ettercap

classic Classic list List threaded Threaded
1 message Options
Reply | Threaded
Open this post in threaded view
|

ettercap

Unanoia
This post was updated on .
Bonjour.

 Je debute avec OpenBSD.

 J'avais l'habitude d'utiliser  Wireshark depuis des annees, et  j'ai essaye de trouver un remplacant a Wireshark, qui me permette de lire le contenu integral des paquets..

 j'ai tout d'abord essaye Netdude, qui refuse de lire les captures que j'ai faites avec tcpdump..

 Puis j'ai trouve  ettercap. Il capte bien des paquets, mais  il refuse de me creer le type de fichier pour voir  plus de contenu.

 Ayant suivi les conseils d'install, je me trouve avec une /temp un peu eroite pour ca., par contre j'ai une vaste /home et j'ai essaye de creer un repertoire captures, dans ma /home/user..

drwxrwxrwx  3 jacqueline  nobody            512 Feb 13 15:31 captures

 je l'ai change de groupe : nobody et j'ai fini par ouvrir tous les droits  pour ce repertoire.

 ensuite j'ai cree un sous repertoire /etterlogs, pour les fichiers  de logs de ettercap

 voici les divers fichiers et leurs droits dans  /captures :

$  cd  captures
$ ls -l
total 472
-rw-rw-rw-  1 jacqueline  jacqueline      32 Feb 13 14:28 ettercaptest.e.eci
-rw-rw-rw-  1 jacqueline  jacqueline      32 Feb 13 14:28 ettercaptest.e.ecp
-rw-rw-rw-  1 jacqueline  jacqueline   12198 Feb 13 14:23 ettercaptest.eci
-rw-rw-rw-  1 jacqueline  jacqueline   50583 Feb 13 14:23 ettercaptest.ecp
drwxrwxr-x  2 jacqueline  nobody         512 Feb 13 15:12 etterlogs
-rw-rw-rw-  1 jacqueline  jacqueline    1556 Feb 13 13:00 nd_ta_0.txt
-rw-rw-rw-  1 jacqueline  jacqueline    1556 Feb 13 13:00 nd_ta_1.txt
-rw-rw-rw-  1 jacqueline  jacqueline    1556 Feb 13 13:00 nd_ta_2.txt
-rw-rw-rw-  1 jacqueline  jacqueline    1556 Feb 13 13:00 nd_ta_3.txt
-rw-rw-rw-  1 jacqueline  jacqueline    1556 Feb 13 13:00 nd_ta_4.txt
-rw-rw-rw-  1 jacqueline  jacqueline    1556 Feb 13 13:00 nd_ta_5.txt
-rw-r--r--  1 root        jacqueline  151845 Feb 13 12:14 test
-rw-r--r--  1 root        jacqueline      24 Feb 13 15:29 test5
-rw-rw-rw-  1 jacqueline  jacqueline      32 Feb 13 14:31 testcap.eci
-rw-rw-rw-  1 jacqueline  jacqueline      32 Feb 13 14:31 testcap.ecp
$  


ettercap  lance en root sur nfe) , n'arrive pas a ouvrir un fichier  dans /etterlogs


$ cd etterlogs
$ ls -l
$                              


"Can't create /home/jacqueline/captures/etterlogs.ecp: Permission denied"


SSL dissection needs a valid 'redir_command_on' script in the etter.conf file
Privileges dropped to UID 32767 GID 32767...

  28 plugins
  38 protocol dissectors
  52 ports monitored
7587 mac vendor fingerprint
1698 tcp OS fingerprint
2183 known services
UTF-8 support not compiled in.


Je ne comprend pas trop ce message..

"SSL dissection needs a valid 'redir_command_on' script in the etter.conf file"

 Mais c'est vrai que je n'ai encore rien fait pour SSL..
 
Je me suis contentee  de configurer pf. je voulais installer un sniffer , tcpdump , meme avec les options -v -vv , n'est pas tres loquace..

 Pour tester mon pf, j'ai installe packit. Mais pour l'instant je bloque sur le sniffer..
 
Sinon , j'ai trouve la conf  et le principe de pf, bien plus simple a comprendre qu' iptables. Mais ce serait un plus de pouvoir le tester avec un generateur de paquets.

 Je balise un peu a cause de ma /tmp trop petite  pour faire de la capture intensive pendant ces tests : 84 Mo

 Mais j'ai installe OpenBSd 4.4 sur un disque dedie de 80 Go et  j'ai garde  40 Go  dispo dans  OpenBSD..

 J'espere donc pouvoir affecter une autre partition a tmp, plus large,  dans l'immediat, mais  j'avoue que je crains un peu de mettre le bazar dans mon systeme, si je fais une fausse manip lors de cette permutation, alors que j'ai deja installe pas mal de choses.. Je m'attendais a devoir   une seconde install plus rapidement, mais non ca marche bien  :) ,  a part ce probleme de place.



