dsniff 和 Ettercap 和 bettercap 详解 - 网络嗅探工具包


官网:https://www.monkey.org/~dugsong/dsniff/

linux 嗅探工具 Dsniff 详解:https://wenku.baidu.com/view/61a178886529647d272852a9.html



简介


        Dsniff是一个著名的网络嗅探工具包。高级口令嗅探工具。综合性的网络嗅探工具包。Dsniff其开发者DugSong早在1999年12月,以密歇根大学CITI研究室( CenterforInformationTechnologyIntegration)的研究成果为基础, 开发了这个后来具有很大影响力的网络安全工具包。 DugSong开发Dsniff的本意是揭示网络通信的不安全性, 借助这个工具包, 网络管理员可以对自己的网络进行审计, 也包括渗透测试。 但万事总有其两面 性, Dsniff所带来的负面作用也是“巨大”的,首先它是可以自由获取的,任何拥有这个工具包的人都可能做“非正当”的事,其次, Dsniff里面的某 些工具,充分揭示了一些安全协议的“不安全性”, 例如针对SSH1和SSL的MITM( Man-In-The-Middle) 攻击工具—SSHmitm和 Webmitm。 SSH1和SSL都是建立网络通信加密通道的机制,向来被认为是很安全的,但人们在具体使用时,往往因为方便性上的考虑而忽视了某些环 节,造成实事上的不安全。 所以说, 最大的不安全性, 往往并不在于对安全的一无所知, 而在于过于相信自己的安全。
        DubSong在2000年12月发布了Dsniff的v2.3版本,该版本支持 OpenBSD、 Linux、 Solaris系统平台。目前,最新版本是2001年3月发布的 v2.4b1的 Beta版。 Dsniff的下载网址:http://monkey.org/~dugsong/dsniff/ 。除了针对Unix系统的版本,从网上也可以得到Windows平台上运行的Dsniff早期版


dsniff工具介绍

dsniff是纯粹被动的进行网络活动监视的工具,包括: dsniff、filesnarf、mailsnarf 、msgsnarf、urlsnarf、webspy针对SSH和SSL的MITM ( Man-In-The-Middle)“攻击”工具,包括sshmitmwebmitm发起主动欺骗的工具,包括:arpspoof、 dnsspoof、 macof其它工具,包括tcpkill、 tcpnice

Dsniff包中的工具基本上可以分为四类:
1. 纯粹被动地进行网络活动监视的工具,包括:dsniff、filesnarf、mailsnarf、msgsnarf、urlsnarf、webspy、sshow。
2. 针对SSH和SSL的MITM“攻击”工具,包括sshmitm和webmitm。
3. 发起主动欺骗的工具,包括:arpspoof、dnsspoof、macof。
4. 其它工具,包括tcpkill、tcpnice。

dsniff

dsniff是一个密码侦测工具, 他能够自动分析端口上收到的某些协议的数据包, 并获取相应的密码。 dnisff支持的协议有 FTP,Telnet, SMTP,HTTP,POP,poppass, NNTP,IMAP,SNMP, LDAP, Rlogin, RIP, OSPF, PPTP MS-CHAP, NFS, VRRP, YP/NIS, SOCKS, X11, CVS, IRC, AIM, ICQ, Napster, PostgreSQL, Meeting Maker, Citrix ICA, Symantec pcAnywhere, NAI Sniffer,MicrosoftSMB,OracleSQL*Net,SybaseandMicrosoftSQL。

用法:
       dsniff [-c] [-d] [-m] [-n] [-i interface | -p pcapfile] [-s snaplen] [-f services] [-t trigger[,...]]]  [-r|-w
       savefile] [expression]

选项
       -c     打开半双工TCP流,允许在使用 arpspoof时进行正确的嗅探操作
       -d     启动调试模式;
       -m     使用dsniff.magic文件,通过在magic文件中定义的特征,尝试自动判断协议
       -n     不把 IP 地址解析成主机名
       -i interface       指定网络接口
       -p pcapfile        不是处理网络上所观察到的数据包的内容,而是处理给定捕获数据包的PCAP文件。              
       -s snaplen         对报文的前snaplen个字节进行嗅探,而不是默认的1024字节;.
       -f services        以/etc/service格式从文件中加载触发器(也就是口令嗅探的服务类型);
       -t trigger[,...]
			  使用格式 port/proto=service 来加载一个以逗号界定的触发器集(e.g. 80/tcp=http).
                          dsniff –t 21/tcp=ftp,23/tcp=telnet –m
       -r savefile        从保存的文件中读取会话(-w 选项 可以保存会话到文件)
       -w file            保存 会话 到文件中
       expression         指定一个 tcpdump(8) filter expression 来让 sniff 选择要嗅探的流量.     
	   
