Phần mềm QLM Ettercap Nhóm 6 – H09CN3
TÌM HIỂU PHẦN MỀM QUẢN LÝ MẠNG ETTERCAP

LỜI MỞ ĐẦU
Có thể nói ngày nay trong khoa học máy tính không lĩnh vực nào có thể quan
trọng hơn lĩnh vực nối mạng. Mạng máy tính là hai hay nhiều máy tính được kết
nối với nhau theo một cách nào đó sao cho chúng có thể trao đổi thông tin qua lại
với nhau, dung chung hoặc chia sẽ dữ liệu thông qua việc in ấn hay sao chép qua
đĩa mềm, CDRom….
Vì vậy hạ tầng mạng máy tính là phần không thể thiếu trong các tổ chức hay
các công ty. Trong điều kiện kinh tế hiện nay hầu hết đa số các tổ chức hay công ty
có phạm vi sử dụng bị giới hạn bởi diện tích và mặt bằng đều triển khai xây dựng
mạng LAN để phục vụ cho việc quản lý dữ liệu nội bộ cơ quan mình được thuận
lợi, đảm bảo tính an toàn dữ liệu cũng như tính bảo mật dữ liệu mặt khác mạng
Lan còn giúp các nhân viên trong tổ chức hay công ty truy nhập dữ liệu một cách
thuận tiện với tốc độ cao. Một điểm thuận lợi nữa là mạng LAN còn giúp cho
người quản trị mạng phân quyền sử dụng tài nguyên cho từng đối tượng là người
dùng một cách rõ ràng và thuận tiện giúp cho những người có trách nhiệm lãnh đạo
công ty dễ dang quản lý nhân viên và điều hành công ty. Bên cạnh đó, người quản
trị mạng cũng cần phải có những phương thức để sao cho vấn đề bảo mật dữ liệu
được đặt lên hàng đầu, tránh sự tấn công của hacker. Để làm được việc này, cần
phải có sự tìm tòi, nghiên cứu và thử nghiệm một số công cụ phần mềm hỗ trợ cho
việc quản lý mạng. Nhóm 6 chúng em đã đi tìm hiểu và thử nghiệm phần mềm
quản lý mạng Ettercap dùng cho window XP. Với hệ hoàn chỉnh kiến thức như
chúng em thì vấn đề nghiên cứu và thử nghiệm cũng là 1 vấn đề khó. Do kiến thức
và thời gian có hạn, bài viết không thể tránh khỏi những sai sót nhất định. Rất
mong nhận được sự đóng góp, trao đổi từ quý Thầy cô và các bạn để bài viết được
hoàn chỉnh hơn. Mọi ý kiến đóng góp xin gửi về địa chỉ:
Xin trân trọng cảm ơn!
Hà Nội, ngày 19 tháng 11 năm 2010
Nhóm thực hiện

