Ettercap

Ettercap je bezplatný a open source nástroj pro síťovou bezpečnost určený pro útoky typu „man-in-the-middle“ v místní síti LAN. Lze jej použít pro analýzu síťových protokolů a bezpečnostní audity. Běží na různých unixových operačních systémech, včetně Linuxu, Mac OS X, BSD a Solarisu a také na Microsoft Windows. Je schopen zachycovat provoz v segmentu sítě, zachycovat hesla a provádět aktivní odposlouchávání řady běžných protokolů. Jeho původní vývojáři později založili Hacking Team.^[1][2]

Funkčnost

Ettercap funguje tak, že síťové rozhraní přepne do promiskuitního režimu a pomocí ARP otravuje cílové počítače. Tímto způsobem může fungovat jako „člověk uprostřed“ (MITM) a spouštět různé útoky na oběti. Ettercap podporuje pluginy, takže funkce lze rozšířit přidáním nových pluginů.

Funkce

Ettercap podporuje aktivní i pasivní analýzu mnoha protokolů (včetně šifrovaných) a poskytuje mnoho funkcí pro analýzu sítě a hostitele. Ettercap nabízí čtyři provozní režimy:

• Na základě IP adresy: pakety jsou filtrovány na základě zdroje a cíle IP adresy.
• Na základě MAC adresy: pakety jsou filtrovány na základě MAC adresy, což je užitečné pro sledování připojení přes bránu.
• Založené na ARP: používá otrávení ARP k detekci přepínané lokální sítě LAN mezi dvěma hostiteli (full duplex).
• Založeno na PublicARP: používá otrávení ARP k naslouchání na přepínané lokální síti LAN od hostitele oběti ke všem ostatním hostitelům (half duplex).

Kromě toho software nabízí také následující funkce:

• Vkládání znaků do navázaného připojení: znaky lze vkládat do serveru (emulace příkazů) nebo do klienta (emulace odpovědí) a zároveň zachovat aktivní připojení.
• Podpora SSH1: sniffing uživatelského jména a hesla a dokonce i dat SSH1 připojení. Ettercap je první software schopný sniffingu SSH připojení v plně duplexním režimu.
• Podpora HTTPS: sniffing dat zabezpečených protokolem HTTP SSL – i když je připojení navázáno přes proxy .
• Vzdálený provoz přes GRE tunel: sledování vzdáleného provozu přes GRE tunel ze vzdáleného routeru Cisco a provedení útoku typu „man-in-the-middle“ na něj.
• Podpora pluginů: tvorba vlastních pluginů pomocí API od Ettercapu.
• Sběrače hesel pro: TELNET, FTP, POP, IMAP, rlogin, SSH1, ICQ, SMB, MySQL, HTTP, NNTP, X11, Napster, IRC, RIP, BGP, SOCKS 5, IMAP 4, VNC, LDAP, NFS, SNMP, MSN, YMSG
• Filtrování/zahazování paketů: nastavení filtru, který vyhledává konkrétní řetězec (nebo hexadecimální sekvenci) v datové části TCP nebo UDP a nahrazuje jej vlastním řetězcem/sekvencí dle výběru, nebo zahazuje celý paket.
• Otisk TCP/IP stacku: určení operačního systému oběti a jeho síťového adaptéru.
• Ukončení připojení: ukončení spojení vybraného ze seznamu.
• Pasivní skenování LAN: získávání informací o hostitelích v LAN, jejich otevřených portech, verzích dostupných služeb, typu hostitele (brána, router nebo jednoduchý počítač) a odhadovaných vzdálenostech v počtu hopů.
• Únos DNS požadavků.

Ettercap má také schopnost aktivně nebo pasivně vyhledávat další traviče v lokální síti.