오픈소스 소프트웨어로서, GUI 를 지원하기 때문에 사용하기 편하다.
기본적인 스니핑 기능을 가지고 있으며, arp poisoning,icmp redirect, Port Stealing, DHCP Spoofing 등의 기본 기능도 가지고 있다.
그리고 플러그인을 통한 dns spoofing, dos attack 등을 지원하며 역으로 이런 공격을 찾는 search arp poisoner, search promisc 등의 기능도 가지고 있다. 사용하기에 따라서 매우 유용한 툴이라고 생각된다.
1. Ettercap 설치
ettercap 을 위해서는 libnet,libpcap,libssl,ncurses 라이브러리가 필요하다. 다운받아서 설치 해준후 ettercap 을 설치해준다.
libpcap 은 rpm 형태로 이미 설치되어 있을시 삭제해주고 0.8.1 버전을 설치해 줘야 한다.
이후엔 필요 라이브러리 들을 tar zvxf 로 풀어주고 ./configure;make;make install 해준다.
마지막으로 ettercap 을 설치.
2. Ettercap 실행
# ettercap -G -n 255.255.255.0 => -G 는 GUI , -n 은 netmask 를 의미한다.
먼저 스니핑할 NIC 를 선택해준다. eth0 을 선택한다.
다음으로 할 것은 네트워크에 어떤 호스트가 있는지 스캔하는것!
3. 스니핑
이제 스니핑을 시작해보자. Ctrl + W 를 눌러도 된다.
텔넷 접속 패킷을 스니핑하여 id 와 password 를 알아냄.
자동적으로 패킷속에서 주요 키워드 (ID,PASSWORD 등의) 를 보여준다.
4. ARP Poisoning(Spoofing) + DNS Spoofing
Mitm 을 클릭해보면 기본적으로 4가지 공격이 있다.
ARP Spoofing 에 해당하는 ARP Poisoning 을 해보자.
=> 모든 호스트에 대한 MAC Table 이 공격자(Red Hat) 으로 바뀌었다. 이제 모든 통신은 Attacker Host 를 거치게 된다. ettercap 의 filter 기능을 사용하여 패킷을 중간에서 변조한 후 보내줄 수 있다.
이제 모든 패킷은 attacker host 를 거쳐서 가므로, dns 쿼리 패킷 또한 예외일 수 없다.
우선 dns spoofing 모듈에서 사용하는 etter.dns 파일을 편집해야 한다.
# vi /usr/local/share/ettercap/etter.dns
target 호스트들이 네이버에 대한 dns 쿼리를 날릴 시 192.168.0.6 으로 돌려주도록 했다.
192.168.0.6 은 실습을 위해 임의로 구축한 웹서버이며, 실제 공격에서는 악성코드가 삽입된 사이트로 유도할 수 있을 것이다.
이제 Plugins 메뉴에서 dns_spoof module을 활성화 시킨다.
공격당하고 있는 네트워크의 호스트에서 www.naver.com 을 질의 한 결과.
정상적인 상태(위) 와 dns spoofing 을 하고 있는 상태(아래)
* 실제 www.naver.com 을 접속해본 결과
========================================================================================================
ettercap 을 이용한 sniffing 과 arp,dns spoofing 을 알아보았다. ettercap 을 사용해본 결과 실제 해킹에서도 쓰일 만큼 꽤나 유용하고 강력한 도구라고 생각된다. 하지만 반대로 plugin 기능중에 search poisoner 기능과 search promisc 기능도 가지고 있으므로 보안도구로서도 활용될 수 있을 것으로 보인다.
어떤 툴이든 사용자에 따라 해킹툴로도,보안툴도 될 수 있다는 것을 다시 한번 확인하게 되었다. ^^
출처 : http://blog.naver.com/kimhmin85
댓글