Nhóm 6
Phần mềm QLM Ettercap Nhóm 6 – H09CN3
I. TÌM HIỂU CHUNG VỀ PHẦN MỀM
1. Thông tin chung về phần mềm
Ettercap là một công cụ trung gian giữa các cuộc tấn công trong mạng LAN. Nó có tính năng đánh hơi các các kết
nối trực tiếp, lọc nội dung chuyển trên mạng và nhiều thủ thuật thú vị khác. Nó hỗ trợ mổ sẻ hoạt động và thụ động của nhiều giao
thức (ngay cả với Ciphered) và bao gồm nhiều tính năng cho mạng lưới phân tích và máy chủ.
1. Mục đích
- Với Ettercap bạn có thể theo dõi những lưu lượng thông tin hoạt động trên hệ
thống
mạng của bạn, chụp các thông tin, hiển thị và can thiệp vào các kết
nối,
theo dõi các host đang trao đổi trên mạng
.
- Hỗ trợ kỹ thuật tấn công Address Resolution Protocol (ARP) spoofing hay còn
gọi là ARP flooding, ARP poisoning hay ARP Poison Routing (APR). Đó là cách
tấn công từ một máy tính trong mạng LAN, thông qua giao thức ARP và địa chỉ
MAC, IP, nó nhằm ngắt kết nối từ một hay một số máy tính với Modem, dẫn đến
tình trạng các máy tính đó không thể truy cập Internet.
- Ngoài ra còn dùng trong 1 kiểu tấn công MITM khác là giả mạo DNS (DNS
Spoofing).
2. Các chức năng chính
o SSH1 Support: bạn có thể lấy được tên người dùng và mật khẩu hoặc thậm chí là CSDL của 1 SSH1 connection.
o HTTP support: bạn có thể lấy được dữ liệu từ HTTP SSL... và ngay cả khi kết nối
được thực hiện thông qua một proxy.
o Giao thông từ xa thông qua đường hầm GRE : bạn có thể sniff lưu lượng truy
cập từ xa thông qua một đường hầm GRE từ một bộ định tuyến của Cisco và
thực hiện các cuộc tấn công MiTM vào nó.
o PPTP môi giới : bạn có thể thực hiện là 1 người dùng trong cuộc tấn công
chống lại giữa PPTP.

o Mật khẩu thu cho : Telnet, FTP, POP, RLOGIN, SSH1, ICQ, nưa, MySQL,
HTTP, nntp, X11, NAPSTER, IRC, RIP, BGP, Socks 5, IMAP 4, VNC,
LDAP, giao thức NFS, SNMP, HALF LIFE , Quake 3, MSN, YMSG.
o Lọc gói/thả : Bạn có thể thiết lập một bộ lọc mà tìm kiếm cho một chuỗi (kể
cả hex) trong TCP hay UDP Payload và thay thế nó bằng máy của bạn hoặc
drop toàn bộ gói.
o Hệ điều hành dấu vân tay: bạn có thể giả dấu vân tay hệ điều hành của các
nạn nhân và thậm chí là cả router mesh.
o Kill một kết nối: kết nối từ danh sách, bạn có thể giết chết tất cả các kết nối
bạn muốn.
Phần mềm QLM Ettercap Nhóm 6 – H09CN3
o Thụ động quét các mạng LAN: bạn có thể lấy thông tin các máy trong mạng
LAN, mở cổng, các phiên bản, loại của các máy chủ (gateway, router hoặc
đơn giảnlà 1host) và ước tính từ xa trong một bước mạng.
o Kiểm tra poisoners khác: Ettercap có khả năng chủ động hoặc thụ động tìm
poisonners khác trên mạng.
II. PHÂN TÍCH MỘT SỐ ĐẶC ĐIỂM CỦA ETTERCAP
1. Mô tả giao diện Ettercap trên giao diện Windows XP
Ettercap có thể chạy trên Dos và trên nền windows, linux. Sau đây em xin
mô tả phần mềm ettercap được cài đặt trên windows XP. Hình dưới đây sẽ cho ta
thấy giao diện của chương trình khi đang theo dõi các máy tính trong cùng mạng
LAN:
Ettercap với tính năng Network sniffer/interceptor/logger trên mạng LAN.
Công cụ này cũng hỗ trợ nhiều giao thức khác nhau. Có nhiều mức độ có thể triển
khai mang lại hiệu quả cao trong quá trình Sniffering, nhiều Plugins đã hỗ trợ. Hỗ
trợ LAN Switch và có khả năng OS fingerprint (đoán hệ điều hành của các máy
tính online trên mạng).
SNIFFer là gì?
- Là hình thức nghe nén trên hệ thống mạng, dựa trên những đặc điểm của
cơ chế TCP/IP.

