Bu atakta Arp aldatmacasında olduğu gibi öncelikle hedef bilgisayarın arp önbelleğini zehirler. Saldırgan hedef bilgisayarın göndereceği tüm paketleri, kendi bilgisayarı üzerinden geçmesini sağlar ve bu paketlerin içeriğini istediği gibi değiştirir. Bu paket içeriğini değiştirmenin bir yolu Filtre yazmaktır.
Bir filtre yazarak paket içeriğinde geçen istediğiniz her şeyi değiştirebilmeniz mümkün. Örneğin hedef bilgisayar google da bir kelime arıyorsa siz bu kelimeyi değiştirebilirsiniz ve bir web sitesine erişmek istiyorsa ve bu web sitesinde bir resim varsa bu resim yerine başka bir resim göstermeniz mümkün. Ayrıca ettercap ile eğer hedef bilgisayarın, şifreli olmayan yani http ile bağlanan bir web sitesinde oturumu varsa ve siz onu zehirlemişken bu siteye login olursa o kişinin kullanıcı adı ve parolasını ele geçirebilirsiniz. Dahası bir filtre yazarak bu kişinin sayfaya giriş yapmasını engelleyebilirsiniz yani karşıya giden pakette ki parola veya kullanıcı adı verisini filtre yazarak kolaylıkla değiştirebilirsiniz. Şimdi filtreyi nasıl yazacagımızdan bahsedelim.
-Öncelikle yazacağımız filtrenin nereye konumlandırılacağını söyleyeyim, filtreyi konumlandıracağımız yere konsoldan şu şekilde erişebiliriz : cd /usr/share/ettercap
-ettercap dizininin altında bir filter oluşturuyoruz. -->sudo vim deneme , bu filtrenin içine şu satırları yazıyoruz:
if (tcp.src == 21 && search(DATA.data, "parola=")) {
replace("parola=","parola=deneme");
}
Bunun kod 21. porttan gelen paketlerin Data kısımlarında parola= geçip geçmediğini kontrol eder ve eğer geçiyorsa bu parola değerini deneme ile değiştir demektir. Böylece karşı taraf siteye giriş yapamaz.
-Şimdi bu filtrenin çalışması için derlememiz gerekiyor, onuda şu şekilde yapıyoruz :
etterfilter deneme -o deneme_comp
Konsola bunu yazdığımızda yazdığımız kod derlenmiş olur ve derlenmiş halide denem_comp adını alır. Bu isim keyfi olarak verilebilir.Kodu derlememiz gerekiyor çünkü ettercap sadece derlenmiş dosyaları filtre olarak yükleyebilir.
-Şimdi atağı yapmak için daha önceki yazımda anlattığım adımların yapılmış olması gerekiyor. Bu adımları yaptıktan sonra bu filtreyi şu şekilde ettercap'e yüklerken Filters-->Load a filter yolunu izliyoruz yada kısaca Ctrl+F de işimizi görür.
-Bunu yaptıktan sonra açılan pencereden filtremizi seçip tamam diyoruz:
Filtreyi yüklendikten sonra tek yapmamız karşı tarafın web sayfasına giriş yapmasını beklemek. Karşı taraf giriş yapmaya çalıştığı her seferinde filtre sunucuya yanlış parola gönderdiği için hedef asla giriş yapamaz.
-Filtreyi durdurmak içinde aynı şekilde Filters--> Stop filtering diyoruz yada kısaca F.
İyi Çalışmalar...
İyi Çalışmalar...
