Rilevazione di attacchi: il "lato buono" di Ettercap

Come molto spesso accade, uno stesso strumento può diventare offensivo o difensivo a seconda di chi e come lo utilizza: Ettercap, il miglior software per lo sniffing e gli attacchi man in the middle esistente, è anche quello che meglio si presta a rilevare se stesso, rilevare attività ARP anomale all’interno della LAN ed anche schede di rete funzionanti in modalità promiscua, attraverso i plug-in search_promisc ed arp_cop che andrò ad illustrare molto brevemente.

Plug-in: search_promisc

Tramite questo plugin, Ettercap invia due differenti tipologie di richieste ARP malformate per ogni nodo nella rete ed attende la risposta. Nel caso questa arrivi, la scheda di rete del nodo origine è molto probabilmente impostata in modalità promiscua.

Esempio

Da una qualsiasi macchina Linux in LAN, sulla quale sia installato il programma, dare, in qualità dell’utente root, il comando: ettercap -TQP search_promisc //.

Ecco il risultato:

ettercap NG-0.7.3 copyright 2001-2004 ALoR & NaGA

Listening on eth0… (Ethernet)

eth0 -> 00:13:20:E4:3A:5A 192.168.0.24 255.255.255.0

Privileges dropped to UID 65534 GID 65534…

Randomizing 255 hosts for scanning…
Scanning the whole netmask for 255 hosts…
* |=====================================>| 100.00 %

9 hosts added to the hosts list…

Activating search_promisc plugin…

search_promisc: Searching promisc NICs…

Less probably sniffing NICs:
- 192.168.0.254
- 192.168.0.46

Most probably sniffing NICs:
- 192.168.0.42

In realtà, nella LAN di esempio nessuna macchina sta sniffando, ma alcune posseggono schede di rete poste in modo promiscuo; 192.168.0.254 rappresenta il modem/router/firewall/access point.

Analogo risultato può esser ottenuto, tramite Ettercap per Windows, come da figura seguente:

Figura 2: Ettercap per Windows – I

Plug-in: arp_cop

Tramite questo plug-in, Ettercap riporta attività ARP sospetta monitorando le richieste e le conseguenti risposte ARP all’interno della LAN: può dare falsi positivi nel caso di IP aggiunti o modificati.

Esempio con il comando ettercap -TQP arp_cop //

ettercap NG-0.7.3 copyright 2001-2004 ALoR & NaGA

Listening on eth0… (Ethernet)

eth0 -> 00:14:5E:45:F2:B5 192.168.0.46 255.255.255.0

Privileges dropped to UID 65534 GID 65534…

Randomizing 255 hosts for scanning…
Scanning the whole netmask for 255 hosts…
* |============================================>| 100.00 %

8 hosts added to the hosts list…

Activating arp_cop plugin…

arp_cop: plugin running…

192.168.0.123[00:0C:29:47:3F:F7] pretends to be
192.168.0.254[00:13:49:A3:09:CE]
192.168.0.123[00:0C:29:47:3F:F7] pretends to be
192.168.0.254[00:13:49:A3:09:CE]
192.168.0.123[00:0C:29:47:3F:F7] pretends to be
192.168.0.42[00:40:F4:B1:A5:88]
192.168.0.123[00:0C:29:47:3F:F7] pretends to be
192.168.0.42[00:40:F4:B1:A5:88]
192.168.0.123[00:0C:29:47:3F:F7] pretends to be
192.168.0.254[00:13:49:A3:09:CE]
192.168.0.123[00:0C:29:47:3F:F7] pretends to be
192.168.0.254[00:13:49:A3:09:CE]
192.168.0.123[00:0C:29:47:3F:F7] pretends to be
192.168.0.42[00:40:F4:B1:A5:88]
192.168.0.123[00:0C:29:47:3F:F7] pretends to be
192.168.0.42[00:40:F4:B1:A5:88]
[...]

Nella fattispecie, durante la scansione era in corso una vera attività di sniffing, sempre tramite Ettercap, da parte di 192.168.0.123 con vittima 192.168.0.42.

Analogo risultato può esser ottenuto, tramite Ettercap per Windows, come da figura seguente (sniffing da parte di 192.168.0.123 su 192.168.0.24, macchina sulla quale gira Ettercap e dalla quale è preso lo screenshot):

Figura 3: Ettercap per Windows – II