Tutorial Ettercap

Sumber

Ettercap adalah sebuah alat yang dibuat oleh Alberto Ornaghi (AloR) dan Marco Valleri (NaGa) dan pada dasarnya adalah sebuah perlengkapan untuk penyerangan “penengah” pada sebuah LAN. Untuk mereka yang tidak menyukai perintah berbaris (CLI), alat bentu ini disediakan dengan antar muka grafis yang mudah.

Ettercap memungkinkan membentuk serangan melawan protokol ARP dengan memposisikan diri sebagai “penengah, orang yang ditengah” dan, jika sudah berada pada posisi tersebut, maka akan memungkinkan untuk :
- menginfeksi, mengganti, menghapus data dalam sebuah koneksi
- melihat password pada protokol-protokol seperti FTP, HTTP, POP, SSH1, dan lain-lain.
- menyediakan SSL sertifikasi palsu dalam bagian HTTPS pada korban.
- dan lain-lain.

Plugin-plugin yang ada juga bisa untuk penyerangan seperti DNS Spoofing

Apakah itu penyerangan “man in the middle” ? Ini adalah serangan dimana seorang pembajak menempatkan mesinnya dalam arah logika antara dua mesin yang saling berkomunikasi sebagaiman dalam gambar berikut.
Sekali berada dalam posisi ini, pembajak bisa menjalankan banyak serangan-serangan berbahaya yang berbeda karena dia berada diantara dua mesin secara normal.

Ada beberapa cara serangan untuk menjadi “penengah”, kita akan melihatnya dalam penuntun ini yang berdasarkan pada Protokol ARP.
Protokol ARP adalah protokol 3 lapis yang digunakan untuk menterjemahkan alamat IP (contoh: 192.168.1.1) ke alamat kartu jaringan fisik atau alamat MAC (contoh : 0fe1.2ab6.2398).
Jika peralatan mencoba mengakses sebuah sumber daya jaringan, pertama-tama akan mengirim permintaan ke peralatan lain menanyakan alamat MAC yang berasosiasi dengan IP yang ingin dicapai. Pemanggil akan menjaga IP – MAC yang berasosiasi dalam cachenya, cache ARP, untuk mempercepat koneksi baru ke alamat IP yang sama.

Serangan datang jika sebuah mesin menanyakan ke yang lainnya untuk mencari alamat MAC yang telah berasosiasi dengan sebuah alamat IP. Pembajak akan menjawab dengan paket-paket palsu bahwa alamat Ipnya telah berasosiasi ke alamat MAC miliknya dan dengan cara ini, akan “memotong” IP – MAC asli yang datang dari host yang lain. Serangan ini diarahkan sebagai ARP poisoning atau ARP spoofing dan hanya memungkinkan jika pembajak dan korban berada dalam domain dengan broadcast yang sama yang didefinisikan pada host dengan alamat IP dan Subnet mask. Contoh : 192.168.1.1 255.255.255.0.

Dalam penuntun ini, kami akan menggunakan studi kasus berikut dimana sebuah mesin dengan alamat IP 192.168.1.2 memperoleh sumber daya internet dari jaringan lokal. Setelah serangan ARP poisoning, mesin Ettercap dengan IP 192.168.1.100 diatur sebagai “penengah”.

                                         

Silahkan catat beberapa hal di bawah ini tentang sifat mesin Ettercap:

- - -

Setiap kali Ettercap dijalankan, akan menghilangkan IP forwarding pada kernel dan mulai meneruskan paket-paketnya sendiri. Ini bisa menurunkan kinerja jaringan antara dua host karena paket-paket mesin memproses waktu. Ettercap membutuhkan tingkatan root untuk membuka soket lapisan Link. Setelah fase inisialisasi tingkatan root sudah tidak dibutuhkan lagi, cari Ettercap akan membuangnya pada UID = 65535 (nobody). Ettercap membuat dan menulis berkas-berkas log, log-log itu harus dijalankan dalam direktori dengan hak akses yang benar.

