LabEx
AnmeldenKostenlos beitreten

ARP-Spoofing in Ettercap

NmapNmapBeginner
Jetzt üben

💡 Dieser Artikel wurde von AI-Assistenten übersetzt. Um die englische Version anzuzeigen, können Sie hier klicken

Einführung

In diesem Lab lernen Sie, wie Sie ARP-Spoofing-Angriffe mit Ettercap durchführen können. Ettercap ist eine umfassende Suite für Man-in-the-Middle-Angriffe. Sie werden die Netzwerkgerätesuche mit arp-scan und nmap erkunden und dann üben, wie Sie den Datenverkehr zwischen Zielen durch ARP-Poisoning abfangen.

Diese Übung bietet praktische Erfahrungen bei der Ausführung und Überwachung von ARP-Spoofing-Angriffen in einer kontrollierten Umgebung. Sie werden die wesentlichen Befehle für jede Angriffsphase lernen und gleichzeitig die Sicherheitsauswirkungen und Abwehrtechniken in der realen Welt verstehen.

Skills Graph

%%%%{init: {'theme':'neutral'}}%%%% flowchart RL nmap(("Nmap")) -.-> nmap/NmapGroup(["Nmap"]) wireshark(("Wireshark")) -.-> wireshark/WiresharkGroup(["Wireshark"]) hydra(("Hydra")) -.-> hydra/HydraGroup(["Hydra"]) nmap/NmapGroup -.-> nmap/installation("Installation and Setup") nmap/NmapGroup -.-> nmap/host_discovery("Host Discovery Techniques") nmap/NmapGroup -.-> nmap/service_detection("Service Detection") wireshark/WiresharkGroup -.-> wireshark/installation("Installation and Setup") wireshark/WiresharkGroup -.-> wireshark/packet_capture("Packet Capture") wireshark/WiresharkGroup -.-> wireshark/packet_analysis("Packet Analysis") hydra/HydraGroup -.-> hydra/installation("Installation and Setup") subgraph Lab Skills nmap/installation -.-> lab-549950{{"ARP-Spoofing in Ettercap"}} nmap/host_discovery -.-> lab-549950{{"ARP-Spoofing in Ettercap"}} nmap/service_detection -.-> lab-549950{{"ARP-Spoofing in Ettercap"}} wireshark/installation -.-> lab-549950{{"ARP-Spoofing in Ettercap"}} wireshark/packet_capture -.-> lab-549950{{"ARP-Spoofing in Ettercap"}} wireshark/packet_analysis -.-> lab-549950{{"ARP-Spoofing in Ettercap"}} hydra/installation -.-> lab-549950{{"ARP-Spoofing in Ettercap"}} end

Installieren von Ettercap

In diesem Schritt werden Sie Ettercap installieren, ein leistungsstarkes Netzwerksicherheitstool, das für Man-in-the-Middle-Angriffe in lokalen Netzwerken (LAN) verwendet wird. Bevor wir beginnen, verstehen wir zunächst, was Ettercap kann: Es ermöglicht Ihnen, den Netzwerkdatenverkehr zwischen Geräten im gleichen Netzwerk zu interceptieren, zu analysieren und zu modifizieren. Dazu gehören Funktionen wie ARP-Poisoning (das wir in diesem Lab verwenden werden), Live-Verbindungssniffing und verschiedene Netzwerkanalysefunktionen.

Zunächst müssen wir die Paketliste auf Ihrem Linux-System aktualisieren. Dadurch wird sichergestellt, dass Sie die neueste verfügbare Version von Ettercap installieren:

sudo apt update

Der Befehl sudo gibt Ihnen Administratorrechte, während apt update die Liste der verfügbaren Softwarepakete auf Ihrem System aktualisiert.

Als Nächstes installieren wir Ettercap mit diesem Befehl:

sudo apt install -y ettercap-text

Hier ist, was in diesem Befehl passiert:

  • sudo apt install ist die Standardmethode, um Software auf Debian/Ubuntu-Systemen zu installieren.
  • Das -y-Flag gibt automatisch "ja" für alle Abfragen während der Installation an.
  • Wir installieren speziell ettercap-text (die textbasierte Version), weil:
    1. Sie für unsere Befehlszeilenumgebung stabiler ist.
    2. Sie weniger Systemressourcen als die grafische Version verbraucht.
    3. Sie besser für Remote-Verbindungen und automatisierte Aufgaben geeignet ist.

