Skip to content

Rastreando nuestra red con ettercap

22/enero/2009

ettercapPor lo general, los artículos que publico en este blog están dirigidos a los recien llegados al mundo del pingüino, sin embargo, he considerado que la siguiente guía que encontrarán a continuación, que servirá para instalar y utilizar el programa ettercap, a pesar de requerir un mayor conocimiento, servirá para que esten en conocimiento que la información que viaja por las redes puede ser  fácilmente observada por otros.

Espero que la información siguiente sea de utilidad, tanto como investigación y como forma de llamar la atención de quienes navegan sin mayor preocupación por la red.

ettercap es un conjunto de herramientas para ataques en la red.  Podemos indicar también que ettercap es un interceptor, capturador y registrador de paquetes en redes LAN que esten conectadas con switchs.

Con este programa podemos realizar un ataque Man in the middle, el cual permite a un atacante suplantar la identidad de un receptor con el fin de engañar a un emisor.  En palabras más simples, cuando solicitas una página web desde tu computador, esta petición es enviada a un “punto de acceso” que se encarga de realizar la petición al servidor web en internet, luego el mismo punto de acceso devuelve la página solicitada a tu computador. El ataque “hombre en el medio”, se colocaría entre tu computador y el punto de acceso, suplantandolos a ambos con la intención de interceptar y capturar la información transmitida.

Puedes obtener más información sobre ettercap, sniffer (captura de paquetes), spoofing (suplantación) y ARP Spoofing en Wikipedia.

Si deseas instalar ettercap en tu openSUSE 11.1 solo debes hacer clic en el siguiente enlace de 1-Click install ettercap. Si no conoces el proceso de 1-Click, te indico que el proceso permite instalaciones muy fáciles: aceptar la descarga y ejecución con YaST Meta Package, ingresar la contraseña de root y luego seguir las indicaciones en el asistente.

El programa ettercap puede ser utilizado de tres formas: con la opción -T para modo texto, -C para modo ncurses y -G para una agradable interfaz gráfica.

Para iniciar el programa con la intefaz gráfica, presionamos Alt+F2 e ingresamos el comando ettercap -G

ettercap1

Para comenzar nuestro ataque, siempre con fines investigativos, hacemos clic en el menú Sniff y seleccionamos la opción Unified Sniffing.  Nos solicitará indicar la interfaz de red a inspeccionar.

ettercap2

Podemos observar que las opciones del menú han cambiado. Debemos averiguar que equipos se encuentran en nuestra red, así que hacemos clic en el menú Hosts y luego en la opción Scan for hosts.

ettercap3

Seleccionamos la dirección IP de la victima y presionamos el botón Add to Target 1. Luego seleccionamos la IP del punto de acceso y luego presionamos el botón Add to Target 2. Después nos vamos al menú Mitm, y seleccionamos la opción ARP Poisoning…

El programa nos preguntará algunos parametros adicionales, marcamos Sniff remote connections y clic en Aceptar.

ettercap41

Finalmente, vamos al menú Start y seleccionamos Start Sniffing.

Lo que se esta realizando es un ataque en el cual podemos capturar todo el tráfico que esta transmitiendo la victima.

Para deterner el ataque, volvemos al menú Start y seleccionamos Stop Sniffing.

Para ver los movimientos realizados por la victima, solo debes seleccionar Connectiones, Profiles y Statistics desde el menú View. También puedes revisar la parte inferior de la ventana del programa, ya que en ella aparecerán contraseñas utilizadas en conexiones a FTP, Web, etc.

¿Podemos protegernos frente a este tipo de ataques? Si, con ARPWatch (http://www-nrg.ee.lbl.gov/), programa que realiza un monitoreo y seguimiento de nuestras direcciones en la red.

La herramienta arpwatch nos puede servir para detectar el uso del envenenamiento ARP en nuestro sistema, podemos comprobar la correspondencia entre pares IP-MAC (Ethernet).

En el caso de que un cambio en un par se produzca (esto es, se escuche en el interfaz de red del sistema), arpwatch envía un correo de notificación del suceso a la cuenta root o administrador del sistema con un mensaje tipo “FLIP FLOP o Change ethernet address”. También podemos monitorizar la existencia de nuevos host (aparición de una nueva MAC en la red).

Y esto sería todo por ahora. Espero que haya servido para que tomemos conciencia de lo fácil que es capturar información que transmitimos tan confiadamente por las redes.

Anuncios
3 comentarios
  1. Golex permalink
    22/enero/2009 9:53 pm

    Hola Alex:

    Interesante herramienta!!! A veces me preguntaba como obtener una herramienta como esta. Tendre que estudiarla con mas profundidad y despues les digo que tal. Gracias y saludos 🙂

  2. 16/enero/2010 11:22 pm

    GENIAL SI ANDA GENIAL

  3. 16/enero/2010 11:23 pm

    genial

Los comentarios están cerrados.

A %d blogueros les gusta esto: