Ettercap (中間者攻撃ツール)を使用してARPスプーフィングを行う方法
Ettercapのインストール
apt install ettercap
だとインストールが出来なかった。
現在は下記コマンドでGUI・CUIをそれぞれインストールするらしい。
┌──(root㉿kali)-[~] └─# apt install ettercap-graphical ┌──(root㉿kali)-[~] └─# apt install ettercap-text-only
GUIモードで起動
GUIモードで起動する場合はオプションに -G
を付与します。
┌──(root㉿kali)-[~] └─# ettercap -G
CUIモードで起動
CUIモードで起動する場合はオプションに -T
を付与します。
┌──(root㉿kali)-[~] └─# ettercap -T
IPアドレスの確認
攻撃端末のIPアドレスとMACアドレス
IPアドレス:192.168.28.3
MACアドレス:08:00:27:06:b1:3c
┌──(root㉿kali)-[/home/kali] └─# ifconfig eth0 eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500 inet 192.168.28.3 netmask 255.255.255.0 broadcast 192.168.28.255 inet6 fe80::1b11:4e1d:a933:c4ef prefixlen 64 scopeid 0x20<link> ether 08:00:27:06:b1:3c txqueuelen 1000 (イーサネット) RX packets 26 bytes 13302 (12.9 KiB) RX errors 0 dropped 0 overruns 0 frame 0 TX packets 34 bytes 10854 (10.5 KiB) TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
標的端末のIPアドレスとMACアドレス
IPアドレス:192.168.28.5
MACアドレス:08:00:27:e8:93:df
┌──(root㉿kali)-[/home/kali] └─# ifconfig eth0 eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500 inet 192.168.28.5 netmask 255.255.255.0 broadcast 192.168.28.255 inet6 fe80::6fb3:f5e5:8e65:ea07 prefixlen 64 scopeid 0x20<link> ether 08:00:27:e8:93:df txqueuelen 1000 (イーサネット) RX packets 423 bytes 44168 (43.1 KiB) RX errors 0 dropped 0 overruns 0 frame 0 TX packets 54 bytes 13270 (12.9 KiB) TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
Ettercapの起動
今回はGUIモードで起動するので下記コマンドを実行します。
┌──(root㉿kali)-[/home/kali] └─# ettercap -G ettercap 0.8.3.1 copyright 2001-2020 Ettercap Development Team
起動すると上記のような画面が表示されます。
同一ネットワーク内にある端末のスキャン
画面右上のメニューからHosts→Scan for hosts
をクリックします。
すると、同一ネットワーク内にある端末のIPアドレスが一覧で表示されます。
標的端末のIPアドレスの登録
この中からゲートウェイ(ルータ)と標的端末を見つけます。
ゲートウェイは192.168.28.1
です。 Host listからそのアドレスを選んでAdd to Target 1
ボタンをクリックしまします。標的端末のIPアドレスは192.168.28.5
なので、同様にHost listからそのアドレスを選んで、今度はAdd to Target 2
ボタンをクリックしまします。
ARPスプーフィングの実行
標的端末を2つ追加出来したらMitm > ARP poisoning
を選択します。ダイアログが表示されるのでSniff remote connections.
にチェックが付居ていることを確認してOKボタンをクリックします。
これで各ターゲットにARPスプーフィングが行えたはずです。 次にWiresharkを用いてパケット通信を確認してみます。
ARPスプーフィング実行結果の確認
Wiresharkを起動する
Wiresharkを起動してarpでフィルタリングをかけてみました。 標的の端末IPアドレスが攻撃者のMACアドレスに書き換えられて大量に流れ込んでいる分かります。
まとめ
https://security-record.com/entry/2023/06/17/151108
前回arpspoofコマンドを使って同様にARPスプーフィングを試みてみましたが、EttercapはGUIが提供されているため、非常に直感的にARPスプーフィングが実施できました。
ARPスプーフィングはSSLストリップ攻撃の前段にもなる非常に危険な攻撃なのですが、このような手軽なツールで誰でもハッキングが出来てしまうようです。