Tienda especializada en la videoconsola Nintendo DS

 
Feb
05
Cuando sospechamos Ettercap por excelencia
Archivado en la categoria HSNET (Tecnico), Linux, Sec-Info, Todo Info&Tech el dia 5-Febrero-2009

ettercap

Hace unos días estuve de visita en una de esas empresas que suelo frecuentar para echar una mano y tuve la necesidad de ver que pasaba en su red. Dicha red siempre había ido fluida de trafico y todos podían navegar por internet para hacer su trabajo sin problemas de una manera rápida y eficaz.

Desde hacia ya una semana ninguno de los ordenadores que habían conectados con acceso a Internet podían a penas navegar y por mucho que llamaran a su proveedor de Internet ” ISP ” no encontraban respuesta alguna sobre el porque todo iba tan y tan saturado …

Todos los equipos cliente están conectados a un Switch y este hacia un Firewall, este ultimo tienes tres tarjetas de red de las cuales una es para el Switch, otra para el Servidor y la ultima que lo conecta hacia un Router que es transparente en la red por lo que el Firewall se encarga de hacer el enroutado de puertos y de dar salida a Internet.

Mirar las lucecitas del Switch para saber que ordenador tiene mas trafico no es efectivo en este tipo de empresas que no paran sus ordenadores las 24h y tienen que estar todos conectados al Servidor ya que el les provee de una base de datos que causa contante trafico en la red. Así a simple vista no se podía saber que o quien estaba causando tanto trafico como para que ningún ordenador pudiera navegar.

Una de las herramientas que hubiera incluido en el articulo Mis cinco programas imprescindibles (en GNU/Linux) sin duda alguna hubiera sido Ettercap. Esta herramienta nos permite en un momento dado saber que pasa en un ordenador en cuanto a la red se refiere ya que es un Sniffer que puede decirnos que está pasando a tiempo real y por supuesto si estamos sufriendo algún tipo de ataque.

Como podéis ver en todo el Blog no suelo hablar del tema Hacking, Cracking y cosas del estilo pirateo ya que no creo conveniente el que alguien con malas ideas pueda ver uno de mis artículos y ponerlos en practica. Muchas de las herramientas que existen para Linux se pueden usar para unas cosas o para otras. Ettercap es un Sniffer de red que puede de ver cosas que podemos usar para protegernos o para tomar medidas ya que es capaz de interceptar al vuelo muchos datos como passwords y nombres de usuario e informaciones sobre que están haciendo de servicios como Telnet, FTP, POP, Rlogin, SSH1, ICQ, SMB, MySQL, HTTP, NNTP, X11, Napster, IRC, RIP, BGP, SOCKS 5, IMAP 4, VNC, LDAP, NFS, SNMP, Half-Life, Quake3, MSN, YMSG. El software también incluye una opción para incluir Plugins e incluso defendernos matando conexiones, escaneando puertos o detectar el sistema operativo de la maquina. Esta gran herramienta se puede hacer servir de muchas maneras y tiene muchas variantes, tantas que me podría pasar toda la noche escribiendo. Así que voy a enseñaros un poco del funcionamiento y el resto os lo dejo a vosotros. Si queréis mas información podéis visitar la Wiki o la web oficial de Ettercap, además de Google claro está. ;)

Por suerte para mi todos los equipos de aquella empresa salian hacia Internet por ese Firewall al que sin pensármelo dos veces acudí para instalarle Ettercap y saber que estaba pasando. El Firewall está montado sobre un sistema Linux Debian por lo que si tenéis la misma o Linux Ubuntu podéis seguir el método de instalación. Para instalarlo tan solo tuve que abrirme una Terminal e identificarme como súper usuario ( root ) e instalarlo de la forma habitual …

apt-get install ettercap

Si estas en Linux Ubuntu

sudo apt-get install ettercap

Ettercap podemos usarlo en modo texto y en modo gráfico GTK instalando algunas librerías adicionales. En este caso no vamos a instalar el entorno gráfico ya que el Firewall no dispone de entorno y se puede usar perfectamente con el teclado una vez te has acostumbrado a su extraño manejo con la tecla ( TAB ).

