1

Onderwerp: [howto] ettercap howto

Bij deze heb ik een ettercap howto geschreven:

webadres

ettercap is een programma om netwerk pakketjes te onderscheppen en te sniffen, voor diverse dingen:

Wachtwoorden,
Creditcard nummers
Usernames
Msn gesprekken afluisteren

eigenlijk alles wat via je netwerk gaat...

Reacties zijn zeer welkom. Pin me niet vast op spellings fouten en dergelijke.. Als je dat ziet en je voelt je geroepen.. Verbeter ze en mail het verbeterde bestand door aan mij.

Als iemand toevoegingen heeft, opmerkingen. Het beterweet, een beter programma weet voor dit onderwerp. Is zeer welkom op ze hier te posten of te mailen naar:
mailadres

Ooh ja.. ik kon het txt filetjes niet goed door poorten naar html formaat, dan liepen de tekeningetjes door...

So long fooks, and stay tuned 

=========================================================================================================================
#Deze howto is geschreven door iemand                                #
#                                                            #
#De auteur ontheft zich van elke aansprakelijkheid van de geleden schade door het gebruik van dit programma        #
#                                                             #
#Deze howto is geschreven puur voor educatief gebruik                                    #
#Alles valt onder de GNU/GPL Licentie                                             #
#                                                            #
#Howto: packages sniffen met ettercap                                            #
#====================================================================================================================== #


 "a false sense of security, is worse than insecurity"   -- Steve Gibson

 hey folks... wake up !  the net is NOT secure !!
 
Mag de arrogantie en misleiding van Micro$ft zijn dood worden. 

==========================================
Reden waarom ik deze howto heb geschreven:
==========================================
Veel mensen denken onterecht dat het internet veilig is. Beter nog, men weet het wel. Maar slaan er geen acht op. Als je ze 
aantoont hoe onveilig netwerken kunnen zijn. Dan worden ze een beetje stil. Tenslotte laten bekende o/s'es je lekker veilig
voelen. En dat vind ik onterecht. Liever weten dat je totaal onveilig bent, dan schijnveiligheid die os/'es zoals Windows
aanbieden. 

Met ettercap kan je prima aantonen dat er veel dingen over het netwerk onveilig rond vliegen, die heel gemakkelijk te
onderscheppen zijn. Je kan  ettercap dingen goed laten filteren en dingen opzoeken die jij precies wilt weten. Zoals msn
gespreken onderscheppen. Paswoorden automatisch loggen. 

=========================
Wat mis ik in deze howto?
=========================

Er zijn vele plugins voor ettercap. Hier ga ik niet op in. Er zijn zoveel, dat als ik klaar ben met schrijven van deze
howto er vast en zeker weer 20 bij zijn gekomen. Dus dat is niet te doen

 Het tegen gaan van packages sniffers. 

tip wil je toch de plugins:

$ make plugins 



===============
Verduidelijking 
===============
$ betekend dat dit de command regel is.. D.M.A.W na $ vul je de comando's in

# betekend opmerking

========================
Hoe ettercap te krijgen?
========================

ettercap is te krijgen op: http://ettercap.sourceforge.net. Het is aan te raden om de source te downloaden.

bv : ettercap-**-**.tar.gz

download hem.

Pak het pakketje uit met:

$ tar xfvz ettercap-**-***.tar.gz

Dan moet je het pakketje configuren:

$ ./configure 

Tip!: als je niet wilt dat het hele programma door je systeem is verweven gebruik dan:

$ ./configure --prefix=/**/** #dus de /**/** staan voor de directorie waar je het programma in wilt dumpen.

Het pakketje compilen:

dat doe je met:  $ make

Het pakketje installeren:

$ make install

Als je geen errors gekregen hebt, heb je nu als het goed is ettercap gecompiled en geinstalleerd. 


Hoe gebruik ik ettercap?
------------------------

Dit is een persoonlijke keuze, 

Je kan een mooie interface krijgen door middel van ettercap -G te doen voor X.

Met Ncurses werken kan je door ettercap en dan de flag is te vullen...