       在挂起的信号中,dsniff会将当前的触发器表转储到dsniff.services。

FILES
       /usr/share/dsniff/dsniff.services
              Default trigger table

       /usr/share/dsniff/dsniff.magic
              Network protocol magic

参见;另请参阅
       arpspoof(8), libnids(3), services(5), magic(5)


filesnarf 和 mailsnarf 和 msgsnarf 和 urlsnarf 和 webspy 和 webspy

filesnarf 和 mailsnarf 和 msgsnarf 和 urlsnarf 和 webspy 和 webspy  使用方式都 差不多。可以 使用 man 查看具体使用。

FILESNARF(8)                System Manager's Manual               FILESNARF(8)

NAME
       filesnarf - sniff files from NFS traffic

SYNOPSIS
       filesnarf [-i interface | -p pcapfile] [[-v] pattern [expression]]

DESCRIPTION
       filesnarf  saves  files sniffed from NFS traffic in the current working
       directory.

OPTIONS
       -i interface  指定监听接口
       -p pcapfile   处理捕获的 包文件
       -v            "反转" 模式.  反转匹配,选中不匹配的文件.
       pattern       指定正则表达式              
       expression    指定 一个要嗅探的流量的 tcpdump(8) 过滤表达式 
              
			  
SEE ALSO
       dsniff(8), nfsd(8)

filesnarf

filesnarf 可以嗅探网络文件系统( NFS) 的流量, 并选定某个文件, 转储到本地当前工作目录。

Tcpdump 可用于嗅探NFS流量。Filesnarf 工具可以真正的接收被嗅探的文件,并在系统上对其重新配置。某人在任何时候在网络上通过NFS移动文件时,你都可以获得该文件的一个副本。

  同样可以使用-i选项来指定网络接口。
在命令行上,可以指定Tcpdump报文过滤器表达式,用于嗅探NFS流量,并且可以指定要匹配的文件模式

如:想嗅探 192.168.0.21上的mp3文件则
# filesnarf *.mp3 host 192.168.0.21


mailsnarf

milsnarf 可以嗅探 SMTP 和 POP 流量,并以Berkeley邮件格式输出e-mail消息,转储选定的邮件内容到本地。


msgsnarf

msgsnarf 可以嗅探聊天软件的聊天内容,包括 AOL,ICQ 2000, IRC, MSN Messenger, 或 YahooMessenger


urlsnarf

urlsnarf可以嗅探HTTP请求报文的内容,并以CLF(CommonLogFormat)通用日志格式输出。这种格式是许多Web服务器所使用的,例如IIS和Apache,事后可以很方便的用一些日志分析工具来分析记录结果。 Urlsnarf的工作方式就象这个工具箱中的其他嗅探程序一样,它是根据web url工作的。
它将自己从http流量中嗅探到的任何url存储到一个日志文件中,可以在以后对该日志文件进行分析。
它是查看在局域网上浏览信息的最简便方法。


webspy

webspy指定一个要嗅探的主机, 如果指定主机发送HTTP请求, 打开网页, webspy也会通过 netscape 浏览器在本地打开一个相同的网页。

即将嗅探到的来自某个客户端的URLs请求发送给本地浏览器显示,可以达到“实时”监视网络上HTTP活动的效果。 Dsniff中软件的最后一个工具,主要是通过指定lan上主机ip地址,Webspy是将嗅探从该主机发源的web流量。无论任何时候,只要从这台主机进入特定的一个url,Webspy都会在浏览器上加载相同的URL。


sshow

对嗅探到的SSH通信进行分析,解析其认证过程、交互会话的口令长度,以及命令行长度等信息。

SSH 中间人攻击 sshmitm 和 SSL 中间人攻击 webmitm

sshmitm

Dsniff还包含了大量mim窃取密码的方式,在这种方式下即使是ssl方式https 和ssh都是可以被中途截取的,非常的强大。当然这种方式仅仅用于同一个局域网中。

Sshmitm 是Dsniff自带的一个具有威胁的工具之一。如果你是在运行dnsspoof来伪造实际机器主机名,那么sshmitm可以重新定向到你的机器的ssh流量。因为它支持到ss1,所以这也是我们需要考虑把ssh升级到2的原因。

