“中间人”攻击神器 - ettercap

Track-SSG   ·   发表于 2020-11-27 21:18:48   ·   安全工具
版本说明:ettercap0.8.3
下载地址:https://github.com/Ettercap/ettercap/archive/v0.8.3.1.tar.gz
使用环境:Linux(kali自带),官方只提供源码,需要编译,建议在kali里面直接使用
工具说明:Ettercap是一个综合性的中间人攻击工具,使用它可以进行ARP欺骗、拦截器、DNS欺骗等常见的中间人攻击。

基础知识

0x01 ARP欺骗与DNS欺骗

中间人攻击常见的两种方法:ARP欺骗、DNS欺骗。

ARP欺骗: 在实现TCP/IP协议的网络环境下,一个ip包走到哪里,要怎么走是靠路由表定义,但是,当ip包到达该网络后,哪台机器响应这个ip包却是靠该ip包中所包含的硬件mac地址来识别。也就是说,只有机器的硬件mac地址和该ip包中的硬件mac地址相同的机器才会应答这个ip包,因为在网络中,每一台主机都会有发送ip包的时候,所以,在每台主机的内存中,都有一个 arp—> 硬件mac 的转换表。通常是动态的转换表(该arp表可以手工添加静态条目)。也就是说,该对应表会被主机在一定的时间间隔后刷新。这个时间间隔就是ARP高速缓存的超时时间。通常主机在发送一个ip包之前,它要到该转换表中寻找和ip包对应的硬件mac地址,如果没有找到,该主机就发送一个ARP广播包,于是,主机刷新自己的ARP缓存。然后发出该ip包。在此推荐FB上的一篇文章: 中间人攻击-ARP毒化

DNS欺骗: 目标将其DNS请求发送到攻击者这里,然后攻击者伪造DNS响应,将正确的IP地址替换为其他IP,之后你就登陆了这个攻击者指定的IP,而攻击者早就在这个IP中安排好了一个伪造的网站如某银行网站,从而骗取用户输入他们想得到的信息,如银行账号及密码等,这可以看作一种网络钓鱼攻击的一种方式。对于个人用户来说,要防范DNS劫持应该注意不点击不明的连接、不去来历不明的网站、不要在小网站进行网上交易,最重要的一点是记清你想去网站的域名,当然,你还可以把你常去的一些涉及到机密信息提交的网站的IP地址记下来,需要时直接输入IP地址登录。在此还推荐FB上的一篇文章: 中间人攻击-DNS欺骗

0x02 中间人攻击

在大多数正常的网络环境下,要想获得局域网内其他主机的流量,使用ARP欺骗是很好的方式,除非是自己搭建的网络环境。基于ARP欺骗的中间人攻击是一种很常见的手段。

二、Ettercap指令参数

用法
Usage: ettercap [OPTIONS] [TARGET1] [TARGET2]

用法:ettercap【选项】【目标1】【目标2】

嗅探与攻击选项:

  1. -M, --mitm <方法:ARGS> 执行mitm攻击
  2. -o, --only-mitm 不嗅探,只执行mitm攻击
  3. -B, --bridge <IFACE> 使用桥接嗅探(需要2iface——嗅探时使用的网卡接口,嗅探两块网卡之间的数据包)
  4. -p, --nopromisc 不要将iface放入混杂模式
  5. -S, --nosslmitm 不要伪造SSL证书
  6. -u, --unoffensive 不要转发数据包
  7. -r, --read <file> pcap文件读取数据 <file>
  8. -f, --pcapfilter <string> 设置pcap过滤器<string>
  9. -R, --reversed 使用逆向目标反馈
  10. -t, --proto <proto> 只嗅探该proto(默认是全部)

用户界面类型:

  1. -T, --text 使用只显示字符的界面
  2. -q, --quiet 安静模式,不显示抓到的数据包内容
  3. -s, --script <CMD> 向用户界面发出这些命令
  4. -C, --curses 使用curses图形化界面
  5. -G, --gtk 使用GTK+ GUI
  6. -D, --daemon 守护模式(无界面),相当于在后台运行

日志选项:

  1. -w, --write <file> 将嗅探到的数据写入pcap文件 <file>
  2. -L, --log <logfile> 此处记录所有流量<logfile>
  3. -l, --log-info <logfile> 此处记录所有信息<logfile>
  4. -m, --log-msg <logfile> 此处记录所有消息记录<logfile>
  5. -c, --compress 使用gzip压缩日志文件

可视化选项:

  1. -d, --dns ip地址解析为主机名
  2. -V, --visual <format> 设置可视化格式
  3. -e, --regex <regex> 只实现匹配该regex数据包的可视化
  4. -E, --ext-headers 打印每个pck的扩展头
  5. -Q, --superquiet 不显示用户名与密码

通用选项:

  1. -i, --iface <iface> 使用该网络接口
  2. -I, --liface 显示所有的网络接口
  3. -n, --netmask <netmask> iface上强制实行(force)该<netmask>
  4. -P, --plugin <plugin> 开始该插件<plugin>
  5. -F, --filter <file> 加载过滤器 <file> (内容过滤器)
  6. -z, --silent 不执行初始ARP扫描
  7. -j, --load-hosts <file> <file>加载主机列表
  8. -k, --save-hosts <file> 将主机列表保存至<file>
  9. -W, --wep-key <wkey> 使用该wep密钥解密wifi数据包
  10. -a, --config <config> 使用其它配置文件<config>

标准选项:

  1. -U, --update ettercap网站更新数据库
  2. -v, --version 打印此版本并退出
  3. -h, --help 帮助选项

三、arp欺骗-dns欺骗案例

1.开启apache服务
命令:service apache2 start

编辑html文件:leafpad /var/www/html/

可以自由发挥,主要用于dns欺骗的页面,我这里就用默认的

2.编辑ettercap配置文件
leafpad /etc/ettercap/etter.dns

3.Ettercap使用图形化
命令:ettercap –G

4.点击”搜索”按钮,进行主机发现。

5.点击”红色方框里面的按钮”,我们可以查看”host list”.

6.将想要欺骗的网关和受害者分别添加到”add to target 1”和”add to target 2”。

7.点击”圆圈”,选择”arp poisoning spoofing”。

8.选择”sniff remote connections”,然后点击”OK”。这样就配置完成,ettercap会自动开始arp欺骗。新版本默认是勾选的状态,点对勾就可以了

9、找到manage plugins插件里面的dns-snoof,开启dns欺骗

10.此时随便打开一个目标网站里面的http网站,显示的是apache的默认官网,https网站则访问不同,欺骗成功

打赏我,让我更有动力~

2 条回复   |  直到 2020-12-1 | 3084 次浏览

jianwjx
发表于 2020-11-27

好好学习一下,谢谢分享!

评论列表

  • 加载数据中...

编写评论内容

rayan99
发表于 2020-12-1

好好学习一下,谢谢分享!

评论列表

  • 加载数据中...

编写评论内容
登录后才可发表内容
返回顶部 投诉反馈

© 2016 - 2024 掌控者 All Rights Reserved.