June 23, 2009

Wireshark usando ettercap come MITM

Perché usare Wireshark insieme ad ettercap?

Wireshark è (probabilmente) il miglior analizzatore di rete del mondo e il più poplare, ma non ti consente di sniffare in una LAN switched.

Ettercap è un (meno conosciuto) analizzatore di rete, ma permette di sniffare una lan switched (il 99% delle lan moderne).

Uniamo le forze

Avete solo bisogno di un PC con linux (forse funziona anche con ettercap per Windows).

In una console di root (su Ubuntu devi usare sudo) lancia ettercap come da riga seguente:

# ettercap -TQ -P repoison_arp -M arp:remote //

Ora potete usare Wireshark come al solito (magari col filtro not arp)

Ricordate di tenere ettercap in esecuzione finché devi sniffare e poi chiudetelo premendo q

Disclaimer

Siate sicuri di poter sniffare quella rete locale.
Image di audin presa da Flickr