Este es mi primer tutorial e intentare exponeros una guia básica sobre la utilización de ettercap. Este programa que nos permite sniffar el trafico de red y obtener  asi las  contraseñas escritas por otros usuarios de nuestra red, además también permite leer, por ejemplo, las conversaciones del messenger u otros programas de mensajeria instantánea.

1 - Primero tenemos que descargar el ettercap, la ultima version es la 0.7.3 y
esta disponible tanto para windows como para linux.
   
    Windows:
   
   No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

    Linux:
   No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

      o (en el caso de ubuntu)

   # apt-get install ettercap-gtk

2 - Lo instalamos.
     
      Si tienes la versión para compilar de linux:

     # ./configure
     # make
     # make install


A partir de ahora lo interesante:

3 - Arrancamos el ettercap (en caso de linux como root, ya que sino no nos permitira seleccionar la interfaz de red a utilizar).

4 - Pestaña Sniff>Unified Sniffing

5 - Seleccionamos la interfaz que esta conectada a la red que queremos sniffar,
despues le damos a "Aceptar".

6 - Pestaña Host>Scan for hosts.
En la parte de abajo de la pantalla aparecera algo como " X hosts added to the hosts list..."
(X sera un numero correspondiente al numero de maquinas conectadas a la red).

7 - Pestaña Host>Host list.
Ahora apareceran las IPs de las maquinas conectadas, hay que tener en cuenta que el router también
aparece (No aparece nuestro PC).

8 - Seleccionamos la IP del ordenador a atacar y pulsamos "Add to Target 1", después el router "Add to Target 2".

Ahora ya tenemos los objetivos marcados, pero antes de dar el siguiente paso tenemos que tener en cuenta que vamos a utilizar una técnica llamada Man In The Middle (MITM) y lo que haremos sera que todos los paquetes que van dirigidos al PC atacado pasen por nosotros, con lo que si nosotros nos desconectamos sin detener el ataque MITM nuestra víctima se quedara sin conexión por un tiempo, mientras se reinician las tablas arp.

9 - Pestaña Mitm>ARP Poisoning. Ahora marcamos la pestaña "Sniff remote connections" y pulsamos "Aceptar".

10 - Pestaña Start>Start sniffing.

Con esto estaremos snifando el trafico de red.

11 - Pestaña  View>Connections. Aqui podemos ver todas las conexiones y hacemos doble click sobre alguna podemos ver los datos que contiene, entre ellos conversaciones del messenger, usuarios y contraseñas, etc.

Ahora es cuestión de paciencia.

Bueno un saludo a todos y espero que os sirva.





EDITO: Respeto a los filtros que comente:

Este filtro se utiliza para cambiar las imagenes de la maquina a la que le hayamos hecho el man in the middle.

Primero tenemos que obtener el script del filtro, para esto vamos a la siguiente pagina y copiamos el script.

     No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

El script es el siguiente:

   	

############################################################################
#                                                                          #
#  Jolly Pwned -- ig.filter -- filter source file                          #
#                                                                          #
#  By Irongeek. based on code from ALoR & NaGA                             #
#  Along with some help from Kev and jon.dmml                              #
#  http://ettercap.sourceforge.net/forum/viewtopic.php?t=2833              #
#                                                                          #
#  This program is free software; you can redistribute it and/or modify    #
#  it under the terms of the GNU General Public License as published by    #
#  the Free Software Foundation; either version 2 of the License, or       #
#  (at your option) any later version.                                     #
#                                                                          #
############################################################################
if (ip.proto == TCP && tcp.dst == 80) {
   if (search(DATA.data, "Accept-Encoding")) {
      replace("Accept-Encoding", "Accept-Rubbish!"); 
	  # note: replacement string is same length as original string
      msg("zapped Accept-Encoding!\n");
   }
}
if (ip.proto == TCP && tcp.src == 80) {
   replace("img src=", "img src=\"http://www.irongeek.com/images/jollypwn.png\" ");
   replace("IMG SRC=", "img src=\"http://www.irongeek.com/images/jollypwn.png\" ");
   msg("Filter Ran.\n");
}

     
Ahora modificamos la dirección de las imagenes por las que nosotros quramos, por ejemplo la de No tienes permitido ver los links. Registrarse o Entrar a mi cuenta, quedaria asi:

if (ip.proto == TCP && tcp.src == 80) {
   replace("img src=", "img src=\"http://foro.portalhacker.net/Themes/miembro/images/smflogo.gif\" ");
   replace("IMG SRC=", "img src=\"http://foro.portalhacker.net/Themes/miembro/images/smflogo.gif\" ");
   msg("Filter Ran.\n");
}

Lo siguiente sera guardar el script con extension .filter, por ejemplo imagen.filter.

Una vez hecho esto abrimos una consola y vamos al directorio donde tenemos el imagen.filter. Una vez alli ponemos y se compilara el filtro:

        etterfilter imagen.filter -o imagen.ef   

Con esto nos generara el imagen.ef. Una vez creado lo copiaremos al directorio de ettercap
        /usr/share/ettercap

Ahora arrancamos ettercap y realizamos el MITM. Durante el MITM vamos a la pestaa filters->load a filter.
Una vez aqui seleccionamos el archivo imagen.ef y pulsamos aceptar. Con esto ya estar el filtro aplicado y las imagenes que vea la victima seran sustituidas por las que nosotros queramos.


fuente del filtro:      No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

   Bueno comenzamos este tutorial de Wireshark, un programa muy potente para el analisis de redes o como dice la wikipedia

Wireshark, antes conocido como Ethereal, es un analizador de protocolos utilizado para realizar análisis y solucionar problemas en redes de comunicaciones para desarrollo de software y protocolos, y como una herramienta didáctica para educación. Cuenta con todas las características estándar de un analizador de protocolos.
   