sshmitm是Dsniff自带的一个具有威胁的工具之一。首先通过dnsspoof伪造实际机器主机名将攻击目标主机的 SSH连接转到本地,那么 sshmitm可以截获来自主机的密钥,并获得被劫持连接中的所有信息解码,然后重新转发SSH流量到SSH服务器。sshmitm可以对某个 SSH会话发动 MITM( Monkey-In-The-Middle)攻击(注意,这里的Monkey是Dsniff包 readme文件中的解析, 而不是常见的Man, 这种区别实际上是没有“区别”, 也许就是因为Dsniff以猴子做为其标志的原因吧)。 通过 sshmitm, 攻击者可以捕获某
个SSH会话的登录口令,甚至可以“劫持”整个会话过程(攻击者在其主机上通过OpenSSL提供的代码生成伪造的证 书, 以欺骗目标主机, 使之相信就是有效的通信另一方, 结果是,攻击者主机成了SSH安全通道的中转站)。 目前, 对于SSH1, 这种MITM攻击已经构成了严重的威胁。 MITM并不是一个新的概念, 它是一种对认证及密钥交换协议进行攻击的有效手段。 通常, 在SSH会话中, 服务器首先会给客户端发送其公钥, 严 格来说, 这种密钥的交换和管理应该是基于X.509这种公钥基础设施( PKI)的,但因为PKI本身的复杂性导致真正应用了这种公钥管理机制的服务器非常 少,所以,通常情况下,服务器只是简单的自己生成密钥对,并将其中的公钥发送给客户端。客户端收到服务器的公钥后,必须独立验证其有效性。通常,使用 SSH的客户端会由sysadmin或其它账号来维护一个“密钥/主机名”的本地数据库,当首次与某个SSH服务器建立连接时,客户端可能被事先配制成自 动接受并记录服务器公钥到本地数据库中,这就导致可能发生MITM攻击。其实,建立加密的安全网络都存在一个基本的问题,无论如何,
某种程度上讲,加密通 道的初始化连接总是建立在一个存在潜在危险的网络之上的,如果密钥交换机制并不健全,或者是根本就被忽略了,那之后建立起来的加密通道也形同虚设了。按道 理讲, SSH之类的协议本身是没有问题的, 只要严格按照标准来建立加密及密钥交换管理机制( 例如PKI), 攻击者是根本不会有可乘之机的, 可问题就在于, 许多时候, 为了使用上的方便, “复杂”的保证技术就被人们抛之脑后了。 当然, 一种协议如果其可用性并不很强, 也许本身就是问题, 现在, SSH2较SSH1 已经有了较大改进。具体来说, 在某个SSH连接建立之初,如果客户端收到一个未知的服务器端公钥, OpenSSH会有下列配置处理方式:自动增加该公钥到本地数据库; 发出下面列出的警告消息,并询问用户是添加该公钥还是放弃连接;
------------------------------------------------------------------------

--WARNING:HOSTIDENTIFICATIONHASCHANGED!--

------------------------------------------------------------------------
ITISPOSSIBLETHATSOMEONEISDOINGSOMETHINGNASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)! It is also possible that the host-key has just been changed. Please contact your system administrator. 

拒绝接受。如果客户端对未知公钥的验证被取消了 ( 或者客户端配置本身已经旁路掉了这个过程), 或者如果客户端保存已知主机CA证书的缓存被“毒害”了, 就 很有可能导致攻击者发起MITM攻击。从根本上讲,要防止MITM方式的攻击,用户自身加强安全措施才是关键, 例如, 密钥的初始交换也许可以换做其它方式 ( 比如软盘), 严格管理本地的证书列表数据库, 对于出现的告警提示, 应该仔细甄别, 防止第三方的欺骗行为


webmitm

webmitm与sshmitm类似,也需要dnsspoof的“配合”,不同的是,webmitm“劫持”的是HTTP和HTTPS会话过程,捕获SSL的加密通信


arpspoof

arp毒化的原理,简单的说就是伪造MAC地址与IP的对应关系,导致数据包由中间人转发出去。

详细介绍请看:http://www.2cto.com/Article/201207/144532.html

arp 毒化有双向(remote)和单向(oneway)两种方式。

双向方式将对两个目标的ARP缓存都进行毒化,对两者之间的通信进行监听。

单向方式只会监听从第一个目标到第二个目标的单向通信内容。

一般来说,我们会选择使用双向欺骗的方式来获取所有的数据包进行嗅探分析。

若目标主机开启了ARP防火墙怎么办?直接欺骗会引发报警且无效果。这时就是单向ARP毒化大显神威的时候了。只要路由器没有对IP和MAC进行绑定,我们就可以只欺骗路由器,使从路由器发给目标主机的数据包经过中间人,完成我们的攻击。

root@kali:~# arpspoof -h
Version: 2.4
Usage: arpspoof [-i interface] [-c own|host|both] [-t target] [-r] host

名字
       arpspoof - 在交换式网络截获包
概要
       arpspoof [-i interface] [-c own|host|both] [-t target] [-r] host
描述 
	   arpspoof 通过伪造ARP响应,重定向局域网中一个目标主机(或所有主机)上的数据包 到 局域网中的另一个主机上。
	   这在交换式网络上嗅探流量是一个非常有效的方法
	   注意:内核IP转发(或一个实现相同功能的用户程序,如 fragrouter(8))必须提前打开。

选项
       -i 网卡接口        指定使用的网卡接口

       -c own|host|both   
	   指定在恢复arp配置时使用的硬件地址;在清理时,可以用自己的地址和主机的地址发送数据包。
	   用一个假的硬件地址发送数据包可能会破坏与某些switch/ap/bridge 配置的连接,
	   但是它比使用自己的地址更可靠,这是arpspoof事后清理的默认方式。

       -t target    指定要 ARP毒化 的主机(如果没有指定,默认局域网所有主机). 可以重复指定多个主机。
       -r           毒化两个主机(主机和目标)以捕获两个方向的流量。(只在与 -t 联合使用才有效)
       host         指定你希望拦截数据包的主机(通常是本地网关)。

参见;另请参阅
       dsniff(8), fragrouter(8)


	   
// 使用ARP毒化,重定向受害者的流量传送给攻击者。
root@bt:~# arpspoof -i eth0 -t 192.168.1.5 192.168.1.1    

// 第二个ARP毒化攻击使网关的数据重定向到攻击者的机器(流量由网关到攻击者再到受攻击者)
root@bt:~# arpspoof -i eth0 -t 192.168.1.1  192.168.1.2   


root@bt:~# arpspoof -i eth0 -t 192.168.1.5 192.168.1.1
root@bt:~# arpspoof -i eth0 -t 192.168.1.1 192.168.1.5

arpspoof 启用 arp欺骗,将自己网卡的IP地址伪装成指定IP地址的MAC持续不断的发送假的ARP响应包给一台或多台主机,以“毒害”其ARP缓存表。一旦成功,即可以用别的嗅探工具来“接收”发送到本地的数据包。与Ettercap不同的是, arpspoof并不进行真正的“嗅探”,它只是简单的进行ARP欺骗,本地主机 必须启动内核的IP Forwarding功能(或者使用fragrouter这样的工具),否则,所有“转向”发到本地的数据包就如同进了黑洞, 正常的网络通信将无法进行, 而一旦启动了本地的IP Forwarding,内核将自动对本地收到的目的IP却是别处的数据包进行转发,正常的通信自然可以进行。这样,就可以进行后续的工作,包括分析嗅 探得到的数据包、修改数据包中的某些信息以重新转发等等。

Ettercap则不光进行ARP欺骗,它还要做后续的许多工作,包括分析嗅探得到的数据包、修改数据包中的某些信息以重新转发等等。

在Linux中,缺省是禁止IP Forwarding的,可以使用下面命令启动它:
启用IP转发,输入下面命令(PS:利用Linux主机的路由功能):

root@bt:~# cat /proc/sys/net/ipv4/ip_forward
root@bt:~# echo 1 > /proc/sys/net/ipv4/ip_forward
root@bt:~# cat /proc/sys/net/ipv4/ip_forward

或者 修改下面文件

修改       #vi /etc/sysctl.conf          修改 net.ipv4.ip_forward=1
修改后运行 #sysctl –p                   命令使得内核改变立即生效;

一旦启动了本地的 IP Forwarding,内核将自动对本地收到的目的IP是别处的数据包进行转发,
(同时向数据包的源地址发送ICMP重定向报文, 当然, 由于启用了ARP欺骗, 这个重定向报文是不起作用的)。

arpspoof [-i interface] [-t targethost    如 果不指定tagget则向网络中所有的主机发送欺骗

dsniff 和 Ettercap 和 bettercap 详解 - 网络嗅探工具包_第1张图片


dnsspoof

root@kali:~# dnsspoof -h
Version: 2.4
用法: dnsspoof [-i interface] [-f hostsfile] [expression]

描述       
       dnsspoof启用DNS欺骗,如果dnsspoof嗅探到局域网内有DNS请求数据包,它会分析其内容,并用伪造的DNS响应包来回复请求者。
       如果是请求解析某个域名,dnsspoof会让域名重新指向另一个IP地址(黑客所控制的主机),
       如果反向IP指针解析,也会返回一个伪造的域名.
	   
       在dnsspoof的命令选项中,可以指定一个主机列表文件,文件格式与/etc/hosts相同,
       如果不指定该文件,dnsspoof会返回本地的IP给域名解析请求者。

选项
       -i interface    指定使用的网卡
       -f hostsfile    指定要欺骗的网址。如果不指定hostsfile,将返回本机的IP地址给攻击者
       expression      指定一个tcpdump(8)过滤器表达式来选择要嗅探的流量。就是指定一个Tcpdump准则 的 包过滤

文件
       /usr/share/dsniff/dnsspoof.hosts
              Sample hosts file.

参见;另请参阅
       dsniff(8), hosts(5)   // man 8 dsniff   或者  man 5 hosts

root@bt:#dnsspoof -i eth0 -f /usr/h22.hosts

dnsspoof [-i interface] [-f hostsfile] [expression]   这里-f 可以指定主机列表文件,文件格式与/usr/local/lib/dnsspoof.hosts相同,如果不指定该文件,dnsspoof会返回本地的 IP给域名解析请求者


这里本地主机会抢先代替DNS服务器来相应查询,前提是本地主机先回答DNS查询,如果因为 网络问题,DNS服务器先发送了应答,DNS欺骗就不能生效了


macof

macof 用来进行 MAC flooding,可以用来使交换机的MAC表溢出,对于以后收到的数据包以广播方式发送。

注意:在进行MAC泛洪之前就存在于交换机MAC表中的条目不会被覆盖,只能等到这些条目自然老化

在本地网络中发送大量的随机MAC地址的数据包,可以指定源IP、目的IP、源端口、目的端口,

以MAC洪水的方式来导致某些交换机丧失“交换”能力,以达到共享式嗅探的目的。

NAME
       macof - 用随机 MAC 地址 洪泛 交换式局域网络

用法
       macof [-i interface] [-s src] [-d dst] [-e tha] [-x sport] [-y dport]
       [-n times]

