Ettercap-Tutorial

Ettercap-Tutorial

Dieses Tutorial und mein Interesse an Netzwerksicherheit sind rein theoretischer Natur und sollen niemanden dazu anstiften, illegale Dinge zu tun. Der Einsatz in fremden Netzwerken ist strafbar.

Da ich mich derzeit ein wenig mit Netzwerksicherheit beschäftige, habe ich mich entschlossen, hier einige Tutorials rund um das Thema zu veröffentlichen. Anfangen möchte ich mit einem Tool (Ettercap), das es ermöglicht, ohne großen Aufwand Man-in-the-Middle-Attacken durchzuführen.

Eine MITM-Attacke setzt voraus, dass man bereits Zugang zum lokalen Netzwerk hat. Der eigene Rechner „verseucht” dabei die ARP-Tabellen des Opfers so, dass dessen gesamter Datenverkehr erst über den PC des Angreifers geleitet wird, bevor er weiter zum Router geht. Der Angreifer steht also wortwörtlich zwischen den beiden Targets und kann jedes gesendete und empfangene Paket protokollieren oder verändern. Das Opfer bekommt davon in der Regel nichts mit.

ARP-Poisoning

Als Target dient in meinem Fall eine virtuelle Maschine auf meinem Notebook. Gestartet wird das Programm über die Konsole mit dem Befehl:

ettercap -G

Nach wenigen Augenblicken sollte die noch leere GUI erscheinen. Als Nächstes wählen wir aus dem Menü Sniff die Option Unified Sniffing und im aufpoppenden Dialog die Netzwerkschnittstelle — in den meisten Fällen eth0.

Ettercap GUI

Nun schauen wir uns im Netzwerk um. Dafür klicken wir auf HostsScan for Hosts. Ettercap scannt das Netzwerk und erstellt eine Liste aller vorhandenen Hosts. Diese lässt sich über HostsHosts List anzeigen.

Scan-Ergebnisse

Ganz oben befindet sich der Router mit der IP 192.168.2.1. Der Host 192.168.2.108 ist die VM und damit mein „Opfer”. Über die Schaltflächen legen wir den Router als Target 1 und die VM als Target 2 fest.

Aktuelle Targets

Als Nächstes wollen wir die ARP-Tabellen beider Teilnehmer verseuchen. Dafür wählen wir aus dem Menü MITM das ARP Poisoning aus. Das Dialogfenster bestätigen wir mit OK.

ARP Poisoning

Nun müssen wir nur noch unter Start mit dem Sniffen beginnen. Ob das Programm wirklich tut, was es soll, sehen wir mit einem Klick auf ViewStatistics, wo die Anzahl der gesnifften Pakete hochlaufen sollte.

Statistik

Was ist passiert? Ettercap hat die ARP-Tabellen so manipuliert, dass nicht mehr die MAC-Adresse des eigentlichen Ziels darin steht, sondern die des Ettercap-Rechners. Hier zwei Auszüge aus der ARP-Tabelle des Windows-Rechners — der erste vor, der zweite nach dem Angriff.

ARP-Tabelle vorher

ARP-Tabelle nachher

Anstelle der MAC-Adresse des Routers findet sich nun die des Angreifers als physikalische Adresse in der Routing-Tabelle. Der Windows-Rechner denkt weiterhin, er würde den Router adressieren, sendet aber in Wirklichkeit an den Angreifer. Dieser leitet den Traffic zum Router weiter, damit der Schwindel nicht auffällt.

DNS-Spoofing

Ettercap bietet eine Reihe von Plugins — unter anderem eines für DNS-Spoofing. Damit lassen sich DNS-Einträge so manipulieren, dass der Target-Rechner beim Surfen nicht mehr die Seiten sieht, die er zu sehen glaubt. Stattdessen bestimmen wir, auf welche IP ein bestimmter DNS-Eintrag verweist.

Die einzige Vorbereitung ist das Anpassen der Config-Datei /usr/share/ettercap/etter.dns. Für eigene Inhalte muss nur die umzuleitende Domain als A-Record nach folgendem Schema eingetragen werden:

DOMAIN        A        <IP auf die umgeleitet wird>

Danach kehren wir zum laufenden Ettercap-Fenster zurück. Unter PluginsManage Plugins findet sich das Plugin dns_spoof. Nach einem Doppelklick erscheint ein kleines Sternchen daneben, das den Start signalisiert.

Versucht man nun mit dem Opfer-PC z. B. die Microsoft-Seite zu erreichen, wird man automatisch umgeleitet. Gemessen am geringen Aufwand ist die Wirkung enorm. Wer sich in öffentlichen Netzen bewegt, sollte also gut überlegen, welche Seiten er besucht und welche Daten er dort preisgibt.