Ettercap系列 I:基于gtk界面

    写个关于用ettercap进行中间人欺骗的系列文章。这是第一篇,介绍使用图形化界面进行中间人欺骗(毕竟图形化操作容易被接受),之后的文章将介绍命令行下的中间人欺骗。关于中间人欺骗的原理,可以翻翻这篇文章。另外,ettercap并不是Kali Linux所独有的,在Ubuntu上也可以安装使用。由于Ubunt较之于Kali Linux更为通用,因此这一系列的文章都是在Ubuntu上完成的。

    虽然Ubuntu默认没有安装Ettercap,但是我们可以通过apt-get安装,为了便于观察效果,我建议大家顺带安装wireshark:

sudo apt-get install ettercap-text-only #安装基于命令行的ettercap
sudo apt-get install ettercap-graphical #安装基于gui(gtk)的ettercap

现在让我们来一睹它的芳容,主界面长这样:

Ettercap系列 I:基于gtk界面_第1张图片

所有中间人欺骗都是从收集局域网主机开始,可以用arp-scan/nmap等工具实现上述目的,不过,图形化的ettercap集成了这个功能,依次点击主界面--Sniff--“Unified Sniffing”--在跳出的“ettercap Input”下拉框中选择用于抓包的网卡。

Ettercap系列 I:基于gtk界面_第2张图片

附:如果网卡对应的网卡名,可以使用iwconfig命令查找(iwconfig是ubuntu下较ifconfig更新的网络管理工具)。

~$ iwconfig
enp5s0    no wireless extensions. #有线网卡

lo        no wireless extensions.

wlp4s0    IEEE 802.11  ESSID:"Eugene"  #无线网卡的网卡名
          Mode:Managed  Frequency:2.472 GHz  Access Point: 6C:59:40:B6:C9:D2   
          Retry short limit:7   RTS thr:off   Fragment thr:off
          Power Management:on

选择网卡后,即可扫描局域网中的机器,依次点击Hosts--"Scan for Hosts",等待ettercap的进度条完成,再点击Hosts--“Hosts list”,列出局域网中现有的主机(附注,ettercap经常不能完整的列出局域网中的主机,需要多次扫描才能得到相对完整的列表,建议读者可以结合arp-scan命令的输出来调整列表,当然,大家一般都是在家试验,所以完全可以登录路由器查看已连接的设备)。

这是ettercap这次扫描到的主机列表:

Ettercap系列 I:基于gtk界面_第3张图片

192.168.1.1是我的路由器,192.168.1.101是给我儿子讲故事的天猫精灵。目前,这些智能设备的安全性实在不敢恭维,所以,这次就用天猫精灵做演示。一般我们会在一台主机和路由器之间进行双向的中间人欺骗,为此,我们在192.168.1.101上右键--“Add to target1”,将天猫精灵作为被欺骗的一方;在192.168.1.1上右键--"Add to target2",将路由器作为被欺骗的另一方。添加target后,点击Targets--"Current Targets"检查将要被欺骗的双方,如下图:

Ettercap系列 I:基于gtk界面_第4张图片

至此,将要被欺骗的通信双方已经存在,可以进行欺骗了。依次点击Mitm--“ARP Poisoning”--勾选“Sniff remote connections”复选框,如果在ettercap的输出框中看到GROUP 1:192.168.1.101 GROUP 2:192.168.1.1的字样,则说明ettercap已经成功的进行欺骗,否则,欺骗没有成功,必须重来(没有欺骗成功不要怀疑自己没有做对,多数情况是ettercap本身饱受诟病的bug造成的,这也是我决定要使用更为稳定的bettercap的原因)。

Ettercap系列 I:基于gtk界面_第5张图片

欺骗成功后可以进行局域网嗅探了,点击Start--“Start Sniffing”。为了验证嗅探的结果,可以打开wireshark查看是否能捕捉到天猫精灵的tcp流量:

sudo wireshark #直接点击启动wireshark基本无法找到网络接口,根本无法抓包!

 Ettercap系列 I:基于gtk界面_第6张图片

Ettercap系列 I:基于gtk界面_第7张图片

嗅探结束,点击Start--"Stop Sniffing"暂停欺骗。

你可能感兴趣的:(抓包,协议分析)