Pasos para realizar sniffing en redes conmutadas (swtich)
Ettercap es una serie de herramientas para realizar ataques “Man in the middle” en redes LAN. Es decir es capaz de ver todo el trafico que pasa por tu segmento de red y modificarlo al vuelo. Soporta todo tipo de conexiones, incluso SSL con certificados autofirmados. Tiene la posibilidad de hacer scripts y filtros, para automatizar tareas.
Instalación en modo debian
apt-get install ettercap
Como buen taliban de consola lo arrancaremos en modo ncruses
# ettercap -C
Activamos el sniffing
sniff -> unified sniffing
Elegir interfaz del segmento que queramos leer (eth0, wlan1, etc…)
Buscamos las ips que estan vivas en este segmento
Host -> Scan for host
Asi rellenaremos la lista de host disponibles para poder activar el ataque por ARP. No es necesario seleccionar un objetivo si solo queremos ver el trafico
Host -> Hosts List
Empieza la fiesta
Start -> Start Sniffing
MITM -> Arp poisoning…[X] Sniff remote conections
O si es en modo ncurses, poner como parameter: remote
Y ahora a esperar, en la ventana de log, iran apareciendo claves, urls, datos que va sacando gracias a los plugins que lleva activados. Para muestra, lo que ha visto en mi red.
Se ve que el ultimo es un acceso a gmail, funciona en SSL, pero da errores en los certificados.
En el siguiente articulo veremos los plugins, y como cambiar contenido de los paquetes en tiempo real, como cambiar todas las fotos por una que nosotros elijamos.
[+] Info: http://ettercap.sourceforge.net/
Entradas (RSS)
Buenos recuerdos me traes, una vez intercepté una conversación en mi lan de IRC que leía y reenviaba a su usuario destino legítimo, de manera transparente… que recuerdos…