Tujuan dari penuntun kami adalah menginformasikan peringatan tentang bahaya serangan “penengah” oleh ARP Spoofing. Dalam Penuntun ARP poisoning , kami akan menjelaskan bagaimana mengkonfigurasi mesin Ettercap sebagai “penengah” kemudian dalam penuntun filtering, kami akan menunjukkan pada anda beberapa serangan. Akhirnya, beberapa pengukuran balik diberikan untuk melawan serangan ARP Poisoning.

Dalam penuntun pertama ini, kami akan menempatkan mesin Ettercap sebagai “penengah” setelah serangan ARP Poisoning.

Diagram skenario jaringan tersedia pada halaman perkenalan Ettercap.

Hal pertama yang dilakukan adalah mengatur alamat IP dalam mesin Ettercap dengan IP Subnet yang sama dengan mesin yang ingin diracuni. Dalam penuntun ini IP yang digunakan adalah 192.168.1.100.
Lihat penuntun jaringan untuk penjelasan lengkap tentang bagaimana mengatur alamat IP pada mesin Linux anda.

Sebagai pengingat, Ettercap akan membutuhkan akses root untuk dijalankan kemudian akan dilanjutkan dengan pengguna 'nobody'.

---

1. ARP SPOOFING

2. ARP TRAFFIC

3. ARP TABLES

4. STOPPING THE ARP SPOOFING

---

1. ARP SPOOFING

Buka Ettercap dalam mode grafis

#ettercap -G

Pilih menu Sniff

Sniff -> Unified sniffing

Pindai host yang ada dalam subnet anda

Hosts -> Scan for hosts

Daerah jaringan yang dipindai akan ditetapkan oleh pengaturan IP dari peralatan jaringan yang anda pilih pada langkah sebelumnya.


Lihat alamat MAC dan IP di dalam subnet anda.



Pilih mesin untuk diracuni

Kami memilih untuk meracuni hanya mesin windows 192.168.1.2 dan router 192.168.1.1.
Tandai baris yang berisi 192.168.1.1 dan klik pada tombol “target 1”.
Tandai baris yang berisi 192.168.1.2 dan klik pada tombol “target 2”.
Jika anda tidak memilih mesin sebagai target, maka semua mesin dalam subnet akan teracuni ARP.


Periksa target anda



Mulai ARP Poisoning

Mitm -> Arp poisoning

Mulai Sniffer

Akhirnya, mulai sniffer untuk mengumpulkan statistik.

Start -> Start sniffing

Ke halaman paling atas

---

ARP TRAFFIC:

Pada mesin windows, dengan bantuan Wireshark, kita dapat membandingkan trafik ARP sebelum dan setelah poisoning.

Sebagai peringatan. (Lihat diagram jaringan)

192.168.1.1 192.168.1.2 192.168.1.100

(Router) (Windows) (Pirate)

11:22:33:44:11:11 11:22:33:44:55:66 11:22:33:44:99:99

Sebelum diracun
Sebelum bisa berkomunikasi satu sama lain, mesin Windows dan router mengirim broadcast ARP untuk menemukan alamat MAC yang lain.

No 1 2 3 4

Source 11:22:33:44:55:66 11:22:33:44:11:11 11:22:33:44:11:11 11:22:33:44:55:66

Destination 11:22:33:44:11:11 11:22:33:44:55:66 11:22:33:44:55:66 11:22:33:44:11:11

Prot ARP ARP ARP ARP

Info who has 192.168.1.1? Tell 192.168.1.2 192.168.1.1 is at 11:22:33:44:11:11 who has 192.168.1.2? Tell 192.168.1.1 192.168.1.2 is at 11:22:33:44:55:66

                                       

Setelah diracun
Permintaan Broadcast dari ARP router dijawab oleh mesin windows seperti pada tampilan sebelumnya.
Perbedaan antara dua langkah tersebut datang dari kenyataan bahwa tidak ada permintaan yang datang dari Windows (192.168.1.2) untuk menemukan alamat MAC yang diasosiasikan ke router (192.168.1.1) karena yang meracuni secara terus-menerus mengirimkan paket-paket ARP yang mengatakan bahwa mesin Window yang diasosiasikan dengan 192.168.1.1 adalah ke alamat MAC nya penyerang (11:22:33:44:99:99) sebagai ganti dari alamat MAC router (11:22:33:44:11:11).

