que tengo todo echo como puedo sacar de los paquetes que Sniffeo los datos que se envian? Porcierto muy buen tutorial.
Título: Re: HOW TO: Sniffing en Linux (Ettercap+SSLstrip+Driftnet) Publicado por: gerard_88 en 6 Mayo 2010, 21:59 pm una pregunta, relativa al post, alguien sabe porque no se puede utilizar lo que comenta el compañero en una red cableada, envez de una inalambrica?
Título: Re: HOW TO: Sniffing en Linux (Ettercap+SSLstrip+Driftnet) Publicado por: Kubun7u en 28 Junio 2010, 11:23 am una pregunta, relativa al post, alguien sabe porque no se puede utilizar lo que comenta el compañero en una red cableada, envez de una inalambrica? Porque el ataque MITM con Ettercap se basa en el cambio de la tabla ARP, que soilo tiene sentido en una conexión wifi ya que si estás cableado no tienes una conexión directa con los otros PC's.Una cosa. Alguien usa Ubuntu/kubuntu 10.04???? A mi con la versión anterior el driftnet no me daba problemas y con esta nueva no me funciona y se queda bloqueado sin mostrar ninguna imagen.... Título: Re: HOW TO: Sniffing en Linux (Ettercap+SSLstrip+Driftnet) Publicado por: kamsky en 28 Junio 2010, 13:28 pm "Porque el ataque MITM con Ettercap se basa en el cambio de la tabla ARP, que soilo tiene sentido en una conexión wifi ya que si estás cableado no tienes una conexión directa con los otros PC's."
wtf?!?! precisamente en las redes conmutadas cableadas es donde se empezó a usar este tipo de ataques, cosa que en las segmentadas no hacía falta ya que el tráfico se envía en este caso a todos los PC's del segmento Título: Re: HOW TO: Sniffing en Linux (Ettercap+SSLstrip+Driftnet) Publicado por: Kubun7u en 28 Junio 2010, 20:18 pm Pero en una LAN commutada por paquetes los PC's no reciben los paquetes de los demás sino que se envian directamente al router. Entonces no entiendo como puedes interceptar esos datos a no ser que seas algun tipo de servidor... :S
Título: Re: HOW TO: Sniffing en Linux (Ettercap+SSLstrip+Driftnet) Publicado por: jezu00 en 28 Junio 2010, 21:47 pm Entonces es que no entiendes como funciona el protocolo de resolucion de direcciones (ARP)
El fallo de diseño, a consta de escalabilidad de la red, es que este protocolo, por decirlo de alguna forma, se "cree" todo lo que le llega. Entonces en realidad lo que se le dice al pc y al router que somos esa direccion MAC que hace las peticiones para que nos lo envien a nosotros. Lo que tu te refieres es al mero hecho de sniffar una red sin hacer nada , en una wifi es facil interceptar paquetes que no vallan a ti, pero la topologia es la misma (EN estrella) Título: Re: HOW TO: Sniffing en Linux (Ettercap+SSLstrip+Driftnet) Publicado por: rockernault en 29 Junio 2010, 01:47 am aver, creo que alguien confunde terminos...
la tabla arp no distingue ethernet o wifi... la verdad eso no tiene nada que ver cuando se intenta usar MiTM, el modo monitor y el promiscuo, sonn otra cosa muy aparte..... Título: Re: HOW TO: Sniffing en Linux (Ettercap+SSLstrip+Driftnet) Publicado por: jursi88 en 6 Septiembre 2010, 21:50 pm Se ve que dije algo inadecuado en mi anterior post que me lo han eliminado, asi que vuelvo a replantear mi duda, omitiendo comentarios fuera de lugar.
¿Hay alguna manera de defenderse ante un ataque con estos programas? Esta claro que poniendo una clave wpa en tu router es muy dificil, pero en el mundo del wifi nada es seguro del todo. Me comento un amigo que con google safe browsing se solucionaba, pero no estoy muy seguro de ello. Título: Re: HOW TO: Sniffing en Linux (Ettercap+SSLstrip+Driftnet) Publicado por: n0more en 23 Noviembre 2010, 19:46 pm Un posible protección es utilizar tablas ARP estaticas, asi no podrán falsearlas. También puedes utilizar programas que "vigilan" las tablas de ARP como arpon.
Un saludo! Título: Re: HOW TO: Sniffing en Linux (Ettercap+SSLstrip+Driftnet) Publicado por: necoreitor en 31 Julio 2011, 16:44 pm Muchas gracias, es muy interesante el manual.
De todos modos al seguirlo el fichero log que creo con el sslstrip me aparece siempre con o bytes, y el ettercap me dice que hay un montón de conexiones. Saludos |