Maar zelf prefereer ik: $ ettercap -N  #dat staat voor Non Ncurses..Dus lekker console werk ;-)


Opzich met alle drie keuze kan je alles doen, pure kwestie van smaak dus.

een snel voorbeeldje:

$ ettercap -N -s -C 10.0.0.20 

1. -N staat voor Non Ncurses
2. -s staat voor sniffen op ipbases
3. -C staat voor Collect paswords and usernamers 

Ik neem aan dat je dondersgoed begrijpt wat je nu doet :)

je kan ook puur op poorten scannen:

ettercap -N -s -C 10.0.0.20:80

dus nu sniff je alleen de paswoorden die voor poort 80 bestemd zijn.

als je niet weet wat voor dingen over een bepaald ip vliegen.. Kan je ook wat leuks uithalen:

$ ettercap -N -s 10.0.0.20

Dan zie je al het inkomen verkeer. Let op! als er veel verkeer is.. Vliegt die info over je scherm. dit kan je opvangen
door middel van de spatiebalk. Dan stopt de info door over je scherm loopt. En kan je de pakketje analyseren. Standaard
staat de info in ASCII mode. 

LET OP!!
    Als je een netmask hebt van 255.0.0.0 Controleerd hij 256^3 adressen. Dus het is beter dat je een netmask opgeeft
        van 255.255.255.0 tenzij je netwerk meer dan 250 computer bevat.

============
Wat is arp?
===========

Arp is een men in the middle attack. Dit is klassieke methode, dit op de dag vandaag nog steeds geld, en veel gebruikt word.

Overzicht:


     HOST 1  - - - - - - - - - - - - - - - - - - - -> HOST 2
   (poisend)                                      (poisoned)
       |                                               ^
       |                                               |
        ------------> Aanvallende HOST  ------------------
                     ( ettercap )
 
Als host 1 wat wilt versturen naar hosts 2 is het normaal: host1 <==>host2
Maar als je gaat arpen is het:  host1<==>evil cracker<==>host2

Dus dit is leuk, maar nu nog ff de theorie. In een pakketje zit de bestemming en de afkomst, 
Jij vangt alles pakketjes op van host1, en jij stuurd die weer door naar hosts 2. Host2 denk dat het pakketje
van hosts1 afkomt, en zogaat het ook andersom.

Arp is alleen van belang als je zelf pakketjes wilt injecteren en als je met swichtes werken.

Je moet wel eerst weten welk ip adres met welk ip adres praat. 


Hoe is dit ingodsnaam mogelijk?
-------------------------------
Als je een hub thuis hebt, die aangesloten zit op de router. Komen alle pakketjes ook langs jou computer, alleen normaal
ziet jou computer dat het niet bedoeld is voor jou computer, dus negeerd het pakketje dat bedoelt is voor de andere computer

Maar met ettercap negeer je ze niet. Je pikt ze op! ;-) Zo kan je dus rustig de pakketjes analyseren.

Het stomme is dat veel netwerk applicaties als, msn,bankprogramma's,irc en veel meer niet geencrypt is (versleuteld).
Je kan dus met ettercap gespreken afluisten, overstortingen doen en in naam van iemand anders ongekennende mogelijkheden
doen. 

hoe komt het dan dat toch ook het pakketje aan komt bij de host als ik al het pakketje heb ontvangen?

een overzicht:
                       <pc1> |
                     /       |
(       )        /         |
( internet)----<hub>  --<pc2>|- alle pakktetjes die naar de hub gaan, gaan dus ook langs jou heb, en van het internet.
(         )                 |  Te router dupliceerd de pakketjes. 
                            |
                       <pc3> |

Met een switch werkt dit anders. Een switch verstuurd niet de pakketjes naar alle computers, maar naar enkel diegene 
waarvoor het bedoel is. En hier komt arp dus in gebruik


Dus samengevat:

Arp is niet nodig voor hub netwerken (veel bedrijven en particulieren, denk alleen aan geld en niet aan dit)
Arp is vooral handig voor switch netwerken. En als je zelf actief mee wilt doen in toevoegingen.





mogelijke keuzen met ettercap:

Sniff methodes:
--------------

-a (arpsniffing) 
    ARP (men in the middel) je moet twee hosts selecteren waarmen tussen praat

-s
    Op ipbases sniffen. Als je geen ipadres invuld. Laat hij alle pakketjes zien van alle computers


-m        
    Op mac adres sniffen. 