选项
       -i interface    指定发送的网卡接口
       -s src      指定源 IP 地址
       -d dst      指定目的 IP 地址
       -e tha      指定目标硬件地址
       -x sport    指定 TCP 源端口
       -y dport    指定 TCP 目的端口
       -n times    指定发送包 的 个数

       任何未指定的选项的值都是随机生成的。

参见;另请参阅
       dsniff(8)

macof [-i interface] [-ssrc] [-ddst] [-e tha] [-xsport] [-ydport] [-n times]

dsniff 和 Ettercap 和 bettercap 详解 - 网络嗅探工具包_第2张图片


tcpkill

tcpkill能够切断指定的TCP会话连接,主要是基于TCP的三次握手过程。 中断特定的TCP连接。

root@kali:~# tcpkill -h
Version: 2.4
Usage: tcpkill [-i interface] [-1..9] expression


NAME
       tcpkill - kill TCP connections on a LAN


选项
       -i interface    指定监听接口
       -1...9         指定在杀死连接时使用的蛮力的程度。
	                  为了在移动的接收窗口中找到一个RST,快速连接可能需要一个更高的数字。默认是3。
       expression     指定一个tcpdump(8)过滤器表达式来选择要杀死的连接
            

SEE ALSO
       dsniff(8), tcpnice(8)

dsniff 和 Ettercap 和 bettercap 详解 - 网络嗅探工具包_第3张图片

dsniff 和 Ettercap 和 bettercap 详解 - 网络嗅探工具包_第4张图片

这里,当tcpkill检测到两边的TCP连接后,会同时想两边(冒充对方)发送tcp reset报文,重置连接。

tcpnice

tcpnice能够通过在添加活动的流量,降低指定的LAN上的TCP连接的速度

tcpnice [-I] [-iinterface] [-nincrementexpression   这里的-n后面可以跟1-20,代表降低的速度,1为原速,20为最低

dsniff 和 Ettercap 和 bettercap 详解 - 网络嗅探工具包_第5张图片



其它交换网络嗅探器

Ettercap

官网:http://www.ettercap-project.org

Ettercap简要原理介绍以及使用说明:http://www.2cto.com/article/201301/183322.html

Ettercap使用记录之一 、二、三:http://www.cnblogs.com/lsbs/p/3842679.html 

man ettercap:https://linux.die.net/man/8/ettercap



dsniff 和 Ettercap 和 bettercap 详解 - 网络嗅探工具包_第6张图片

用法: ettercap [选项] [目标1] [目标2]

目标写法:(可以查看 man ettercap 获取更详细信息)
目标写法格式是:  MAC/IPs/PORTs   。依照这个规则,我们把目标可以精确到特定的主机和端口上。MAC、IP、和PORT为三个条件,为空代表ANY。
"//80"即表示对任意MAC、任意IP上的80端口进行嗅探。一般来说,MAC部分留空,除非你愿意去手动输入那一长串的MAC地址。因此,我们可以只用IP部分来确定目标主机。

注意:如果 IPv6 启用,目标是 MAC/IPs/IPv6/PORTs 这种形式。 即 mac地址,ip地址,端口号中间用 "/" 符号隔开,留空不写表示 “ANY”,即所有。

当IP有多个的时候,可以用英文","分隔不同的C段ip。可以用"-"表示连续的ip。可以用";"分隔不同表达形式的ip。
举例如下:"10.0.0.1-5;10.0.1.33" 表示 ip 10.0.0.1, 2, 3, 4, 5 和 10.0.1.33
端口部分也有类似的写法,看例子:"20-25,80,110" 表示 20, 21, 22, 23, 24, 25, 80 和 110

例如: 
      /192.168.1.1/                  表示 192.168.1.1 的所有端口号
      aa:bb:cc:dd:ee:ff//80          表示 aa:bb:cc:dd:ee:ff 的80端口.	 
	  