Nach Abschluss der Installation überprüfen wir, ob alles korrekt funktioniert hat, indem wir die installierte Version überprüfen:

ettercap --version

Sie sollten eine Ausgabe sehen, die die Versionsnummer und Build-Informationen anzeigt, ähnlich wie:

Ettercap 0.8.3.1 (built on ...)

Dies bestätigt, dass Ettercap richtig installiert und einsatzbereit ist. In diesem gesamten Lab werden wir die Text-Schnittstelle von Ettercap verwenden, weil:

  • Sie in unserer LabEx-Virtual Machine-Umgebung zuverlässiger ist.
  • Sie alle Funktionen bietet, die wir für ARP-Spoofing benötigen.
  • Sie Ihnen hilft, sich mit Befehlszeilen-Netzwerktools vertraut zu machen.

Identifizieren von Zielgeräten

Bevor wir einen ARP-Spoofing-Angriff starten, müssen wir zunächst potenzielle Ziele in unserem lokalen Netzwerk identifizieren. ARP-Spoofing funktioniert, indem wir Geräte dazu bringen, uns als jemand anderen im Netzwerk zu halten. Daher müssen wir wissen, welche Geräte tatsächlich vorhanden sind. Wir werden zwei essentielle Netzwerk-Scanning-Tools verwenden: arp-scan für eine schnelle Geräteerkennung und nmap für detailliertere Informationen.

Zunächst stellen wir sicher, dass wir die erforderlichen Tools installiert haben. Führen Sie diesen Befehl aus, um beide Utilities zu installieren:

sudo apt install -y arp-scan nmap

Als Nächstes müssen wir ermitteln, welche Netzwerkschnittstelle uns mit dem lokalen Netzwerk verbindet. In den meisten Fällen, insbesondere in der LabEx-VM, wird dies eth0 sein. Um Ihre verfügbaren Schnittstellen zu überprüfen und die richtige zu finden:

ip a

Suchen Sie nach der Schnittstelle, der tatsächlich eine IP-Adresse zugewiesen ist (es wird nicht die Loopback-Adresse 127.0.0.1 sein). Dies ist die Schnittstelle, die wir für das Scannen verwenden werden. Jetzt können wir unser lokales Netzwerk scannen, um alle verbundenen Geräte zu entdecken:

sudo arp-scan --interface=eth0 --localnet

Dieser Befehl sendet ARP-Anfragen an alle möglichen IP-Adressen in Ihrem Subnetz und hört auf Antworten. Sie werden eine Ausgabe sehen, die alle aktiven Geräte, ihre IP-Adressen, MAC-Adressen und manchmal Herstellerinformationen auflistet:

192.168.1.1   00:11:22:33:44:55   Router Manufacturer
192.168.1.2   aa:bb:cc:dd:ee:ff   Target Device

Für eine detailliertere Untersuchung eines bestimmten Ziels können wir nmap verwenden. Dies ist besonders nützlich, um zu verstehen, welche Dienste auf dem Zielgerät laufen:

sudo nmap -sV 192.168.1.2

Das -sV-Flag teilt nmap mit, offene Ports zu prüfen und Dienst-/Versionsinformationen zu ermitteln. Wählen Sie ein Gerät aus Ihren Scanergebnissen als Ziel für den ARP-Spoofing-Angriff aus (es ist eine bewährte Methode, Netzwerkinfrastruktur wie Router oder Gateways während Lernübungen nicht als Ziel zu wählen).

Starten des ARP-Spoofings

In diesem Schritt werden Sie Ettercap verwenden, um ARP-Spoofing zwischen dem Zielgerät und dem Router durchzuführen. ARP-Spoofing ist eine Technik, bei der ein Angreifer gefälschte ARP-Nachrichten sendet, um seine MAC-Adresse mit der IP-Adresse eines anderen Geräts zu verknüpfen. Dieser Angriff ermöglicht es Ihnen, den Netzwerkdatenverkehr zwischen Zielgerät und Router zu interceptieren, indem Sie bewirken, dass sie über Ihre Maschine kommunizieren.