- Sniffer là kĩ thuật bảo mật, được phát triển nhằm giúp đỡ những nhà quản
trị mạng khai thác mạng hiệu quả hơn và có thể kiểm tra các dữ liệu ra vào mạng.
Phần mềm QLM Ettercap Nhóm 6 – H09CN3
Chức năng:
+ Thu thập gói tin trong hệ thống.
+ Giúp quản trị mạng kiểm tra tốt hệ thống, lỗi hay các gói tin lạ.
Qua hình ảnh trên, chúng ta nhận thấy các thông tin quan trọng và những tập
tin riêng tư có thể bị đánh cắp khá dễ dàng. Để phòng ngừa các trường hợp như
vậy, chúng ta không nên tiến hành các hình thức chứng thực username và
password dưới dạng văn bản đơn thuần (không mã hóa) mà nên mã hóa chúng
bằng IPSec hay SSL.
Ettercap là một công cụ mạnh để sniffer, nó có thể bắt các gói tin kém an
toàn một cách rõ ràng. Do đó, ta nên thay các giao thức kém an toàn (Ftp, telnet,
smb) bằng các giao thức an toàn hơn, hay gia cố thêm chúng (SSL, VPN+Ipsec…).
Mô hình mạng sử dụng ettercap
Với tính năng Sniffer trên môi trường LAN Switch hiệu quả và bảo mật.
Ettercap (chương trình được mệnh danh là Lord Of The TokenRing).
Ettercap có thể giả danh địa chỉ MAC của card mạng máy tính bị tấn công, thay vì
gói tin được truyền đến máy tính cần đến thì nó lại được chuyển đến máy tính có
cài đặt ettercap trước rồi sau đó mới truyền đến máy tính đích. Đây là một dạng tấn
công rất nguy hiểm được gọi là Man In The Middle (MITM), trong trường hợp này
phiên làm việc giữa máy gửi và máy nhận vẫn diễn ra bình thường nên người sử
dụng không hề hay biết mình đang bị tấn công, giống như trường hợp bị đặt máy
nghe lén mà chúng ta thường gặp trên phim ảnh. Những chương trình dạng này
thường được gọi là sniffer.
Phần mềm QLM Ettercap Nhóm 6 – H09CN3
UniFied

Card mạng 1
Bridget


Card mạng 1 Card mạng 2
Ettercap có một sniffer mật khẩu mạnh mẽ, và có thể tìm và hiển thị mật
khẩu trong các giao thức sau đây: TELNET, FTP, POP, IMAP, rlogin, SSH1, ICQ,
SMB, MySQL, HTTP, NNTP, X11, Napster, IRC, RIP, BGP, SOCKS 5, IMAP 4,
LDAP, VNC, NFS, SNMP, Half-Life, Quake 3, MSN, YMSG
Darn, đó là một LOT các giao thức tôi có thể ăn cắp mật khẩu từ!
Sửa chữa và giả mạo DNS
Ettercap có thể đánh chặn các yêu cầu DNS, kiểm tra đối với cấu hình riêng
của mình, và trả lời lại với một IP bất hợp pháp.
Giả phản ứng xảy ra trước khi các phản ứng thực sự có thể đạt được mục
tiêu, do đó, máy tính nạn nhân bỏ qua nó.
Có thể được thực hiện dễ dàng trong chế độ "thống nhất", không có cầu nối
cần thiết.
Victim Computer The Interwebz
Ettercap
Victim Computer The Interwebz
Ettercap
Phần mềm QLM Ettercap Nhóm 6 – H09CN3
Các Plug-in của phần mềm Ettercap
Bạn có thể dùng chính ettercap để dò tìm ra chính nó cũng như các chương
trình sniffer khác trên mạng theo phương pháp Dĩ Độc Trị Độc. Ettercap có hai
plug-in rất hữu ích, một dùng để tìm kiếm các máy tính chạy chương trình ettercap
khác trên mạng và plug-in còn lại dùng để phát hiện các chương trình sniffer khả
nghi khác. Ví dụ, nếu nghi ngờ có ai đó đang “nghe lén” trên mạng, bạn khởi động
ettercap và nhấn phím P sau đó chọn plug-in đầu tiên sẽ tìm ra các máy đang chạy
ettercap. Còn khi đối phương sử dụng các chương trình khác như dsniff, ta có thể
dò tìm thông qua plug-in thứ 15 là arpcop, lúc đó một cửa sổ mới sẽ hiển thị những
máy tính đang chạy các chương trình spoofing arp trên mạng.
Khi xác nhận được đối tượng, ta có thể tiến hành cô lập máy tính này khỏi