No 1 2 3 4

Source 11:22:33:44:11:11 11:22:33:44:55:66 11:22:33:44:99:99 11:22:33:44:99:99

Destination 11:22:33:44:55:66 11:22:33:44:11:11 11:22:33:44:55:66 11:22:33:44:55:66

Prot ARP ARP ARP ARP

Info who has 192.168.1.2? Tell 192.168.1.1 192.168.1.2 is at 11:22:33:44:55:66 192.168.1.1 is at 11:22:33:44:99:99 192.168.1.1 is at 11:22:33:44:99:99

Kebagian atas halaman

---

ARP TABLES:

Jika kita melihat tabel ARP pada mesin router dan Windows, terlihat bahwa Ettercap mesin Linux telah meracuni tabel ARP dan mengganti alamat MAC router atau Windows dengan alamat MACnya.
Ini berarti paket-paket antara mesin Windows dan router akan singgah melalui mesin Ettercap.
Mari kita lihat apabila kita berhasil meracuni tabel ARP mesin router dan Windows :

--------------------

Windows machine 192.168.1.2

--------------------

Jalankan perintah baris windows seperti berikut ini:
Start -> Run -> cmd

C:\Documents and Settings\administrator>arp -a

Interface : 192.168.1.2 --- 0x2

Internet Address 192.168.1.1 192.168.1.100

Physical Address 11-22-33-44-11-11 11-22-33-44-99-99

Type dynamic dynamic

             

Interface : 192.168.1.2 --- 0x2

Internet Address 192.168.1.1 192.168.1.100

Physical Address 11-22-33-44-99-99 11-22-33-44-99-99

Type dynamic dynamic

--------------------

Linux machine 192.168.1.100

--------------------

#arp -a

? ?

(192.168.1.1) (192.168.1.2)

at at

11:22:33:44:11:11 11:22:33:44:55:66

[ether] [ether]

on on

eth0 eth0

--------------------

Router 192.168.1.1

--------------------

>show arp

Protocol Internet Internet

Address 192.168.1.2 192.168.1.100

Age (min) 194 128

Hardware Addr 1122.3344.5566 1122.3344.9999

Type ARPA ARPA

interface FastEthernet0/0 FastEthernet0/0

             

Protocol Internet Internet

Address 192.168.1.2 192.168.1.100

Age (min) 194 128

Hardware Addr 1122.3344.9999 1122.3344.9999

Type ARPA ARPA

interface FastEthernet0/0 FastEthernet0/0

Jika anda memiliki peralatan Netscreen (Juniper), gunakan perintah berikut untuk melihat tabel ARP:

>get arp

Pada router Vyatta:

>show arp

Kembali ke bagian atas

---

MENGHENTIKAN ARP SPOOFING::

Ettercap sangat efektif. Setelah penyerangan, akan menghilangkan pengaruh ARP pada korban. Dengan kata lain cache ARP korban kemudian akan kembali seperti semula.

Jika cache tetap berisi alamat IP-MAC yang teracuni yang telah tertukar, anda tunggu beberapa saat, dimana waktu ini dipakai oleh cache ARP untuk merefresh diri sendiri, atau lebih baik bersihkan cache ARP.

Pada mesin Microsoft:

C:\Documents and Settings\admin>arp -d *

Pada linux Ubuntu atau Debian :

#arp -d ip_address

Pada router Cisco:

#clear arp-cache

---

KESIMPULAN

Setelah penuntun ini, tabel ARP dari mesin router dan Windows yang teracuni: mesin Linux sekarang “penengah”.