Para ejecutarlo teclearemos …

ettercap -C

o en Linux Ubuntu

sudo ettercap -C

La demostración que veréis en estas imágenes son de el Servidor Web en Linux Ubuntu que tengo en mi casa y no de el Firewall de la empresa

ettercap1

Como podéis ver necesitar no es que necesitemos instalarle entorno gráfico a este programa ya que con una combinación de teclas podemos navegar por sus menús y ejecutar lo que queramos. Para ello usaremos los cursores para movernos además de la tecla ( TAB ) y el ( Enter ) para ejecutar.

Para comenzar lo que tenemos que indicarle cual es la tarjeta de red sobre la que queremos que Ettercap actue. Para hacer esto vamos ha movernos por el menú superior con el cursor derecho y pulsaremos la tecla ( Enter ) …

ettercap2

A continuación seleccionamos la opción ( Unified Sniffing ) con la tecla ( Enter ) …

ettercap3

Aquí tenemos que indicarle que tarjeta de red queremos snifar, si tenemos tan solo una tarjeta de red instalada en el ordenador casi siempre suele valernos la de por defecto así que pulsamos ( Enter ) y continuamos …

ettercap4

Ahora lo que aremos sera activar el Sniffer desde el menú superior ( Start ) y seguido de ( Start sniffing ) …

ettercap5

Una vez activado vamos hacia el menú ( View ) …

ettercap6

Y seguiremos con la opción ( Connections ) …

ettercap7

Una vez aquí os voy a explicar un poco y el resto de la investigación os la voy a dejar a vosotros mismos.

Como vemos en la imagen de arriba en hay muchas Ips, y cada una representa un ordenador que se conecta a nosotros. En mi caso tengo mucho trafico en mi Servidor Web con ip 192.168.1.75, se que es Web porque detrás de la ip de nuestra tarjeta de red siempre sale hacia el puerto hacia donde apunta el ordenador que se dispone a usar uno de nuestros servicios.

Para saber que están haciendo estas IPs en mi servidor voy a usar como cobaya otro ordenador de mi red con la IP 192.168.1.74

ettercap8

una vez situados encima del objetivo podemos matar su conexión simplemente pulsando la tecla ( K ) o ver datos como la dirección Mac del ordenador remoto, su Ip, el protocolo y el puerto que usa con la tecla ( D ) …

ettercap9

Para salir de esta pantalla y volver a la lista de Ips tenemos que pulsar tres veces la tecla ( TAB ) …

ettercap10

Una vez en la lista pulsamos la tecla ( Enter ) para ver que esta haciendo en estos momentos dentro de nuestro ordenador …

ettercap11

En la ventana izquierda podemos ver datos sobre nuestro visitante como por ejemplo, que está mirando, navegador, sistema operativo y varias cosas mas. Que si realmente os interesa podréis seguir descubriendo poco a poco vosotros mismos.

Para lo que uséis esta información es problema vuestro yo tan solo he intentado informar sobre está herramienta y mostrar algo de lo que puede hacer ya que tan solo me basto mirar este par de cosas para saber que o quien estaba saturando la red de la empresa.

¿ Queréis saber como acaba la historia ?

Lo que realmente me parecía curioso era que aquella red tan solo se volvía torpe de buena mañana sobre las 10:00 hasta las 13:00 ¿ Solo tres horas y luego ya funciona todo bien ?

Resulta que eran sobre las 12:00 del medio día cuando yo me encontraba allí y Ettercap me dio datos que me conducieron hacia la maquina causante de este problema. La información que me dio sobre el sistema operativo de la maquina que obstruía la red cerro el circulo de posibles sospechosos entre los 25 equipos que estaban conectados a la red. El sistema operativo que tenia el ordenador causante del gran trafico era Linux Ubuntu y de estos solo hay 3 en las oficinas de toda la empresa. Pude ir mas allá y ver con Ettercap que estaba causando el bestial trafico en la red y resulta que un de los equipos de la red estaba subiendo algo muy grande al servidor vía ftp. Como ya teníamos la IP tan solo tuvimos que ir hacia el ordenador para ver que nos encontrábamos.

