MITM 공격을 위한 ettercap 소개

시스템 활성화 여부를 결정하는 데 있어 ping을 통한 호스트 상태 확인이나 ARP 호스트 탐색을 하는 데 있어,

전에 사용했던 ettercap이 너무 좋아서 이번 기회에 소개하고자 한다.

ettercap은 MITM(이하 Man In The Middle attack, 중간자 공격) 을 위한 유용한 툴이다.

ettercap 홈페이지 (https://ettercap.github.io/ettercap/) 에 접속하면 위에 언급한 대로 MITM 공격에 적합하다고 나온다.

배포 지원:

데비안, 우분투, 페도라, 젠투, 맥 등

배포 미지원:

오픈수세, 솔라리스, 윈도우 계열

용도:
MITM공격: ARP poisoning, icmp redirection, port stealing 등

SSH암호화 스니핑

패킷 필터링

패스워드 수집  등

기본적으로 kali에서는 ettercap 을 지원한다. 하지만 그 밖의 OS에서 사용할 경우 필요 조건이 있다.

해킹 공부를 할 때 백트랙이나, 칼리로 테스트 하는 것이 편하다고 생각된다.

거두절미하고 ettercap을 실행하는 것은 텍스트 모드와 그래픽 모드로 크게 나뉜다.

(#ettercap -T : text mode, #ettercap -G : GUI 모드)

텍스트에 자신이 없기 때문에 나는 그래픽 모드로 수행하였다.

또한 우분투에서 이것 저것 설치하는 것이 귀찮기 때문에 kali 2.0에서 수행하였다. 

(예전에 1.09에서 했었는데 이전 어느 버전까지 있는지는 확인 필요)

뻔한 얘기지만, 역시 어플리케이션으로 실행하는 방법과 커맨드에서 실행하는 방법이 존재한다.

09. sniffing에 존재

실행하면 아래와 같은 화면이 출력된다.

디자인은 썩 나쁘지 않다고 생각된다.

스니프 탭에서 Unified sniffing 클릭

(unified는 cable을 통과하는 모든 패킷을 도청하는 방법이고, bridged는 두개의 네트워크 인터페이스를 이용할 때 한 인터페이스에서 다른 인터페이스로 트래픽을 전달할 때 사용)
(자세한 내용은 http://www-scf.usc.edu/~csci530l/downloads/ettercap.man.txt 참고 )

Unified sniffing을 클릭 후 Input의 네트워크 인터페이스에 eth0 클릭

아래와 같이 스니핑이 시작된다.

메뉴 탭 설명
1. Start: 스니핑을 시작하고 종료할 수 있다.

2. Targets: 현재 타겟, 타겟 설정, 프로토콜 설정
3. Hosts: 호스트 리스트 확인, 호스트 스캔, IPv6 스캔 
4. View: 연결상태 확인, 통계, 프로파일(감지된 호스트 ip나 MAC 정보 등)

5. Mitm: ARP poisoning, ICMP redirect, Port stealing, DHCP spoofing, NDP poisoning, Mitm 종료

1) ARP poisoning: 특정 타겟의 ARP cache를 바꾸고, 공격자는 트래픽을 가로채는 것이 가능함
(ARP requests/replies are sent to the victims to poison their ARP cache)

Example:	     the targets are: /10.0.0.1-5/ /10.0.0.15-20/
		     and  the  host  list  is:	10.0.0.1  10.0.0.3   10.0.0.16
		     10.0.0.18

		     the associations between the victims will be:
		     1 and 16, 1 and 18, 3 and 16, 3 and 18

		     if	 the  targets overlap each other, the association with
		     identical ip address will be skipped.

2) ICMP redirect: 라우팅 경로를 속임
(It sends a spoofed icmp redirect message to the hosts in the lan pretending to be a better route for internet)

Example:            -M icmp:00:11:22:33:44:55/10.0.0.1

		     will redirect all the connections	that  pass  thru  that gateway.

3) Port stealing: 스위치 환경에서 ARP poisoning이 안될 때 유용하게 사용됨

(This technique is useful to sniff in a switched environment when ARP poi-soning is not effective )

Example:	     The targets are: /10.0.0.1/ /10.0.0.15/
		     You will intercept and visualize traffic between 10.0.0.1
		     and  10.0.0.15,  but you will receive all the traffic for
		     10.0.0.1 and 10.0.0.15 too.

		     The target is: /10.0.0.1/
		     You will intercept and  visualize	all  the  traffic  for 10.0.0.1.

4) DHCP spoofing: 게이트웨이 주소를 조작하여 IP의 설정 정보를 제공

(It pretends to be a DHCP server and tries to win the race condition with the real one to force the client to accept the attacker's reply)

Example:             -M dhcp:192.168.0.30,35,50-60/255.255.255.0/192.168.0.1
		     reply to DHCP offer and request.

		     -M dhcp:/255.255.255.0/192.168.0.1
		     reply only to DHCP request.

그밖에 offline 스니핑, NDP poisoning 등 

6. Filtters: 필터를 load 하거나 종료

7. Logging: 모든 패킷이나 정보를 로깅, User message 로그 등
8. Plugins: 플러그인 관리/load

9. Info: help, about

Unified sniffing을 위에서 눌렀기 때문에 이미 1번의 스니핑은 시작되었다.

호스트 스캔을 하면 대역 대의 0에서 255번까지 스캔을 한다.

현재 나의 ip대역대는 192.168.100.0/255이다.

아래 그림과 같이 IP와 MAC 주소가 출력된다.

View에서 해당 IP의 프로파일 또한 볼 수 있다. (사진 생략)

실제 웹페이지에서 패스워드를 도청하였는데

http://kkn1220.tistory.com/32 를 참고하면 된다.