Bevor Sie beginnen, müssen Sie drei Schlüsselinformationen identifizieren:

  1. Der Name Ihrer Netzwerkschnittstelle (normalerweise eth0 in der LabEx-VM)
  2. Die IP-Adresse des Routers/Gateways (z.B. 192.168.1.1)
  3. Die IP-Adresse des Zielgeräts (z.B. 192.168.1.2)

Um den Angriff zu starten, öffnen Sie Ihr Terminal und führen Sie Ettercap im Textmodus mit diesem Befehl aus:

sudo ettercap -T -i eth0 -M arp:remote /192.168.1.1// /192.168.1.2//

Lassen Sie uns analysieren, was jeder Teil dieses Befehls tut:

  • sudo: Führt den Befehl mit Root-Rechten aus (erforderlich für Netzwerkoperationen)
  • -T: Aktiviert die Textmodus-Schnittstelle (anstatt der grafischen)
  • -i eth0: Gibt an, welche Netzwerkschnittstelle verwendet werden soll
  • -M arp:remote: Aktiviert das ARP-Poisoning-Modul
  • Die letzten beiden Argumente geben die IP-Adressen des Routers und des Ziels im Format /IP// an (ersetzen Sie diese durch Ihre tatsächlichen IPs)

Wenn der Angriff erfolgreich startet, wird Ettercap eine Ausgabe anzeigen, die die vergifteten Geräte und ihre MAC-Adressen zeigt:

ARP poisoning victims:
 GROUP 1 : 192.168.1.1 00:11:22:33:44:55
 GROUP 2 : 192.168.1.2 AA:BB:CC:DD:EE:FF

Um zu bestätigen, dass der Angriff funktioniert, können Sie die ARP-Tabelle Ihrer Maschine mit folgendem Befehl überprüfen:

arp -a

Wenn der Angriff erfolgreich ist, werden Sie sehen, dass sowohl der Router als auch das Zielgerät jetzt die MAC-Adresse Ihrer Maschine anstelle ihrer tatsächlichen MAC-Adressen anzeigen. Dies bedeutet, dass der gesamte Datenverkehr zwischen ihnen über Ihr System geleitet wird.

Aufzeichnung des gefälschten Datenverkehrs

In diesem Schritt werden Sie den Netzwerkdatenverkehr zwischen dem Zielgerät und dem Router mit Wireshark und tcpdump aufzeichnen und analysieren. Dies wird die Wirksamkeit Ihres ARP-Spoofing-Angriffs demonstrieren. Wenn das ARP-Spoofing erfolgreich ist, wird der gesamte Datenverkehr zwischen Zielgerät und Router über Ihre Maschine geleitet, sodass Sie ihn untersuchen können.

Zunächst installieren wir Wireshark im Befehlszeilenmodus. Wireshark ist ein leistungsstarker Netzwerkprotokoll-Analyzer, und tshark ist seine Befehlszeilen-Version:

sudo apt install -y wireshark-common tshark

Bevor Sie den Datenverkehr aufzeichnen, ist es eine gute Praxis, ein spezielles Verzeichnis für Ihre Aufzeichnungsdateien zu erstellen. Dies hält Ihr Projekt organisiert und erleichtert die spätere Suche nach den Dateien:

mkdir -p ~/project/captures

Jetzt verwenden wir tcpdump, um den eigentlichen Netzwerkdatenverkehr aufzuzeichnen. Öffnen Sie ein neues Terminalfenster für diesen Befehl, da er kontinuierlich läuft, bis er gestoppt wird. Das -i eth0-Flag gibt die Netzwerkschnittstelle an, und -w speichert die Ausgabe in einer Datei:

sudo tcpdump -i eth0 -w ~/project/captures/spoofed_traffic.pcap

Lassen Sie diesen Befehl einige Minuten laufen, um sinnvollen Datenverkehr aufzuzeichnen. In dieser Zeit wird die normale Netzwerkaktivität zwischen Zielgerät und Router aufgezeichnet. Wenn Sie fertig sind, drücken Sie Strg+C, um die Aufzeichnung zu stoppen.