Lo que vimos fue un montón de películas subidas y subiéndose hacia el servidor en un directorio al que se tenia acceso web y desde allí los amigos de esta persona podrían descargarselas.

En una situación así mas que como informáticos tenemos que comportarnos como espías ya que cualquier dato puede sernos útil para saber que o quien esta ocasionando el problema. Me sabe mal hacer este tipo de faenas porque siempre suele salir perjudicado alguien pero cada uno cumple su cometido en esta vida y yo cumplo con el mio que es cumplir con mi trabajo y explicároslo a vosotros.
   Leer mas ...      

Creative Commons License
www.forat.info sitio bajo licencia Creative Commons.

Articulos relacionados

Articulos publicados en la Factoria de Blogs


Comentarios:
Picholeiro 5th Febrero, 2009 a las 1:37

Si no recuerdo mal tengo visto otro programa , que tiene el mismo nombre para win que para Linux , No se si hay para Mac , ya que cuando iva a clase no lo enseñaban para saber el uso de red . No recuerdo el nombre la utilizacio n se hce por medio de interface grafica ,


FeLiPe RM 5th Febrero, 2009 a las 1:50

“Lo que vimos fue un montón de películas subidas y subiéndose hacia el servidor en un directorio al que se tenia acceso web y desde allí los amigos de esta persona podrían descargars elas”

Manda huevos… Y fijo que despidiero n a esa(s) persona(s), no? xDDD

Un sniffer, en buenas manos, es mano de santo, oiga!

Saludos ;-)


Joebuntu 5th Febrero, 2009 a las 2:00

Yo conozco el programa iptraf pero solo te muestra la ip de la computador a que esta conectada con el servidor y el puerto abierto del servidor para esa ip y también el trafico en tiempo real. Pero este programa es mucho mejor.
Y TODO SE ENCUENTRA EN SYNAPTIC solo tienen que instalar y probar mas de 20000 programas gratuitos.

Saludos desde Perú


GnDx 5th Febrero, 2009 a las 6:46

Muy explicado amigo, Excelente, Gracias por ilustrarno s con material muy bueno.

Saludos…
Ettercap un arma de doble filo xD


aisgar 5th Febrero, 2009 a las 7:46

Magnífica reseña. Añadir que en Debian, si instalas gpm, puedes usar los programas con el ratón. Y una aclaración, ¿cómo que no hablas de hacking?. Si tienes un montón de artículos donde enseñas tus hacks, como el Vinocenter . Utilizar una caja de vino como caja de ordenador es un hack total. Lo que tenmos que tener claro es el concepto de que hack es igual a modificar un objeto o programa para que realice otras funciones para las que no estaba diseñado o ampliar y mejorar las que ya tenía. No le demos el sentido negativo que le dan los lusers, por favor.
Un saludo afectuoso.


Enlaces del 05-02-09 | evelio.info 5th Febrero, 2009 a las 8:15

[...] Cuando sospechamo s Ettercap por excelencia por forat [...]


Eduardo 5th Febrero, 2009 a las 9:26

aunque el tab “no mola” demasiado, guau el programa es tremendame nte intuitivo :P , gracias Forat :D


wolvelopez 5th Febrero, 2009 a las 11:57

Muy buena, yo tube algo parecido hace muy poco tiempo y fue en un Instituto de secundaria . El secretario tenía un Bittorrent a tope calderas.
Un saludo Forat.


RadicalEd 5th Febrero, 2009 a las 14:04

Está buenisimo el manual forat, muchisimas gracias.


Al 5th Febrero, 2009 a las 15:25

Por favor, no nos prives a la mayoría de esos conocimien tos de seguridad informática (o hacking) solo por que alguno podría usarlo con malas intencione s, imaginan que eliminan el acceso a Internet en España por el uso que le dan los peredastas , por ejemplo; sería absolutame nte injusto.