	  其中多个mac地址用英文符号分号 ';' 隔开。
	  多个ip地址和端口号可以用符号 '-' 表示连续 和 英文符号分号 ';' 隔开;
       e.g.
       "10.0.0.1-5;10.0.1.33"                    表示 10.0.0.1, 2, 3, 4, 5 和 10.0.1.33      
       "20-25,80,110"                            表示 20, 21, 22, 23, 24, 25, 80 和 110
	   /192.168.1.100-120;192.168.2.130/         表示 /192.168.1.100,101,102,103,~~120;192.168.12.130/ 
	  
	  这两个目标是为了过滤从一个到另一个之间的流量,反之亦然(因为连接是双向的)。
       "//80"                                    表示任意MAC地址,任意 IP ,但是端口是80 的目标。
       "/10.0.0.1/"                              表示任意 MAC地址,IP是10.0.0.1,任意端口 的 目标    
       "//"                                      表示 "子网中所有主机"。

      注意:
            可以在命令行用 -R 选项 反向 匹配 目标. So if you want to sniff
            如果要嗅探除了10.0.0.1目标的所有进出流量。可以这样写:"./ettercap -R /10.0.0.1/"

	  注意:
           目标也就是对局域网初始扫描扫描的主机。你可以通过netmask来限制只扫描网络中的一部分主机。
           结果是扫描两部分目标后后并的结果。还记得没有指定目标就意味着“没有目标”,但是指定“//”意味着“子网中的所有主机”。

嗅探 和 攻击 选项:
  -M, --mitm     中间人攻击,即两台终端间进行欺骗。(后面跟的参数可以参看 man ettercap)
  -o, --only-mitm             不嗅探,只执行中间人攻击
  -b, --broadcast             嗅探广播数据包
  -B, --bridge         使用桥接嗅探 (需要2个网络接口)。即 双网卡之间进行欺骗
  -p, --nopromisc             不把网络接口设置成混杂模式
  -S, --nosslmitm             不伪造SSL证书。即不使用ssl中间人攻击
  -u, --unoffensive           不转发数据包
  -r, --read            从 pcapfile  读取数据
  -f, --pcapfilter    set the pcap filter 
  -R, --reversed              反转目标匹配。(即 匹配所有和目标不匹配的)
  -t, --proto          设置要嗅探的协议(默认嗅探所有)
      --certificate     ssl中间人攻击使用指定的 证书文件 
      --private-key     ssl中间人攻击使用指定的 私钥文件 

运行界面类型:
  -T, --text                  文本模式显示 
       -q, --quiet            安静模式,不显示嗅探数据 
       -s, --script      加载脚本 
  -C, --curses                curses-UI模式 
  -D, --daemon                守护模式(后台模式)(no GUI)
  -G, --gtk                   GTK-UI模式 

日志记录选项:
  -w, --write           把嗅探到的数据写入到 pcapfile 
  -L, --log          把所有数据包保存日志文件中 
  -l, --log-info     仅仅记录被动信息到这个日志文件中
  -m, --log-msg      将所有的消息记录到这个日志中。
  -c, --compress              使用gzip压缩日志文件

可视化选项:
  -d, --dns                   把IP地址解析成主机名
  -V, --visual        显示方式 
  -e, --regex          使用一个正则表达式 
  -E, --ext-headers           为每个pck打印扩展标题
  -Q, --superquiet            超级安静模式,啥信息都不显示,只保存 

LUA脚本 选项:
      --lua-script ,[,...]     使用逗号分割lua脚本
      --lua-args n1=v1,[n2=v2,...]               使用逗号分割传给lua脚本的参数

通用基本选项:
  -i, --iface          指定网络接口
  -I, --liface                显示所有网络接口
  -Y, --secondary     后备网卡
  -n, --netmask      在网络接口上强制使用这个  网络掩码
  -A, --address 
ip地址,针对一网卡多ip的情况 -P, --plugin 载入插件 -F, --filter 载入过滤器文件 (content filter) -z, --silent 不进行arp毒化和主机扫描 -6, --ip6scan 在链路上发送 ICMPv6 探测和发现 IPv6 节点 -j, --load-hosts 从文件中载入主机列表 -k, --save-hosts 保存主机列表到文件中 -W, --wifi-key 载入 WIFI 密码(wep或wpa) -a, --config 载入并使用一个非默认配置文件 标准选项: -v, --version 打印版本信息并退出 -h, --help 显示帮助信息

Ettercap有两种运行方式,UNIFIED 和 BRIDGED。

其中,UNIFIED的方式是以中间人方式嗅探;BRIDGED方式是在双网卡情况下,嗅探两块网卡之间的数据包。

UNIFIED方式的大致原理:

UNIFIED方式是同时欺骗A和B,把原本要发给对方的数据包发送到第三者C上,然后由C再转发给目标。
这样C就充当了一个中间人的角色。因为数据包会通过C那里,所以C可以对数据包进行分析处理,导致了原本只属于A和B的信息泄露给了C。
UNIFIED方式将完成以上欺骗并对数据包分析。
Ettercap劫持的是A和B之间的通信,在Ettercap眼中,A和B的关系是对等的。

BRIDGED方式原理:

BRIDGED方式 有点像笔记本电脑上有两个网卡,一个有线网卡一个无线网卡。可以将有线网卡的internet连接共享给无线网卡,这样笔记本就变成了一个无线ap。
无线网卡产生的所有数据流量都将传送给有线网卡。BRIDGED方式ettercap嗅探的就是这两块网卡之间的数据包。

