UC Segurana em Redes de Computadores

Docente: Eduardo Monks

6 sem Redes de Computadores
Aluno: Nataniel Vieira

ROTEIRO : Instalao e uso da ferramenta Ettercap

Introduo: Neste roteiro, sero abordados procedimentos para instalao da

ferramenta de anlise de redes denominada Ettercap, tambm conhecido como um
poderoso sniffer de rede.
A palavra Sniffer marca registrada da Network Associates e refere-se ao produto
Sniffer Network Analyzer. Popularmente conhecidos como Sniffers, so os analisadores
de protocolos ou analisadores de rede. O ettercap nada mais que um sniffer
possibilitando capturar dados em uma rede local. Conhecidos como farejadores, os
sniffers capturam o trafego em rede local, proporcionando ao invasor capturar senhas
digitadas por outros usurios desta rede. O trafego tambm pode ser capturado usando a
tcnica chamada de man in the middle "MITM" que significa Homem no meio.
Para instalar o ettercap no Linux em distribuies baseadas no debian/ubuntu:
# sudo apt-get install ettercap-gtk
Para instalar o ettercap no windows:
http://192.168.200.3/software/ANALISADORES/ettercap-NG-0.7.3-win32.exe
OBS: O ettercap encontra-se disponvel nas diversas verses da distribuio do
BackTrack Linux, que um sistema operacional preparado com os principais softwares
para realizao de Penetration Test.
Aps realizar a instalao execute o ettercap, para linux necessrio inicia-lo como root,
caso contrario no ser possvel selecionar a interface.

Exemplo prtico com ettercap:

Neste exemplo ser abordada a tcnica de envenenamento ARP ou ARP Poisoning,
primeiramente deve-se preparar um ambiente totalmente controlado com o intuito de
evitar danos a uma rede em produo. Na sequncia siga todos os passos elencados.

01) Montar o cenrio conforme ilustra a figura 1:

Figura 1
Com o cenrio montado verifique a tabela ARP dos hosts com o comando arp a.
Logo aps execute o comando ping entre os hosts e observe novamente a tabela ARP
dos mesmos.
02) Com o ettercap aberto clique na aba Sniff e posteriormente em Unified Sniffing .
Selecione a interface que est conectada rede que voc deseja farejar, clique em"OK".
03) Na aba Host selecionar a opo Scan for hosts.
Os hosts que esto listados abaixo sero os micros que esto on-line na sua rede no
momento.
Volte na aba Hosts e posteriormente em Host list , aparecero os IPs das mquinas
conectadas e host do atacante no ser exibido na host list.
04) Selecione um IP da host list para atacar e clique em "Add to Target 1", em seguida, o
roteador ou o segundo host desejado e "Add to Target 2".
05) Na sequncia deve-se clicar na aba Mitm, a qual significa man in the middle ou
homem no meio, posteriormente clique em ARP Poisoning e marque a guia "Sniff
remote connections" e clique em "OK"
06) Com o ettercap configurado, basta clicar na aba Start e iniciar o farejador em Start
sniffing.
Pronto! Estamos capturando o trafego de rede. Ou seja, as tabelas ARP dos hosts do
diagrama esto envenenadas com o mac address do atacante.
Ao acessar a aba View e posteriormente a Connections possvel ver todas as
conexes e clique duas vezes em um pode ver os dados que ele contm, inclusive
conversas, os usurios e senhas, etc.
Na figura 2 possvel observar o resultado do arp poisoning gerado na rede.

Figura 2
Sendo assim, ao concluir o roteiro revise as tabelas ARP dos hosts envolvidos para
comprovar o resultado gerado na rede.

Medidas preventivas contra ettercap:

- Utilizar servios criptografados na rede para evitar o sniffing. Usar SSH em vez de Telnet
e SFTP em vez de FTP.
- Acrescentar entradas estticas na tabela ARP das mquinas do domnio (atravs de
scripts), evitando assim a tcnica de ARP Poisoning e consequentemente o man in the
middle.
- O ArpON pode ser uma boa opo para detectar e evitar ataques de redirecionamento
ARP.
Disponvel em: http://www.pentestit.com/2010/06/09/arpon-arp-handler-inspection-tool/

Referncias:
ASSUNO, Marcos Flvio Arajo Segredos do hacker tico. 4 edio. Florianpolis:
Visual Books, 2011.
Pgina oficial do Ettercap disponvel em: http://ettercap.sourceforge.net/
Vdeo exemplificando o uso do ettercap: http://www.youtube.com/watch?
v=1eTb7OnV8X8