En réalisant une attaque de Man in The Middle l’attaquant vient se placer entre les deux victimes pour intercepter les communications dans le but de recueillir des informations ou de les modifier.
Concrètement l’attaquant va se faire passer pour le serveur lorsqu’il communiquera avec le client et pour le client lorsqu’il communiquera avec le serveur !
Un petit schéma pour illustrer tout ça :
Etape 1 : Installation d’ettercap
Pour réaliser ce tutoriel je suis sous ubuntu 10.04, comme pour le crackage de clé wep vous pouvez utiliser la distribution linux backtrack 5 qui contient tous les outils nécessaires à la réalisation de ce tutoriel.
Ettercap est un outil capable d’analyser et de capturer le traffic, c’est cet outil qui va nous permettre de réaliser des attaques dites de : Man In The Middle (MITM)
[sh]apt-get install ettercap-graphical[/sh]
Etape 2 : L’attaque Man In the Middle
Pour réaliser cette attaque vous aurez besoin d’un pc qui jouera le rôle de la victime, d’un équipement qui jouera le rôle de routeur (vôtre box internet par exemple) et d’un pc qui servira à mener l’attaque.
On lance ettercap en mode graphique
[sh]ettercap -G[/sh]
Puis nous choisissons notre interface réseau qui nous servir tout au long de l’attaque. Pour se faire rendez-vous dans l’onglet « Sniff » puis selectionner « Unified sniffing »
pour moi cela sera l’interface wlan0.
Nous allons maintenant rechercher des victimes sur le réseau en scannant celui-ci pour découvrir les « hosts » qui y sont connectés.
Aller dans l’onglet « Hosts » puis « Scan for hosts »
Une barre de progression va s’afficher le temps de la recherche :
Une fois la découverte d’hosts terminer, retourner dans l’onglet Hosts et sélectionner Hosts list, vous pourrez y voir les différentes machines connectées au réseau.
Pour ma part je vais réaliser mon attaque en me plaçant entre la machine identifiée par l’IP 192.168.1.20 et le routeur identifié par l’IP 192.168.1.
Pour les définir en tant que victimes, il me suffit de sélectionner la machine et de cliquer sur Add to Target 1 puis le routeur et de cliquer sur Add to Target 2
On peut vérifier que nous avons sélectionner les bonnes cibles en nous rendant dans l’onglet « Target » puis « Current Targets »
Nous allons maintenant définir quels types d’attaques nous souhaitons lancer. Pour se faire rendez-vous dans l’onglet « Mitm » puis sélectionner « Arp poisonning » dans la liste déroulante et enfin cocher la case « sniff remote connections »
Il ne nous reste plus qu’à lancer l’attaque en cliquant sur « Start » puis »Start sniffing »
On vérifie que l’attaque par arp poisonning fonctionne bien. Pour se faire nous allons utilisé le plugin présent dans ettercap :
Je me place maintenant sur ma machine victime (192.168.1.20) et je vais m’authentifier sur mon forum avec un utilisateur fictif :
Sur mon poste qui réalise l’attaque MITM je suis à même de voir le login et mot de passe entré par l’utilisateur.
La suite du tutoriel arrive prochainement … Au programme DNS spoofing, savoir identifier une attaque MITM …
Le billet sur le DNS Spoofing (dns menteur) est toujours d’actualité ? :)
Outch … Je viens de me souvenir que j’avais ça en tête depuis longtemps mais j’ai jamais écrit l’article correspondant :-/