Felicidade s por el blog, estás haciendo un gran trabajo de divulgación del uso de GNU/Linux.

Saludos


jose87 5th Febrero, 2009 a las 16:05

Buen programa, yo el que he utilizado de vez en cuando es el Ethereal, aunque creo que ahora se llama Wireshark.


Cristian 5th Febrero, 2009 a las 17:12

Sin duda una gran herramient a… aunque me gusta más por su capacidad de realizar ataques. Aun así, me parece MUCHO mejor Wireshark.

No he tenido tiempo de leer los comentario s, pero de seguro que ya te lo han mencionado .

Wireshark es mucho más completo, mucho. (En cuanto a sniffing).

Un saludo y gracias por compartir la historia.


FuriousDami 5th Febrero, 2009 a las 23:38

Aún recuerdo mis tiempos en esto de la seguridad informática.. administra ndo la red aquí en casa!
Sin duda es una excelente utilidad, ya la he usado anteriorme nte y en cuanto tenga mi red lista nuevamente tengo pensado seguir usandolo.

Saludos, y muchas gracias por compartir información.. ;)


roberto carlos 6th Febrero, 2009 a las 2:09

Pues que lamentable que haya estado alguien haciendo eso, ya habia leido yo un estudio publicado en diarioti de estudios hechos sobre a que gente de este tipo (que aprovechan la red de su trabajo para hacer actividade s de intercambi o de archivos mp3, videos u otros) tenian menos posibilida des de trabajar… Sinceramen te descuidar el trabajo por algo como esto es raro…

Por otro lado me agrado mucho la solucion me imagino que le han pegado una buena regañada… Lo unico que creo es que cualesquie r computador a con cualesquie r sistema operativo pudo haber estado haciendo el intercambi o. Saludos


Oakenfold 6th Febrero, 2009 a las 16:40

Jaja ese programa me sirvio para sacar el correo de una jovencita que venia a la casa de mi amiga..

Mi amiga charlaba con ella.. pero yo solamente sabia su nombre.. y pedirle su correo seria ps.. algo estupido, se daria cuenta q me gusta..

En fin, me puse a espiar con Ettercap ( el GTK).. Y pues saque la clave de ella ( justo mi amiga d mi calle estaba chateando con ella) e incluso pude leer su conversaci on..

Y si veia youtube.. le ponia KILL CONNECTION !. jajaa
.. y solo leia los Idle y los Active..


Marc 6th Febrero, 2009 a las 18:20

Hola, Forat me a encantado tu pagina web y tus proyectos.

Por curiosidad a que te dedicas ?¿ (si se puede saber claro)

Hablando del tema yo escuche debe hacer unos años ya, que un señor, alto directivo de una empresa, conecto el emule en su despacho y todo el material “confidenci al”de su disco duro: cuentas, balances, distribuid ores, etc fue navegando por internet gracias a l’emule


Parpix 6th Febrero, 2009 a las 23:21

La pregunta no es en qué trabaja Forat, la pregunta es: Sabiendo que tu trabajo te obliga a estar fuera de casa más de 12 horas, y que luego pasas tiempo con la mujer, ¿Cuanto duermes tío? ¿que eres como el emule? ¿24 horas online? eso si que hace que me rompa las neuronas…


Parpix 6th Febrero, 2009 a las 23:23

se me olvidaba decir que además dedicas VARIAS horas diarias al blog y a tus proyectos… haz un post titulado: como vivir sin apenas dormir


Raphael 6th Febrero, 2009 a las 23:46

fantastico !!!


pablo 7th Febrero, 2009 a las 19:21

Muy bueno el articulo. Yo me arme hace poco un web server con Ubuntu server siguiendo tu guia y esta herramient a me viene barbaro ya que no le instale entorno grafico. Lo que si, si dispones de entorno grafico, recomiendo mucho WireShark, es una aplicacion espectacul ar, En mi trabajo lo uso mucho y estoy muy satisfecho con los resultados (Wireshark tiene opcion de usarlo desde command line, pero me parecio mucho mas amigable Ettercap en ese sentido). Saludos.