OFF line sniffing:
-----------------

-T  --readcapfile  (leest van een bestand)
    Het opgeslagen bestand uitlezen met -T

-Y  --writecapfile
         hier mee kan je dus de gesniffde pakketen in een bestand stoppen
    
Algemene Opties:
---------------
-N --simple
    Geen interactieve modes (zonder Ncurses)

-G --gtk
    GTK mode (voor X11)

-z --silent 
    stilte mode (geen arp storm tijden het opstarten van ettercap)

-O --pasive 
    passief scannen van het LAN

-b  --broadping 
     broadcast een ping, ipv een arpstorm tijden het opstarten 

-S --spoof <IP> Tijdens het opstarten met dit ipadres data opvragen

-H --host <IP1> <IP2> <IP3>
    Scant alleen deze ipadressen

-d --dontresolve
    Vraagt geen ipadressen op (versneld aanzienlijk de start procedure)

-i --interface 
    Het selecteren van het netwerkapparaat (bv eth1 eth0 ppp0)

-n --netmask
    Het kieze van een netmask wat gebruikt kan worden gebruikt voor je LAN

-e --etterconf <bestandsnaam> 
    Laat configuraties opties via een bestand

-j --loadhosts <bestandsnaam>
    --haalt een bestand met de hosts/ip en mac adressen via een bestand binnen

-k  --savedhosts 
      --Bewaard alle gevonden hosts,ip en mac adressen in een bestand
      
-h  --help
    Laat alle mogelijk opties zien #dit is bijna hierboven vertaald

Passieve opties, moet gecombineerd zijn met -N 
----------------------------------------------
-R --reverse  <IP> <IP>
    Scant alles behalve dit geselecteerde ipadressen

-l --list
    laat alle hosts zien op je lan 

-C --collect 
    Collecteerd alle paswoorden en username's

-c --check 
    Check voor andere arp poiseneers (dus kijkt over er andere mensen die op het netwerk zijn die men in the middle spelen)

-f --fingerprint <hosts>
    probeert vast te stellen welk O/S de host draait

-g --linktype
    Probeert het lan type te indentyficeren (hub,switch)    

* onthoud dat dit niet alle mogelijkheden staan maar wel de meest gebruikt. Dus kijk zelf altijd voor meer mogelijkheden


Voorbeelden:
------------

Wat ik veel doe ik gewoon het hele netwerk afkijken en dan paswoorden stellen maar dan voor het hele netwerk:

$ ettercap -N -s -C 


Als ik een bepaald persoon wilt afluistern:

$ ettercap -N -s <IP>


Als ik een bepaald persoon met een bepaald portnummer wil afluisteren:

$ ettecap -N -s <IP>:<POORT>


 ARP vereist meer kennis van het netwerk...dit voorbeeldje heb ik gestolen van het REAMDE file en vertaald, zelf gebruik ik 
 nooit arp

 HOST 1:  mac: 01:01:01:01:01:01          ettercap HOST:
               ip: 192.168.0.1                    mac: 03:03:03:03:03:03
                                                   ip: 192.168.0.3

     HOST 2:  mac: 02:02:02:02:02:02
               ip: 192.168.0.2


   we zenden arp beantwoordingen naar:

            HOST 1 verrtellen we dat:  192.168.0.2 is op mac  03:03:03:03:03:03
            HOST 2 vertellen we dat:   192.168.0.1 is op mac  03:03:03:03:03:03

   Nou zijn ze gekoppeld aan de ettercap gebruik !! Ze zullen dus alle pakketjes naar ons toesturen !
   

            HOST 1 word door gestuurd naar:  02:02:02:02:02:02
            HOST 2 word door gestuurd naar:  01:01:01:01:01:01

Mijn mening van package sniffers:
---------------------------------

Hoe je het went of keerd, je weet dat je fout bezig bent als je dit gebruikt op je werk, als je bedoelingen hebt om 
paswoorden van anderen gebruikers te stelen. Wat ik fout vind van ontwikkerlaars van e-mail clients, msn en irc
is dat het niet geencrypt word.  Toch gebruik ik vaak package sniffers, om te kijken of mijn pakketjes gevoelige informatie
bevatten.


Als men geencrypt paswoorden,tekst,chat,usernames verstuurd. Ben je al een stuk veiliger. Onthoud dat de meeste netwerken
van binnenuit ingebroken word. Aangezien dat het nu heel makkelijk om paswoorden te stelen. Gelukkig zien ik dat er
al een opkomst is dat wachtwoorden geencrypt zijn. 