Um den aufgezeichneten Datenverkehr zu analysieren, verwenden wir tshark. Dieser Befehl liest die Aufzeichnungsdatei und zeigt eine Zusammenfassung aller aufgezeichneten Pakete an:

tshark -r ~/project/captures/spoofed_traffic.pcap

Für eine gezieltere Analyse können wir uns speziell auf HTTP-Datenverkehr konzentrieren. Dies ist nützlich, um Web-Anfragen und -Antworten zu untersuchen:

tshark -r ~/project/captures/spoofed_traffic.pcap -Y "http"

Besonders wichtig ist die Untersuchung von POST-Anfragen, da diese oft sensible Daten wie Anmeldeinformationen enthalten. Dieser Befehl filtert nur diese Anfragen:

tshark -r ~/project/captures/spoofed_traffic.pcap -Y "http.request.method == POST"

Beenden des Angriffs

In diesem Schritt werden Sie den ARP-Spoofing-Angriff ordnungsgemäß beenden und die normalen Netzwerkoperationen wiederherstellen. Dies ist ein kritischer Schritt, um die Integrität des Netzwerks nach Ihrer Sicherheitsüberprüfung sicherzustellen. Das ARP-Spoofing lässt das Netzwerk in einem veränderten Zustand, daher müssen wir diese Änderungen sorgfältig rückgängig machen.

Zunächst stoppen Sie den Ettercap-Prozess. Wenn Sie sich noch im Ettercap-Terminalfenster befinden, drücken Sie q, um es ordnungsgemäß zu beenden. Dadurch wird ein korrektes Beendigungssignal an Ettercap gesendet. Wenn Sie das Terminal geschlossen haben, müssen wir den Prozess manuell finden und beenden:

sudo pkill -f ettercap

Als Nächstes müssen wir den ARP-Cache auf Ihrer Maschine leeren, um alle vergifteten Einträge zu entfernen. Der ARP-Cache speichert die Zuordnungen von IP- zu MAC-Adressen, und diese wurden während des Angriffs geändert. Der folgende Befehl löscht gründlich alle Nachbar- bzw. ARP-Einträge:

sudo ip -s -s neigh flush all

Lassen Sie uns überprüfen, ob der ARP-Cache ordnungsgemäß geleert wurde. Dieser Befehl zeigt uns die aktuellen Einträge in der ARP-Tabelle:

arp -a

Die Ausgabe sollte jetzt die richtigen MAC-Adressen für die Geräte in Ihrem Netzwerk anzeigen, die mit ihren tatsächlichen Hardwareadressen übereinstimmen. Um eine vollständige Bereinigung sicherzustellen, werden wir die Netzwerkschnittstelle neu starten. Dadurch werden alle Netzwerkeinstellungen zurückgesetzt:

sudo ifconfig eth0 down && sudo ifconfig eth0 up

Abschließend überprüfen Sie, ob die Netzwerkverbindung vollständig wiederhergestellt ist, indem Sie Ihren Gateway pingen. Dies bestätigt, dass die normalen Netzwerkoperationen wieder aufgenommen wurden:

ping -c 4 192.168.1.1

Sie sollten normale Ping-Antworten ohne Paketverlust sehen, was darauf hinweist, dass das Netzwerk wieder ordnungsgemäß funktioniert. Wenn Sie Probleme haben, müssen Sie möglicherweise die Netzwerkdienste neu starten oder die betroffenen Geräte neu starten.

Zusammenfassung

In diesem Lab haben Sie gelernt, wie Sie ARP-Spoofing-Angriffe mithilfe der Befehlszeilenschnittstelle von Ettercap ausführen können. Übung hat Sie durch die Installation von Ettercap-text geführt, das Identifizieren von Netzwerkzielen mit arp-scan und nmap sowie das Starten von Man-in-the-Middle (MITM)-Angriffen durch das Vergiften von ARP-Caches.

Sie haben das Abfangen von Netzwerkdatenverkehr zwischen gefälschten Geräten geübt und das ordnungsgemäße Beenden von Angriffen, um die normalen Operationen wiederherzustellen. Dieses Lab hat wesentliche ARP-Vergiftungstechniken demonstriert und zugleich die Bedeutung der Netzwerkrecherche in Cybersicherheitsbewertungen hervorgehoben.

Verwandt Nmap Kurse
Schnellstart mit Nmap

Schnellstart mit Nmap

CybersecurityNmap
Anfänger