LabEx
EntrarJunte-se

Spoofing ARP no Ettercap

NmapBeginner
Pratique Agora

Introdução

Neste laboratório, você aprenderá como conduzir ataques de ARP spoofing usando o Ettercap, um conjunto abrangente para ataques man-in-the-middle. Você explorará a descoberta de dispositivos de rede com arp-scan e nmap, e então praticará a interceptação de tráfego entre alvos através de ARP poisoning.

O exercício oferece experiência prática na execução e monitoramento de ataques de ARP spoofing em um ambiente controlado. Você aprenderá comandos essenciais para cada fase do ataque, ao mesmo tempo em que compreende as implicações de segurança do mundo real e as técnicas de mitigação.

Instalar o Ettercap

Nesta etapa, você instalará o Ettercap, uma poderosa ferramenta de segurança de rede usada para ataques man-in-the-middle em redes de área local (LAN). Antes de começarmos, vamos entender o que o Ettercap faz: ele permite interceptar, analisar e modificar o tráfego de rede entre dispositivos na mesma rede. Isso inclui recursos como ARP poisoning (que usaremos neste laboratório), sniffing de conexão ao vivo e várias capacidades de análise de rede.

Primeiro, precisamos atualizar a lista de pacotes no seu sistema Linux. Isso garante que você instalará a versão mais recente do Ettercap disponível:

sudo apt update

O comando sudo concede a você privilégios de administrador, enquanto apt update atualiza a lista de pacotes de software disponíveis do seu sistema.

Em seguida, instalaremos o Ettercap com este comando:

sudo apt install -y ettercap-text

Aqui está o que está acontecendo neste comando:

  • sudo apt install é a maneira padrão de instalar software em sistemas Debian/Ubuntu
  • A flag -y diz automaticamente "sim" a quaisquer prompts durante a instalação
  • Estamos instalando especificamente ettercap-text (a versão somente texto) porque:
    1. É mais estável para o nosso ambiente de linha de comando
    2. Usa menos recursos do sistema do que a versão gráfica
    3. É mais adequado para conexões remotas e tarefas automatizadas

Após a conclusão da instalação, vamos verificar se tudo funcionou corretamente, verificando a versão instalada:

ettercap --version

Você deve ver uma saída mostrando o número da versão e informações de compilação, semelhante a:

Ettercap 0.8.3.1 (built on ...)

Isso confirma que o Ettercap está devidamente instalado e pronto para uso. Ao longo deste laboratório, usaremos a interface de texto do Ettercap porque:

  • É mais confiável em nosso ambiente de máquina virtual LabEx
  • Fornece toda a funcionalidade que precisamos para ARP spoofing
  • Ajuda você a se sentir confortável com ferramentas de rede de linha de comando

Identificar Dispositivos Alvo

Antes de lançar um ataque de ARP spoofing, precisamos primeiro identificar os alvos potenciais em nossa rede local. O ARP spoofing funciona enganando os dispositivos para que pensem que somos outra pessoa na rede, então precisamos saber quais dispositivos estão realmente presentes. Usaremos duas ferramentas essenciais de varredura de rede: arp-scan para descoberta rápida de dispositivos e nmap para informações mais detalhadas.

Primeiro, vamos garantir que temos as ferramentas necessárias instaladas. Execute este comando para instalar ambos os utilitários:

sudo apt install -y arp-scan nmap

Em seguida, precisamos determinar qual interface de rede nos conecta à rede local. Na maioria dos casos, especialmente na VM LabEx, esta será eth0. Para verificar suas interfaces disponíveis e encontrar a correta:

ip a

Procure a interface que possui um endereço IP real atribuído (não será o endereço de loopback 127.0.0.1). Esta é a interface que usaremos para a varredura. Agora podemos escanear nossa rede local para descobrir todos os dispositivos conectados:

sudo arp-scan --interface=eth0 --localnet

Este comando envia solicitações ARP para todos os endereços IP possíveis em sua sub-rede e ouve as respostas. Você verá uma saída listando todos os dispositivos ativos, seus endereços IP, endereços MAC e, às vezes, informações do fabricante:

192.168.1.1   00:11:22:33:44:55   Router Manufacturer
192.168.1.2   aa:bb:cc:dd:ee:ff   Target Device

Para um exame mais detalhado de um alvo específico, podemos usar o nmap. Isso é particularmente útil para entender quais serviços estão sendo executados no dispositivo alvo:

sudo nmap -sV 192.168.1.2

A flag -sV diz ao nmap para sondar as portas abertas e determinar as informações de serviço/versão. Escolha um dispositivo dos resultados da sua varredura como seu alvo para o ataque de ARP spoofing (é uma boa prática evitar direcionar a infraestrutura de rede, como roteadores ou gateways, durante exercícios de aprendizado).

Iniciar ARP Spoofing

Nesta etapa, você usará o Ettercap para realizar ARP spoofing entre o dispositivo alvo e o roteador. ARP spoofing é uma técnica em que um invasor envia mensagens ARP falsas para associar seu endereço MAC ao endereço IP de outro dispositivo. Este ataque permitirá que você intercepte o tráfego de rede entre o alvo e o roteador, fazendo com que eles se comuniquem através de sua máquina.

Antes de começar, você precisa identificar três informações-chave:

  1. O nome da sua interface de rede (geralmente eth0 na VM LabEx)
  2. O endereço IP do roteador/gateway (por exemplo, 192.168.1.1)
  3. O endereço IP do dispositivo alvo (por exemplo, 192.168.1.2)

Para lançar o ataque, abra seu terminal e execute o Ettercap no modo texto com este comando:

sudo ettercap -T -i eth0 -M arp:remote /192.168.1.1// /192.168.1.2//

Vamos detalhar o que cada parte deste comando faz:

  • sudo: Executa o comando com privilégios de root (necessário para operações de rede)
  • -T: Habilita a interface do modo texto (em vez de gráfica)
  • -i eth0: Especifica qual interface de rede usar
  • -M arp:remote: Ativa o módulo de ARP poisoning
  • Os dois últimos argumentos especificam os endereços IP do roteador e do alvo no formato /IP// (substitua-os pelos seus IPs reais)

Quando o ataque for iniciado com sucesso, o Ettercap exibirá uma saída mostrando os dispositivos envenenados e seus endereços MAC:

ARP poisoning victims:
 GROUP 1 : 192.168.1.1 00:11:22:33:44:55
 GROUP 2 : 192.168.1.2 AA:BB:CC:DD:EE:FF

Para confirmar que o ataque está funcionando, você pode verificar a tabela ARP da sua máquina com:

arp -a

Se for bem-sucedido, você verá que o roteador e o dispositivo alvo agora mostram o endereço MAC da sua máquina em vez de seus endereços MAC reais. Isso significa que todo o tráfego entre eles está sendo roteado através do seu sistema.

Capturar Tráfego Spoofed

Nesta etapa, você capturará e analisará o tráfego de rede que flui entre o dispositivo alvo e o roteador usando o Wireshark e o tcpdump. Isso demonstrará a eficácia do seu ataque de ARP spoofing. Quando o ARP spoofing for bem-sucedido, todo o tráfego entre o alvo e o roteador passará por sua máquina, permitindo que você o inspecione.

Primeiro, vamos instalar o Wireshark no modo de linha de comando. O Wireshark é um poderoso analisador de protocolo de rede, e o tshark é sua contraparte de linha de comando:

sudo apt install -y wireshark-common tshark

Antes de capturar o tráfego, é uma boa prática criar um diretório dedicado para seus arquivos de captura. Isso mantém seu projeto organizado e facilita a localização dos arquivos posteriormente:

mkdir -p ~/project/captures

Agora usaremos o tcpdump para capturar o tráfego de rede real. Abra uma nova janela de terminal para este comando, pois ele será executado continuamente até ser interrompido. A flag -i eth0 especifica a interface de rede, e -w salva a saída em um arquivo:

sudo tcpdump -i eth0 -w ~/project/captures/spoofed_traffic.pcap

Deixe isso rodar por alguns minutos para capturar tráfego significativo. Durante esse tempo, a atividade normal da rede entre o alvo e o roteador será registrada. Quando estiver pronto, pressione Ctrl+C para parar a captura.