Toch vind ik het enorme te kortkomingen en ik vind dat de  ontwikkeleraar  van communicatie software ook stil moet staan
met dit soort mogelijkheden. 

Tegenwoordig gebruiken veel mensen het internet op hun werk om prive dingen te doen als chatten en privemail op te halen.
Ik hoop dat je ook door deze howto een stuk voorzichter bent met zomaar even  je email op te halen op je bedrijfsnetwerk of 
te msn'en  met een broer die iets te veel verstand heeft :). Er zijn vele mogelijkheden om geecrypt te chatten en mail op
te halen. Ik raad dan ook aan om je hier in te verdiepen. 

Het motto van veel computergebruikers is ook, "ik heb niets te verbergen". Zoals iemand tegen mij zei. "Vind je het leuk
als ik je pincode weet, en geld van je bank haal". "Vind je het leuk als ik je vrouw vertel dat je vreemd ga".  Ga zo maar door
de meest rare doom senarios zijn mogelijk met foute mensen met foute bedoelingen en kennis van dit soort trucjes.

mogen de netwerkpakketjes weer veilig worden smile

2

Re: [howto] ettercap howto

Ik vind het hardstikke leuk dat je zo'n howto hebt geschreven, en ik waardeer het ook ten zeerste...
Maar ik hoop niet dat mensen hun opgedane kennis nu gaan misbruiken!

Gelukkig heb je daar onderaan je document al een stukje over geschreven

door klachten geen sig meer..

3

Re: [howto] ettercap howto

dat soort kennis is ook nodig om te beveiligen

Telnet, Php, MySQL & Linux: RIP

http://codequest.nl

4

Re: [howto] ettercap howto

Cool.

Mag ik deze howto op de experimentele Gopherspace zetten? gopher://gopher.linux-box.nl/

Weer iets om op de PCW te laten zien ;-)

-Roeland

Re: [howto] ettercap howto

mogen geinteresseerden dit ook wikiën (kan dit wel tongue)?

-Robert

Status: moved to other communities...

6

Re: [howto] ettercap howto

mensen mensen smile

wat mag er toch allemaal met de gnu/gpl licenstie...

hmm  kopieren mag toch? Als je de auteur maar de credits geeft smile

7

Re: [howto] ettercap howto

Ik vind het hardstikke leuk dat je zo'n howto hebt geschreven, en ik waardeer het ook ten zeerste...
Maar ik hoop niet dat mensen hun opgedane kennis nu gaan misbruiken!

Gelukkig heb je daar onderaan je document al een stukje over geschreven

Bas,

Zoals Wijnand terecht al aangeeft
Het is een slechte zaak om een systeem veilig te noemen omdat niemand weet hoe het werkt.
dat is de methode die Micro$oft al jaren bezigd en die niet blijkt te werken (zo weet iedereen in de hele wereld)
Informatie die je kunt sniffen word aan jou voordeur afgeleverd
als iemand een briefje in mijn brievenbus duwd met daarop zijn creditcard gegevens,
moetie niet zeuren als ik daar wat mee doe.

Pascal's Blobfree Homepage
Een dag geen NedLinux is een dag niet geleefd

Re: [howto] ettercap howto

Mooie howto Maikel! Ik had Patrick al een keer het verschil tussen SSL en Non-SSL voor onze webmail en mysql app horen zeggen. Maar leuk om dit een keer met eigen ogen te zien met deze tool. Non-SSL pik ik gewoon zo m'n mail password eruit. En met SSL zie ik alleen maar Arabische taal door de lijn heen gaan ;-)

Misschien ook wel handig om je howto in dit topic te posten. Dan krijg het gelijk een fijn leesbare format.

Met vriendelijke groet,

Marc Mes
NedLinux.nl

9

Re: [howto] ettercap howto

Hoi Marc, daarom is het ook belangrijk om je mail op te halen via de manier zoals daniel die schreef in zijn howto. Ik ben dat ook maar gaan doen wink. Daarbij heb ik mij zelf nu heel snel geleerd om niet meer zomaar via het internet prijs te geven... Niet dat ik nog niet paranoia ben smile..

Mensen zeggen gauw dat ik vreemd ben met al die beveiligingen, gelukkig kan ik ze nu een manier laten zien waarom ik dit soort dingen allemaal doen.. Hier voor wist ik dat het mogelijk was alleen niet hoe smile.. Zoals ik het steeds vaker in Linux merk.. Het is nietof het mogelijk is, maar hoe je het doet.. The sky is the limit! tongue

10

Re: [howto] ettercap howto

mooi stuk maikel; ik hoop dat er nog meer van dit soort interessante stukken worden gepost.

