“中间人”攻击神器 - ettercap

版本说明：ettercap0.8.3

下载地址：https://github.com/Ettercap/ettercap/archive/v0.8.3.1.tar.gz

使用环境：Linux（kali自带），官方只提供源码，需要编译，建议在kali里面直接使用

工具说明：Ettercap是一个综合性的中间人攻击工具，使用它可以进行ARP欺骗、拦截器、DNS欺骗等常见的中间人攻击。

基础知识

0x01 ARP欺骗与DNS欺骗

中间人攻击常见的两种方法：ARP欺骗、DNS欺骗。

ARP欺骗： 在实现TCP/IP协议的网络环境下，一个ip包走到哪里，要怎么走是靠路由表定义，但是，当ip包到达该网络后，哪台机器响应这个ip包却是靠该ip包中所包含的硬件mac地址来识别。也就是说，只有机器的硬件mac地址和该ip包中的硬件mac地址相同的机器才会应答这个ip包，因为在网络中，每一台主机都会有发送ip包的时候，所以，在每台主机的内存中，都有一个 arp—> 硬件mac 的转换表。通常是动态的转换表（该arp表可以手工添加静态条目）。也就是说，该对应表会被主机在一定的时间间隔后刷新。这个时间间隔就是ARP高速缓存的超时时间。通常主机在发送一个ip包之前，它要到该转换表中寻找和ip包对应的硬件mac地址，如果没有找到，该主机就发送一个ARP广播包，于是，主机刷新自己的ARP缓存。然后发出该ip包。在此推荐FB上的一篇文章: 中间人攻击-ARP毒化

DNS欺骗： 目标将其DNS请求发送到攻击者这里，然后攻击者伪造DNS响应，将正确的IP地址替换为其他IP，之后你就登陆了这个攻击者指定的IP，而攻击者早就在这个IP中安排好了一个伪造的网站如某银行网站，从而骗取用户输入他们想得到的信息，如银行账号及密码等，这可以看作一种网络钓鱼攻击的一种方式。对于个人用户来说，要防范DNS劫持应该注意不点击不明的连接、不去来历不明的网站、不要在小网站进行网上交易，最重要的一点是记清你想去网站的域名，当然，你还可以把你常去的一些涉及到机密信息提交的网站的IP地址记下来，需要时直接输入IP地址登录。在此还推荐FB上的一篇文章: 中间人攻击-DNS欺骗

0x02 中间人攻击

在大多数正常的网络环境下，要想获得局域网内其他主机的流量，使用ARP欺骗是很好的方式，除非是自己搭建的网络环境。基于ARP欺骗的中间人攻击是一种很常见的手段。

二、Ettercap指令参数

用法
Usage: ettercap [OPTIONS] [TARGET1] [TARGET2]

用法：ettercap【选项】【目标1】【目标2】

嗅探与攻击选项：

 -M, --mitm <方法:ARGS>                执行mitm攻击
  -o, --only-mitm                      不嗅探，只执行mitm攻击
  -B, --bridge <IFACE>                 使用桥接嗅探（需要2个iface——嗅探时使用的网卡接口，嗅探两块网卡之间的数据包）
  -p, --nopromisc                      不要将iface放入混杂模式
  -S, --nosslmitm                      不要伪造SSL证书
  -u, --unoffensive                    不要转发数据包
  -r, --read <file>                    从pcap文件读取数据 <file>
  -f, --pcapfilter <string>            设置pcap过滤器<string>
  -R, --reversed                       使用逆向目标反馈
  -t, --proto <proto>                  只嗅探该proto（默认是全部）

用户界面类型：

  -T, --text                           使用只显示字符的界面
  -q, --quiet                          安静模式，不显示抓到的数据包内容
  -s, --script <CMD>                   向用户界面发出这些命令
  -C, --curses                         使用curses图形化界面
  -G, --gtk                            使用GTK+ GUI
  -D, --daemon                         守护模式（无界面），相当于在后台运行

日志选项：

 -w, --write <file>                   将嗅探到的数据写入pcap文件 <file>
  -L, --log <logfile>                 此处记录所有流量<logfile>
  -l, --log-info <logfile>            此处记录所有信息<logfile>
  -m, --log-msg <logfile>             此处记录所有消息记录<logfile>
  -c, --compress                      使用gzip压缩日志文件

可视化选项：

  -d, --dns                          将ip地址解析为主机名
  -V, --visual <format>              设置可视化格式
  -e, --regex <regex>                只实现匹配该regex数据包的可视化
  -E, --ext-headers                  打印每个pck的扩展头
  -Q, --superquiet                   不显示用户名与密码

通用选项：

  -i, --iface <iface>        使用该网络接口
  -I, --liface               显示所有的网络接口
  -n, --netmask <netmask>    在iface上强制实行（force）该<netmask>
  -P, --plugin <plugin>      开始该插件<plugin>
  -F, --filter <file>        加载过滤器 <file> （内容过滤器）
  -z, --silent               不执行初始ARP扫描
  -j, --load-hosts <file>    从 <file>加载主机列表
  -k, --save-hosts <file>    将主机列表保存至<file>
  -W, --wep-key <wkey>       使用该wep密钥解密wifi数据包
  -a, --config <config>      使用其它配置文件<config>

标准选项：

  -U,  --update               从ettercap网站更新数据库
  -v,  --version              打印此版本并退出
  -h,  --help                 帮助选项

三、arp欺骗-dns欺骗案例

1.开启apache服务
命令：service apache2 start

编辑html文件：leafpad /var/www/html/

可以自由发挥，主要用于dns欺骗的页面，我这里就用默认的

2.编辑ettercap配置文件
leafpad /etc/ettercap/etter.dns

3.Ettercap使用图形化
命令：ettercap –G

4.点击”搜索”按钮，进行主机发现。

5.点击”红色方框里面的按钮”，我们可以查看”host list”.

6.将想要欺骗的网关和受害者分别添加到”add to target 1”和”add to target 2”。

7.点击”圆圈”，选择”arp poisoning spoofing”。

8.选择”sniff remote connections”，然后点击”OK”。这样就配置完成，ettercap会自动开始arp欺骗。新版本默认是勾选的状态，点对勾就可以了

9、找到manage plugins插件里面的dns-snoof,开启dns欺骗

10.此时随便打开一个目标网站里面的http网站，显示的是apache的默认官网，https网站则访问不同，欺骗成功