2. Ettercap
Ettercap es un interceptor/sniffer/registrador para LANs con switch. Soporta
direcciones activas y pasivas de varios protocolos (incluso aquellos cifrados, como
SSH y HTTPS).
También hace posible la inyección de datos en una conexión establecida y filtrado
al vuelo aun manteniendo la conexión sincronizada gracias a su poder para
establecer un Ataque Man-in-the-middle(Spoofing). Muchos modos de sniffing
fueron implementados para darnos un conjunto de herramientas poderoso y
completo de sniffing.
3. Funciones
Inyección de caracteres en una conexión establecida emulando comandos o
respuestas mientras la conexión está activa.
Compatibilidad con SSH1: puede interceptar users y passwords incluso en conexiones
"seguras" con SSH.
Compatibilidad con HTTPS: intercepta conexiones mediante http SSL (supuestamente
seguras) incluso si se establecen a través de un proxy.
Intercepta tráfico remoto mediante un túnel GRE: si la conexión se establece mediante
un túnel GRE con un router Cisco, puede interceptarla y crear un ataque "Man in the
Middle".
"Man in the Middle" contra túneles PPTP (Point-to-Point Tunneling Protocol).
Plataforma: Linux / Windows Ultima versión: NG-0.7.4
4. Soporte de Plug-ins
Colector de contraseñas en: Telnet, FTP, POP, Rlogin, SSH1, ICQ, SMB,
MySQL, HTTP, NNTP, X11, Napster, IRC, RIP, BGP, SOCKS 5, IMAP 4, VNC,
LDAP, NFS, SNMP, Half-Life, Quake3, MSN, YMSG.
Filtrado y sustitución de paquetes.
OS fingerprint: es decir, detección del sistema operativo remoto.
Mata conexiones.
Escaner de LAN: hosts, puertos abiertos, servicios...
Busca otros envenenamientos en la misma red.
Port Stealing (robo de puertos): es un nuevo método para el sniff en redes con
switch, sin envenenamiento ARP".
5. Ettercap nos propone dos modos, el por defecto (unified sniff) o el bridged sniff,
unos siendo interactivo y el otro no.
Una vez que empieza a rastrear el tráfico, obtendrás un listado de todas las
conexiones activas, junto a una serie de atributos acerca de su estado (active,
idle, killed, etc.). El asterisco indica que una contraseña fue recogida en esa
conexión. (Esta info fue obtenida de la página oficial del Ettercap y nos da una
idea de lo potente que es esta herramienta).