Buenas a todo HackHispano!

Hoy os traigo un manual escrito en Gurx.net para la instalación del conocido, potente, rápido, poderoso y sencillo sniffer Ettercap, usado para el análisis de tráfico en red.



Sistema:
Ubuntu 6.10 Edgy
Ettercap NG-0.7.3

Es relativamente muy fácil capturar contraseñas en texto plano y también en SSL que circulan por una LAN. Lo único que necesitamos es un equipo con un SO Linux, Unix o BSD y el programa Ettercap con sus dependencias. He leído que con pindows también se puede instalar Ettercap, aún que yo no lo he probado.

Ya hace un par de años utilizé el ettercap en su versión 0.6.8b con un Debian Sarge y pude comprobar todo lo que puede llegar hacer este sniffer. Hay que reconocer el gran trabajo que han echo Alberto Ornaghi (AloR) y Marco Valleri (NaGA) creadores de este paquete. Ya hay mucha información en internet de la versión 0.6.8 de este programa, así que yo voy a explicar las características funcionales básicas de la última versión ya que difiere un poco de la versiones no NG.




Tampoco voy a explicar cuestiones teóricas como el protocolo ARP, ni en que consisten las técnicas Man in the middle, y mucho menos el paquete Libnet, etc... Hay mucha información en Internet sobre estos temas, que seguro que están más bien explicados que como lo haría yo. Así me centraré en hacer una receta:

Primero instalamos las dependencias de Ettercap:
> apt-get install libnet0 libnet1-dev libssl-dev libltdl3-dev libpcre3-dev libpcap0.8-dev
*.- En mi caso los ncurses ya lo tengo instalado. Sino ejecutar (apt-get install ncurses-bin)

Procedemos a instalar ettercap. Recomiendo utilizar el paquete oficial de su web i compilar-lo manualmente ya que tenemos más opciones de configuración (plugins, etc). En mi caso no lo hecho así
> apt-get install ettercap.

Necesitamos activar el forwarding de paquetes y modificar el fichero de configuración de ettercap para que reenvíe paquetes SSL. (requeriremos Iptables, no me acuerdo muy bien si ya viene instalado en edgy o lo instalé yo cuando configuré NAT en mi estación)
> sysctl -w net.ipv4.ip_forward=1
> vim /etc/etter.conf
descomentamos la siguiente linea:
redir_command_on = "iptables -t nat -A PREROUTING -i %iface -p tcp --dport %port -j REDIRECT --to-port %rport"




Ya podemos poner en marcha el ettercap. Sin duda que prefiero utilizar ncurses antes que GTK!!
> ettercap -C -i eth0

Llegamos a la siguiente pantalla:



Vamos al menú Sniff --> Unifield sniffing
Ponemos la interface de sniffing, en mi caso eth0

Se nos abre una nueva interfaz gráfica con diversos menús. Nos dirigimos al menú Hosts -> Scan for Hosts para obtener una lista de ip de las estaciones que están activas en LAN. Ahora accedemos a dicha lista: Hosts -> Hosts List






Seleccionamos la máquina que queremos sniffar los paquetes y pulsamos la tecla 1 para asignarla al TARGET 1. Luego nos posicionamos sobre la Ip del router y pulsamos la tecla 2. En resumen , enviaremos paquetes ARP para engañar el switch y lograr que los paquetes del TARGET 1 pasen por nuestra máquina. Una vez capturado su contenido los reenviamos al router (TARGET 2) para que lleguen a su destino.

Solo nos falta indicar que queremos hacer dicha técnica en Mitm -> Arp poisoning y introducir:
> remote

Ponemos en marcha el sniffer en el menú Start -> Start sniffing y podemos observar las conexiones en View -> Connections.

Nuestro sniffer ya esta capturando todos los paquetes de la maquina TARGET 1 y con ello todas las claves en Texto plano y en SSL. Por ejemplo si voy a la maquina TARGET 1, entro en http://www.hotmail.com y accedo a mi correo, en el ettercap me sale lo siguiente:




Si tenemos los plugins instalados, veremos como ettercap en la parte inferior (user messages) ya nos muestra el login y passwords con el que me he logueado. Si no hemos instalado los plugins, podemos buscar el password manualmente observando los paquetes que destino que es el puerto 443 de un servidor de Hotmail. Para ello pulsar Enter en dichas conexiones. Observad la siguiente imagen para que tener una idea de como se ve el contenido de un paquete con el login y pass desde ettercap.