Para analisar o tráfego capturado, usaremos o tshark. Este comando lê o arquivo de captura e exibe um resumo de todos os pacotes capturados:

tshark -r ~/project/captures/spoofed_traffic.pcap

Para uma análise mais focada, podemos filtrar especificamente o tráfego HTTP. Isso é útil para examinar solicitações e respostas da web:

tshark -r ~/project/captures/spoofed_traffic.pcap -Y "http"

Particularmente importante é examinar as solicitações POST, pois elas geralmente contêm dados sensíveis, como credenciais de login. Este comando filtra apenas essas solicitações:

tshark -r ~/project/captures/spoofed_traffic.pcap -Y "http.request.method == POST"

Finalizar o Ataque

Nesta etapa, você encerrará corretamente o ataque de ARP spoofing e restaurará as operações normais da rede. Esta é uma etapa crítica para garantir a integridade da rede após seus testes de segurança. O ARP spoofing deixa a rede em um estado alterado, então precisamos desfazer cuidadosamente essas alterações.

Primeiro, pare o processo do Ettercap. Se você ainda estiver na janela do terminal do Ettercap, pressione q para sair de forma adequada. Isso envia um sinal de terminação adequado para o Ettercap. Se você fechou o terminal, precisamos encontrar e matar o processo manualmente:

sudo pkill -f ettercap

Em seguida, precisamos limpar o cache ARP em sua máquina para remover quaisquer entradas envenenadas. O cache ARP armazena mapeamentos de endereço IP para endereço MAC, e durante o ataque, eles foram modificados. O seguinte comando limpa completamente todas as entradas de vizinhos/ARP:

sudo ip -s -s neigh flush all

Vamos verificar se o cache ARP foi limpo corretamente. Isso nos mostra as entradas atuais da tabela ARP:

arp -a

A saída agora deve mostrar os endereços MAC corretos para os dispositivos em sua rede, correspondendo aos seus endereços de hardware reais. Para garantir uma limpeza completa, reiniciaremos a interface de rede. Isso redefine todas as configurações de rede:

sudo ifconfig eth0 down && sudo ifconfig eth0 up

Finalmente, verifique se a conectividade de rede foi totalmente restaurada fazendo ping no seu gateway. Isso confirma que as operações normais da rede foram retomadas:

ping -c 4 192.168.1.1

Você deve ver respostas de ping normais sem perda de pacotes, indicando que a rede está funcionando corretamente novamente. Se você encontrar problemas, pode ser necessário reiniciar os serviços de rede ou reiniciar os dispositivos afetados.

Resumo

Neste laboratório, você aprendeu como executar ataques de ARP spoofing usando a interface de linha de comando do Ettercap. O exercício guiou você pela instalação do Ettercap-text, identificando alvos de rede com arp-scan e nmap, e lançando ataques MITM (Man-in-the-Middle) envenenando os caches ARP.

Você praticou a interceptação do tráfego de rede entre dispositivos spoofed e a terminação adequada dos ataques para restaurar as operações normais. Este laboratório demonstrou técnicas essenciais de envenenamento ARP, ao mesmo tempo em que destacou a importância do reconhecimento de rede em avaliações de segurança cibernética.

Relacionados Nmap Cursos
Nmap para Iniciantes

Nmap para Iniciantes

cybersecuritynmaplinux
Varredura de Rede Prática com Nmap no Linux

Varredura de Rede Prática com Nmap no Linux

cybersecuritynmaplinux
Análise com Nmap e Acesso Telnet

Análise com Nmap e Acesso Telnet

cybersecuritynmaplinux