一般而言,我们会使用UNIFIED方式。其运行参数为 -M(M是MITM的首字母,为中间人攻击的缩写)。

Ettercap,它相当于ARP病毒和密码嗅探界的瑞士军刀。通常在非互动模式中使用它,但是默认情况下它的交互界面非常友好,使用起来很方便。
如果我们的目标是网络上的所有主机,想要嗅探每个节点之间的所有传输,我们可以用下列命令: ettercap -T -q -M ARP // //
你应当谨慎的使用上面那段命令,因为如果把一个大网络中所有的传输都通过一台很慢的计算机的话,那么这很有可能使整个网络连接瘫痪。
可以找个替罪羊,来看看 Ip 地址为 192.168.1.1 的主机,我们可以使用如下命令:ettercap -T -q -M ARP /192.168.1.1/ //
如果192.168.1.1是网关,我们应该可以看到所有的输出传输。下面是这些命令行选项的功能:
-T    告诉Ettercap使用文字界面,我最喜欢这个选项,因为GUI模式太复杂了。
-q    让Ettercap安静些,换句话说就是少些冗长的文字报告。
-M    让Ettercap我们想要使用的MITM(人参与其中)方式,本例中是ARP病毒。

中间人攻击-ARP毒化:http://www.2cto.com/article/201207/144532.html

常见的参数组合:

#arp毒化eth0所在的网段,安静模式文本显示
ettercap -Tqi eth0 -M ARP // // 

#监听10.0.0.1的ftp,ssh,telnet信息,并保存到本地
ettercap -Tzq /10.0.0.1/21,22,23  -w hack.pcap 

#对192.168.1.120进行dns欺骗,使用默认网卡eth0,文本模式安静显示 
ettercap -Tq -P dns_spoof -M arp /192.168.1.120/ //   

#使用过滤并监听10.0.0.2在80端口的所有通信,安静模式文本显示,保存数据到本地   
ettercap -Tqi eth0 -L sniffed_data -F filter.ef -M arp:remote /10.0.0.2/80 //     

在控制台模式下(-T)不使用混杂模式(-p),你只会看到自己的通信。
ettercap -Tp

在控制台模式下(-T),不使用ARP初始化(-z),不显示数据包内容(-q安静模式),但是会显示用户名和密码和其他消息。
ettercap -Tzq

在控制台模式下(-T),加载主机列表(-j),对目标执行arp毒化中间人攻击(-M arp)
ettercap -T -j /tmp/victims -M arp /10.0.0.1-7/ /10.0.0.10-20/

在控制台模式下(-T),对整个局域网执行ARP毒化攻击(-M arp)
ettercap -T -M arp // //

在控制台模式下(-T),执行ARP双向欺骗(-M arp:remote)
ettercap -T -M arp:remote /192.168.1.1/ /192.168.1.2-10/

在控制台模式下(-T),不使用ARP初始化(-z),使用安静模式(-q),监听所有主机110端口(pop3协议端口)
ettercap -Tzq //110

在控制台模式下(-T),不进行ARP初始化(-z),使用安静模式(-q),监听目标10.0.0.1的21,22,23端口(FTP、SSH、TELNET)
ettercap -Tzq /10.0.0.1/21,22,23

打印输出可用插件列表。
ettercap -P list
ettercap局域网内DNS欺骗: http://www.cnblogs.com/lvchenfeng/p/5596572.html

强大的嗅探工具ettercap使用教程:http://www.yunsec.net/a/security/web/invasion/2012/0127/9982.html



bettercap 

bettercap 官网 DOC:https://www.bettercap.org/

Bettercap 使用指南:http://xiaix.me/bettercap-shi-yong-zhi-nan/

完整,模块化,轻量级,易扩展的MITM框架 – bettercap:http://www.freebuf.com/sectool/73287.html

 _          _   _
| |__   ___| |_| |_ ___ _ __ ___ __ _ _ __
| '_ \ / _ \ __| __/ _ \ '__/ __/ _` | '_ \
| |_) |  __/ |_| ||  __/ | | (_| (_| | |_) |
|_.__/ \___|\__|\__\___|_|  \___\__,_| .__/
                                     |_| v1.6.1b
http://bettercap.org/

更多示例和帮助文档 https://bettercap.org/docs/


用法: bettercap [options]

主要选项:
    -I, --interface IFACE            网卡接口名 - 默认: eth0
        --use-mac ADDRESS            执行攻击前指定网卡的 MAC 地址.
        --random-mac                 执行攻击前使用随机的 MAC 地址.
    -G, --gateway ADDRESS            手动指定网关地址。如果不指定,则使用当前的网关地址 
    -T, --target ADDRESS1,ADDRESS2   目标 IP 地址,如果不指定,则目标就是所有的子网地址。
        --ignore ADDRESS1,ADDRESS2   要忽略的 IP 地址。
        --no-discovery               不要主动搜索主机,只使用当前的ARP缓存,默认为false。
        --no-target-nbns             禁用目标NBNS主机名解析。
        --packet-throttle NUMBER     秒数(可以是一个十进制数)在每个数据包之间等待发送的时间。
        --check-updates              将检查是否有更新可用,然后退出。
    -R, --rainbows                   彩虹的输出,因为这是一个非常有用的东西(requires the "lolize" gem to be installed)。
    -h, --help                       显示可用的选项。

