Как можно увидеть из рисунка 3.6 Ettercap выполняет сканирование сети, путем отправки широковещательных запросов для каждого IP-адреса. Диапазон IP-адресов для запросов вычисляется на основе IP-адреса и маски сети, которые прописаны на выбранном интерфейсе. Однако следует заметить, что в графе отправитель указан MAC-адрес злоумышленника, поэтому, чтобы в настоящей атаке скрыть свое присутствие следует сменить MAC-адрес на используемом интерфейсе утилитой macchanger.
Теперь выберем 2 цели, против которых собираемся проводить атаку ARP-spoofing (рисунок 3.8)
Рисунок 3.8 – Выбор целей
Последовательность выбора на имеет значение. Чтобы проверить, какие цели были выбраны выбираем «Ettercap Menu – Targets – Current Targets» (рисунок 3.9)
Рисунок 3.9 – Выбранные цели
Далее в меню «MITM menu» выбираем атаку ARP poisoning… и прослушиваем весь трафик (рисунки 3.10 – 3.11).
Рисунок 3.10 – Выбор MITM атаки
Рисунок 3.11 – Подтверждение
Теперь просмотри трафик, сгенерированный Ettercap (рисунок 3.12)
Рисунок 3.12 – Отравление ARP-таблиц
Как можно увидеть компьютер злоумышленника отсылает 2 ARP-пакета. В первом утверждается, что IP-адрес 192.168.1.100 теперь привязан к MAC-адресу злоумышленника. Второй пакет повторяет то же самое с IP-адресом 192.168.1.1.
Посмотрим теперь на ARP-таблицы на PC-1 и R1 (рисунки 3.13 – 3.14).
Рисунок 3.13 – Отравленная ARP-таблица на PC-1
Рисунок 3.14 – Отравленная ARP-таблица на R1
Атака прошла успешно. Теперь компьютер жертвы верит, что IP-адрес маршрутизатора привязан к MAC-адресу злоумышленника, а маршрутизатор верит, что IP-адрес PC-1 привязан к MAC-адресу злоумышленника.
Теперь злоумышленник прослушивает весь трафик между PC-1 и роутером. Для того, чтобы отобразить текущее соединение в Ettercap откройте «Ettercap Menu – View – Connections» (рисунок 3.15).
Рисунок 3.15 – Трафик между атакованными хостами
Чтобы просмотреть подробнее какой-либо пакет достаточно просто кликнуть по строке 2 раза.
Теперь пусть PC-1 аутентифицируется на некотором сайте, а злоумышленник попытается перехватить данные (рисунки 3.16 – 3.18).
Рисунок 3.16 – Пользователь аутентифицируется на ресурсе
В ettercap так же будут видны данные пользователя при использовании открытых протоколов.
После окончание атаки обязательно нажимайте на кнопку «Stop MITM», чтобы закрыть все атаки и восстановить все отравленные ARP-таблицы до их исходного состояния, чтобы замести следы.
За счет наличия графического интерфейса данная атака выполняется очень легко. Теперь рассмотрим методы для противодействия атаке ARP-spoofing.
4 DHCP-spoofing
4.1 Описание
DHCP позволяет устройствам автоматически получать конфигурацию сети при подключении к сетевому интерфейсу (обычно при загрузке).
Эта конфигурация обычно включает, помимо прочего, IP-адрес, присваиваемый устройству, доменное имя DNS и IP-адрес маршрутизатора по умолчанию,