• Ettercap (中間者攻撃ツール)を使用してARPスプーフィングを行う方法
  • Ettercapのインストール
    • GUIモードで起動
    • CUIモードで起動
  • IPアドレスの確認
    • 攻撃端末のIPアドレスとMACアドレス
    • 標的端末のIPアドレスとMACアドレス
  • Ettercapの起動
    • 同一ネットワーク内にある端末のスキャン
    • 標的端末のIPアドレスの登録
    • ARPスプーフィングの実行
  • ARPスプーフィング実行結果の確認
    • Wiresharkを起動する
  • まとめ
  • 参考

Ettercap (中間者攻撃ツール)を使用してARPスプーフィングを行う方法

Ettercapのインストール

apt install ettercapだとインストールが出来なかった。 現在は下記コマンドでGUI・CUIをそれぞれインストールするらしい。

┌──(root㉿kali)-[~]
└─# apt install ettercap-graphical

┌──(root㉿kali)-[~]
└─# apt install ettercap-text-only

GUIモードで起動

GUIモードで起動する場合はオプションに -G を付与します。

┌──(root㉿kali)-[~]
└─# ettercap -G  

CUIモードで起動

CUIモードで起動する場合はオプションに -T を付与します。

┌──(root㉿kali)-[~]
└─# ettercap -T

IPアドレスの確認

攻撃端末のIPアドレスとMACアドレス

IPアドレス：192.168.28.3
MACアドレス：08:00:27:06:b1:3c

┌──(root㉿kali)-[/home/kali]
└─# ifconfig eth0
eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 192.168.28.3  netmask 255.255.255.0  broadcast 192.168.28.255
        inet6 fe80::1b11:4e1d:a933:c4ef  prefixlen 64  scopeid 0x20<link>
        ether 08:00:27:06:b1:3c  txqueuelen 1000  (イーサネット)
        RX packets 26  bytes 13302 (12.9 KiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 34  bytes 10854 (10.5 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

標的端末のIPアドレスとMACアドレス

IPアドレス：192.168.28.5
MACアドレス：08:00:27:e8:93:df

┌──(root㉿kali)-[/home/kali]
└─# ifconfig eth0                  
eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 192.168.28.5  netmask 255.255.255.0  broadcast 192.168.28.255
        inet6 fe80::6fb3:f5e5:8e65:ea07  prefixlen 64  scopeid 0x20<link>
        ether 08:00:27:e8:93:df  txqueuelen 1000  (イーサネット)
        RX packets 423  bytes 44168 (43.1 KiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 54  bytes 13270 (12.9 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

Ettercapの起動

今回はGUIモードで起動するので下記コマンドを実行します。

┌──(root㉿kali)-[/home/kali]
└─# ettercap -G

ettercap 0.8.3.1 copyright 2001-2020 Ettercap Development Team

起動すると上記のような画面が表示されます。

同一ネットワーク内にある端末のスキャン

画面右上のメニューからHosts→Scan for hostsをクリックします。 すると、同一ネットワーク内にある端末のIPアドレスが一覧で表示されます。

標的端末のIPアドレスの登録

この中からゲートウェイ(ルータ)と標的端末を見つけます。 ゲートウェイは192.168.28.1です。 Host listからそのアドレスを選んでAdd to Target 1ボタンをクリックしまします。標的端末のIPアドレスは192.168.28.5なので、同様にHost listからそのアドレスを選んで、今度はAdd to Target 2ボタンをクリックしまします。

ARPスプーフィングの実行

標的端末を2つ追加出来したらMitm > ARP poisoningを選択します。ダイアログが表示されるのでSniff remote connections.にチェックが付居ていることを確認してOKボタンをクリックします。

これで各ターゲットにARPスプーフィングが行えたはずです。 次にWiresharkを用いてパケット通信を確認してみます。

ARPスプーフィング実行結果の確認

Wiresharkを起動する

Wiresharkを起動してarpでフィルタリングをかけてみました。 標的の端末IPアドレスが攻撃者のMACアドレスに書き換えられて大量に流れ込んでいる分かります。

まとめ

https://security-record.com/entry/2023/06/17/151108

前回arpspoofコマンドを使って同様にARPスプーフィングを試みてみましたが、EttercapはGUIが提供されているため、非常に直感的にARPスプーフィングが実施できました。

ARPスプーフィングはSSLストリップ攻撃の前段にもなる非常に危険な攻撃なのですが、このような手軽なツールで誰でもハッキングが出来てしまうようです。

参考

https://security-record.com/entry/2023/06/17/151108