OSX , Fedora 22 en CentOS 7

11

Re: [howto] ettercap howto

Idd mooi stuk maar jammer dat sinds de laaste versie alles is omgegooid. Deze howto is duidelijk maar jammer dat het niet meer toepasbaar is op de nieuwste versie. Hopelijk wordt er een update gedaan in je howto.

12

Re: [howto] ettercap howto

k weet niet of ik er een nieuw topic moet voor openen, maar als ik ettercap tussen een MS en de router hier thuis zet kan m'n zus niet meer inloggen op msn. Als ettercap er dus pas tussen zet als ze al ingelogd is werkt het wel.
Hoe komt dat?

13

Re: [howto] ettercap howto

Ik zal eens kijken naar de nieuwe Ettercap. Daar heb ik eerlijk gezegd niet opgelet. Ik had hem namelijk van het weekend overgeschreven en wat fouten eruit gehaald.  Update van mijn site volgt snel.

Ik ga niet iemand helpen letterlijk om zijn zus afte tappen. Wees zelf creatief tongue

Grtz,

14

Re: [howto] ettercap howto

Ik ga niet iemand helpen letterlijk om zijn zus afte tappen. Wees zelf creatief tongue

Tsss...

wink

't Is dat het onderdeel van het leerproces is, anders zou ik zeggen, waarom niet? Ook dat soort dingen mogen getoond worden naar mijn mening.

-Roeland

15

Re: [howto] ettercap howto

Neej lijkt me ook zeer leerzaam  wink

Het lijkt me ook handig om misschien een coole toevoeging te maken hoe je remote netwerk kan sniffen dus als je bv op school zit of op je werk dat je wel kan zien wat je bakje allemaal voor netwerk verkeer heeft. Volgens mij kan dit met de gre_relay plugin, maar ben er nog niet achter hoe dit precies in zijn werk gaat.

16

Re: [howto] ettercap howto

Je kan niet zomaar een remote netwerk afsniffen. Zonder dat je daar een syteem hebt, waar je binnen in kan komen. Wat betreft de plugins. RFTM! ik heb gezegd dat ik geen plugins zal behandelen, als iemand zich geroepen voelt doet hij dat maar.

Ik heb de howto verbeterd kijk maar ff. Wat betreft de nieuwe versie, ik zou niet weten wat voor meerwaarde dat heeft en ook dat kan iemand doen, gezien het animo ervoor.

Nog iets anders, je kan niet heel het internet afsniffen en ook niet toevallig van een mail server...Echt echt waar!

Re: [howto] ettercap howto

mischien niet van een mailserver, maar wel van een lokale mailclient en een lokale server ook nog wel. als die niet op de goeie plaats staat.

heb ik wel een vraagje. wat nou als je een router hebt, en dan een switch en dan een pc (met bridge) en dus weer een "ander" netwerk achter die pc.
kun je "zover" sniffen?

toch niet weer he!

Re: [howto] ettercap howto

Mooie howto... link um met bronvermelding op mijn site. Voor het simpele werk neem ik altijd Cain&Abel onder windows. Kan ook veel. Maar Ettercap gaat idd verder... Zo heb ik ook een netcat-howtootje gelinkt; http://mrlee.homelinux.net/netcat.txt misschien ook leuk. Ik link een beetje krom  wink  maar voor de meesten is het wel duidelijk.

Re: [howto] ettercap howto

hoi ik heb een vraagje ik heb die tekst van micheal gelezen heb heb de goede bestanden en ik weet nog niet hoe ik ettercap moet installeren en waar ik het moet installeren ik bedoel via wat dus help me alsjeblieft smile

20

Re: [howto] ettercap howto

Die kleine heet Maikel ! of gewoon mickey
welke linux distro heb je ?

Pascal's Blobfree Homepage
Een dag geen NedLinux is een dag niet geleefd

21

Re: [howto] ettercap howto

dangerboy, dit topic is al een aantal jaren oud, dus zou je aub een nieuw topic erover willen starten?

"As a NedLinux discussion grows longer, the probability of a flamewar involving alcohol, photography, or Apple approaches 1." - danieldk