royx 8th Febrero, 2009 a las 7:39

Gracias por el excelente artículo, una gran historia y un gran herramient a.. excelente trabajo


Doctor Mapache 8th Febrero, 2009 a las 11:48

te lo digo por experienci a… mejos pedirle el correo y luego te la ligas… por que como te pille cotilleand o… o peor, otros te pillen cotilleand o… vamos que no. Ilegal e inmoral.
Apoyo la moción de Parpix
¿O Forat es tu nick y tu nombre real es T 25?


jordi jog 9th Febrero, 2009 a las 0:48

km te lo kurras makina!! sige asin i no kambiessss eee jeje nga tio kuidate i nada el viernes nos vemos jaja


abuse luvare 9th Febrero, 2009 a las 16:46

Para una empresa, controlar el trafico, para que cualquier persona pueda hacerlo, la mejor opción casi diria que es el control por SNMP (Si los switches son administra dos) Y con eso no hay margen de error para comprobar lo que consume cada puerto del switch.


Ikki 10th Febrero, 2009 a las 3:24

Supongo que para estos casos también valdría tcpdump…


Ariel 10th Febrero, 2009 a las 23:56

No te molesta que hable sobre él en el podcast?


soda 11th Febrero, 2009 a las 3:42

Antes que nada agradecert e por los excelentes manuales que nos has brindado a toda la comunidad, sabes soy algo nuevo en esto de los servidores , pero algun dia tenia que llegar la oportunida d de poder crear algo como esto, se me presenta el siguiente problema, tengo una red de aprox. 50 equipos y quiero tirar el windows 2003, no es que no funcione, es solo que no me gusta como el linux, el detalle es que tengo nociones de como hacerlo mas sin embargo nunca lo he hecho, ya he visto tus manuales y he llevado a cabo parte de estos, pero tengo dudas en cuanto a las conexiones de internet. me gustaria saber si podria ayudarme de antemano muchisimas gracias.


F O R A T » ¿ Que hay conectado a la red ? AutoScan Network tiene la solución » 12th Febrero, 2009 a las 1:22

[...] recordamos el articulo anterior llamado Cuando sospechamo s Ettercap por excelencia os contaba cual fue mi experienci a a la hora de encontrar un ordenador concreto en una red. Si [...]


0.6: Un capítulo mas | La Consola Podcast 4th Marzo, 2009 a las 20:37

[...] Tratados: – Desktop Art – Ettercap – Ext4 y exFAT32 – Probando la beta de Windows [...]


Bitacoras.com 11th Marzo, 2009 a las 6:30


lestraw 22nd Junio, 2009 a las 19:45

Forat es una gran herramient a, y voy contigo, estoy totalmente de acuerdo


Wagner 30th Junio, 2009 a las 18:04

Gracias por el buen articulo.

Como podria hacerle para disminuir la cantidad de host a buscar, porque por defecto me sale 65000.

Gracias otra vez.


Novatilla en Apuros 2nd Agosto, 2009 a las 11:41

Hola Forat!,,me ha encantado este tuto y la historia está genial(vaya morro,hay que tener clase hasta para chupar conexión,jolines!)
Bueno,,al grano.He querido probar y al elegir la interfaz en lugar de salirme la wlan0,que es la del wifi del portatil me sale wmaster0
Vale,borré con espacio y tecleé la que es la wifi,wlan0 y se cierra el programa y sale en consola este error:

ERROR : 19, No such device
[ec_capture .c:capture_in it:146]

pcap_open: SIOCGIFHWA DDR: No such device

La gracia es que en mi casa,que uso un wifi usb Zydas,al dar en sniff me sale perfectame nte la eth0.
Cuál puede ser el motivo de que no me detecte la del portatil cuando estoy conectada y todo a internet y funciona bien?
Un saludo,compi ;-)