mạng ngay lập tức bằng cách chọn P và chọn plug-in tên là leech và sau đó chọn
Yes, nhấn Enter. Một số người quản trị hệ thống còn dùng ettercap để phát hiện
các máy bị nhiễm virus đang phát tán trên mạng rồi cô lập chúng bằng leech sau đó
diệt bằng các chương trình chống virus rất hiệu quả.
2. Sơ đồ thử nghiệm
Phần mềm QLM Ettercap Nhóm 6 – H09CN3
-Có 3 máy tính :
-Một máy tính C tấn công (attacker): IP:192.168.15.3; Mac: 00:18:9A:8E:3F:DE
-Máy A: IP 192.168.15. 1; Mac 00:17:9A:8E:2F:DE
-Máy victim B: IP:192.168.15.2 ; Mac 00:16:36:2E:D2:2E
- Một switch : Kết nối 3 máy tính trên.
-Trên máy tấn công C cài đặt phần Ettercap.
Trên máy tinh C (Attacker): Các bước thực hiện ARP Spoofing
Máy Tính
A
Máy Tính
B
Máy Tính
C
Attacke
r
Victim
Switch
Phần mềm QLM Ettercap Nhóm 6 – H09CN3
Máy tính C Attacker muốn thực hiện ARP attack đối với máy Victim B .
Attacker muốn mọi gói tin máy A truyền tới máy Victim B đều có thể chụp lại
được để xem trộm. Làm thế nào để Attacker có thể hiện được điều đó?
Đầu tiên, máy A muốn gởi dữ liệu cho Victim. máy A cần phải biết địa chỉ MAC
của Victim (B) để liên lạc. máy A sẽ gửi broadcast ARP Request tới tất cả các máy
trong cùng mạng Lan để hỏi xem IP 192.168.15.2 (IP của Victim) có địa chỉ MAC

là bao nhiêu.
- Attacker C, Victim B đều nhận được gói tin ARP Request, nhưng chỉ có
Victim B là gửi lại gói tin ARP Reply lại cho HostA. ARP Reply chứa thông tin về
IP của Victim B, MAC Victim, MAC máy A
Sau khi nhận được gói tin ARP Reply từ Victim, máy A đã biết được địa chỉ
MAC của Victim B. máy A bắt đầu thực hiện liên lạc, truyền dữ liệu tới Victim.
Attacker C không thể xem nội dung dữ liệu được truyền giữa 2 máy (máy A và
Victim B)
1
Mở Ettercap ở chế độ đồ hoạ #
ettercap -G
2
Chọn chế độ sniff:
sniff/Unified sniffing
3
5
Scan cac hosts: hosts/scan for
hosts
Xem địa chỉ Mac và IP cac máy trong mạng: hosts/ hosts
list
4
Chọn máy B đề đầu độc: chọn dòng chứa
192.168.15.2 nhấn nút Target 1
Hiện 2 máy: máy A: IP 192.168.15. 1; Mac 00:17:9A:8E:2F:DE
Máy B: IP:192.168.15.2 ; Mac 00:16:36:2E:D2:2E
6
7
Kiểm tra mục tiêu: Targets/ current Targets
8
Bắt đầu đầu độc ARP: Mitm/ Arp

poisoning Targets
9
Bắt đầu Sniffer: start/ sniffing