$ df
Filesystem  512-blocks      Used     Avail Capacity  Mounted on
/dev/wd1a       172776    117660     46480    72%    / (22.7 Mo )
/dev/wd1h     82559708   4084356  74347368     5%    /home ( 35.5 Go )
/dev/wd1d       172836        20    164176     0%    /tmp  ( 84 Go )
/dev/wd1g      8264196   5016460   2834528    64%    /usr ( 1,4Go )
/dev/wd1e       172836     47360    116836    29%    /var  ( 84 Go )
$  

 Je redoute d'avoir le meme probleme avec /var et /usr  alors que je n'ai pas encore installe Apache et MySQL , FTP, ni aucun CMS..
 
Mais je suis prete a sacrifier mes Linux et FreeBSd que je n'utilise pratiquement plus, pour installer sur un 160 Go en faisant plus attention a ces problemes de  repartition, et  garder cet OpenBSD  pour lui faire subir mes maladresses de debutante.

 Merci de votre aide et de vos conseils..

Jacqueline


  Je viens de faire un essai de courte duree dans /tmp avec un nom de fichier   /toto. ca a l'air de capturer




# ls -l
total 308
drwxrwxrwt  2 root        wheel          512 Feb 15 10:06 .ICE-unix
-r--r--r--  1 jacqueline  jacqueline      11 Feb 15 10:06 .X0-lock
drwxrwxrwt  2 root        wheel          512 Feb 15 10:06 .X11-unix
-rw-r--r--  1 jacqueline  wheel           73 Feb 15 17:53 .ettercap_gtk
-rw-------  1 nobody      wheel         1418 Feb 15 17:38 toto.eci
-rw-------  1 nobody      wheel       146856 Feb 15 17:38 toto.ecp

 Dans la vue de detail d'un paquet, je suis un peu decue de ne pas trouver  tout le contenu d'un paquet.

Pourtant ils sont bien dans  toto.ecp :

# cat toto.ecp



ç~ NG-0.7.3IDå
IDÜwH?NÒ)òÍQÁnÀ¨²{^j0dì[äÀWjÍB¹Lwá)ÆZØ¥¸ÍB¹ßÆÍB¹ßoIDÝÀ¨²À¨²
                                                     7nòÍQ?NÒ)À¨²À¨²▒¢©PgGET /cg
i-bin/webcm?getpage=..%2Fhtml%2Fen%2Fmenus%2Fmenu2.html&errorpage=..%2Fhtml%2Fen
%2Fmenus%2Fmenu2.html&var%3Alang=en&var%3Apagename=home&var%3Aerrorpagename=home
&var%3Amenu=home&var%3Apagemaster=&time%3Asettings%2Ftime=1234715869%2C-60&var%3
Aactivtype=pppoe&var%3AtabInetstat=1&var%3Ashowsetup= HTTP/1.1
Referer: http://192.168.178.1/cgi-bin/webcm?getpage=..%2Fhtml%2Fen%2Fmenus%2Fmen
u2.html&errorpage=..%2Fhtml%2Fen%2Fmenus%2Fmenu2.html&var%3Alang=en&var%3Apagena
me=home&var%3Aerrorpagename=home&var%3Amenu=home&var%3Apagemaster=&time%3Asettin
gs%2Ftime=1234715837%2C-60&var%3Aactivtype=pppoe&var%3AtabInetstat=1&var%3Ashows
etup=
Accept: text/html, image/jpeg, image/png, text/*, image/*, */*
Accept-Encoding: x-gzip, x-deflate, gzip, deflate
Accept-Charset: iso-8859-1, utf-8;q=0.5, *;q=0.5
Accept-Language: en
Host: 192.168.178.1
Connection: Keep-Alive

 Plus d'autres suites de caracteres illisibles :   surement le probleme d'encodage qui est signale..

 c'est l'echange  de  la page de visualisation de l 'etat de mon modem.


 et pour l'autre :

# cat toto.eci

ç~ NG-0.7.3IDå
              A?NÒ)À¨²16D0:05B4:40:01:1:1:1:1:S:3C?NÒ)Án{òÍQÀ¨²FFFF:05B4:40:01:1:1:1:1:S:40?NÒ)
À¨²P16A0:05B4:40:01:1:1:1:1:A:3C?NÒ)À¨²16D0:05B4:40:01:1:1:1:1:S:3C?NÒ)
Án{òÍQÀ¨²FFFF:05B4:40:01:1:1:1:1:S:40?NÒ)
À¨²P16A0:05B4:40:01:1:1:1:1:A:3C?NÒ)À¨²16D0:05B4:40:01:1:1:1:1:S:3C#  

 Impossible de relire ces deux fichiers avec  ettercap.

Difficiles les debuts avec ce sniffer, malgre la doc..