Lo primero sera descargarnos el Wireshark (obvio xD).
   
      Windows:
   
         No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

      Linux (basados en Debian):

         # apt-get install wireshark

   Una vez descargado lo arrancamos, si es en linux como root.
Nos aparecerá algo como esto:



Ahora iremos a la pestaña Capture>Options y nos aparecera esta ventana:



En interface seleccionamos la targeta con la que queremos sniffar el trafico.
En Capture filter podemos ver una serie de filtros para que facilitar la busqueda de los datos que nos interesen (para el tutorial no pondremos ninguno).

Una vez estemos listos pulsaremos Start y el programa comenzara a hacer su función.


Como veremos la pantalla se divide en tres partes, las que nos interesan son la superior que contiene todos los paquetes sniffados y la inferior que contiene el contenido de cada paquete.

En la pantalla superior, en la columna que pone Info podemos ver una indicacion de lo que contiene el paquete. Por ejemplo si queremos obtener las conversaciones del messenger nos interesara que la parte de info enpiece por MSG.

Para terminar la captura vamos a Capture>Stop. Al salir del programa o cerrar la sesion nos pedira si queremos guardar la captura, ponemos que no y listo.




Bueno despues del tutorial de introduccion vamos a ver otra posibilidad del Wireshark, pero esta vez nos tenemos que bajar otro programa:

      sudo apt-get install tcpxtract

Este programa lo que hace es obtener las imagenes que hubiese entre los paquetes guardados en la captura. Vamos a verlo mas claro en un ejemplo.

1 -  Creamos una carpeta en cualquier directorio, por ejemplo en el del usuario:
         mkdir wire
         cd wire
         mkdir archivos

2 – Arrancamos el Wireshark y hacemos lo anterior para obtener paquetes, vease Captura>Options, seleccionamos la interfaz y le damos a Start.
Ahora iremos a google y buscaremos imagenes en el:



Como vemos el Wireshark ha capturado los paquetes:



3 - File>Save as.



Despues elegimos la carpeta creada anteriormente y le ponemos un nombre, en este caso le pondre capturas.


4 - Una vez echo esto vamos a una terminal, nos dirigimos a la carpeta creada antes (wire) y ponemos:
   
      # tcpxtract --file captura --output archivos

y aparecera esto:



Con esto se generaran en la carpeta archivos todas las imagenes encontradas en "captura".


Si falla el comando

      # tcpxtract --file captura --output archivos

repetirlo hasta que funcione, ya que algunas veces falla.

Bueno con esto ya esta todo.

Un saludo.


Aparentemente puede que no le veais demasiada utilidad a este programa en terminos hack, ya que solo analiza el tráfico que pasa por nuestra targeta. Pero si combinamos el ettercap (redirige todo el tráfico de una o varias maquinas a nuestra targeta de red) y el Wireshark (analiza el trafico que circula por nuestra targeta de red) obtendremos resultados muy interesantes ya que el wireshark ofrece mucha información.

Un saludo.

En esta mini-guia voy a exponer las que a mi ver son las mejores formas de protejer/controlar nuestra red inalámbrica:

1. - Ocultar el ESSID. Con esto no conseguiremos impedir que alguien entre en nuestra red, pero por lo menos le dificultaremos algo el acceso.

2. - Cambiar el ESSID que viene por defecto. Puesto que así dificultaremos el ataque, ya que el atacante conocerá menos datos de nuestro AP, con lo que evitaremos programas como wlandecrypter (redes wlan_XX) o similares.

3. - Filtrado MAC. Habilitando esto restringiremos el acceso a nuestra red solo a las macs que tengamos en una lista, de forma que si no están en dicha lista no tienen acceso. La forma de burlar esto por un atacante seria clonar una dirección mac que si que tuviera acceso a la red, por tanto, esta medida no es definitiva.

4. - Utilizar cifrado WPA2 con cifrado AES, en su defecto WPA con AES o en menor medida WPA con TKIP. Evitar utilizar el cifrado WEP, puesto que es extremadamente vulnerable.

5. - Utilizar contraseñas caracteres alfanuméricos y símbolos, con una longitud mayor a 8 cifras y cambiarla con cierta frecuencia. Con esto evitaremos los ataques de diccionario que sufren WPA/WPA2. Un ejemplo de este cifrado seria algo como: 

A2$dsW/4dh&U2a?Q

6. - Cambiar la contraseña de acceso a la configuración al router.En verdad esto no es una medida puesto que si tienen acceso al router es que están en la red, pero así por lo menos no pueden trastear con este. Las contraseñas por defecto suelen ser 1234 o admin, una vez cambiadas la única forma de conocerlas seria snifando la red, pero ese ya es otro tema .

7. - Activar y revisar los logs del router. De esta forma si el atacante tiene acceso a nuestra red podremos ver su rastro, de ahí la importancia del punto 6 para evitar que esta opción sea deshabilitada.


Creo que no me he dejado nada, si falta algo avisad