日志选项:
    -O, --log LOG_FILE               将所有消息记录到一个文件中,如果没有指定日志消息将只会打印到shell中。
        --log-timestamp              在每一行日志中启用时间戳,默认禁用
    -D, --debug                      启用调试日志记录。
        --silent                     废弃所有不是错误或警告的信息,默认为false.即只记录错误和警告日志。

欺骗选项:
    -S, --spoofer NAME               使用欺骗模块。 可用的模块: NONE, ICMP, ARP, NDP 。 默认: IPv4 是 ARP, IPv6 是 NDP.
        --no-spoofing                禁用欺骗。 等价于 --spoofer NONE.
        --full-duplex                启用双工 MITM。这将使 bettercap 在 目标 和 路由器 之间进行双向中间人攻击
        --kill                       这个 开关 使 目标连接 被杀死,而不是转发数据包.

嗅探选项:
    -X, --sniffer                    启用 嗅探.
    -L, --local                      Parse packets coming from/to the address of this computer ( 注意:  -X 必须设置 ), 默认false.
        --sniffer-source FILE        载入 捕获的包 PCAP 文件( will enable sniffer ).
        --sniffer-output FILE        保存 捕获的包 PCAP 到文件中 ( will enable sniffer ).
        --sniffer-filter EXPRESSION  Configure the sniffer to use this BPF filter ( will enable sniffer ).
    -P, --parsers PARSERS            Comma separated list of packet parsers to enable, '*' for all ( NOTE: Will set -X to true ), available: POST, PGSQL, IRC, MPD, REDIS, URL, WHATSAPP, SNMP, COOKIE, DICT, MYSQL, TEAMVIEWER, MAIL, SNPP, HTTPS, HTTPAUTH, NTLMSS, FTP, DHCP, RLOGIN, NNTP - default: *
        --disable-parsers PARSERS    Comma separated list of packet parsers to disable ( NOTE: Will set -X to true )
        --custom-parser EXPRESSION   Use a custom regular expression in order to capture and show sniffed data ( NOTE: Will set -X to true ).

代理选项:
  TCP:

        --tcp-proxy                  启用 TCP 代理 ( requires other --tcp-proxy-* options to be specified ).
        --tcp-proxy-module MODULE    Ruby TCP proxy module to load.
        --tcp-proxy-port PORT        Set local TCP proxy port, default to 2222 .
        --tcp-proxy-upstream ADDRESS:PORT
                                     Set TCP proxy upstream server address and port.
        --tcp-proxy-upstream-address ADDRESS
                                     Set TCP proxy upstream server address.
        --tcp-proxy-upstream-port PORT
                                     Set TCP proxy upstream server port.

  UDP:

        --udp-proxy                  启用 UDP 代理 ( requires other --udp-proxy-* options to be specified ).
        --udp-proxy-module MODULE    Ruby UDP proxy module to load.
        --udp-proxy-port PORT        Set local UDP proxy port, default to 3333 .
        --udp-proxy-upstream ADDRESS:PORT
                                     Set UDP proxy upstream server address and port.
        --udp-proxy-upstream-address ADDRESS
                                     Set UDP proxy upstream server address.
        --udp-proxy-upstream-port PORT
                                     Set UDP proxy upstream server port.
  HTTP:

        --proxy                      Enable HTTP proxy and redirects all HTTP requests to it, default to false.
        --proxy-port PORT            Set HTTP proxy port, default to 8080.
        --allow-local-connections    Allow direct connections to the proxy instance, default to false.
        --no-sslstrip                Disable SSLStrip.
        --log-http-response          Log HTTP responses.
        --no-http-logs               Suppress HTTP requests and responses logs.
        --proxy-module MODULE        Ruby proxy module to load, either a custom file or one of the following: injectcss, injectjs, redirect, injecthtml.
        --http-ports PORT1,PORT2     Comma separated list of HTTP ports to redirect to the proxy, default to 80.
        --proxy-upstream-address ADDRESS
                                     If set, only requests coming from this server address will be redirected to the HTTP/HTTPS proxies.

  HTTPS:

        --proxy-https                Enable HTTPS proxy and redirects all HTTPS requests to it, default to false.
        --proxy-https-port PORT      Set HTTPS proxy port, default to 8083.
        --proxy-pem FILE             Use a custom PEM CA certificate file for the HTTPS proxy, default to /root/.bettercap/bettercap-ca.pem .
        --https-ports PORT1,PORT2    Comma separated list of HTTPS ports to redirect to the proxy, default to 443.

  CUSTOM:

        --custom-proxy ADDRESS       Use a custom HTTP upstream proxy instead of the builtin one.
        --custom-proxy-port PORT     Specify a port for the custom HTTP upstream proxy, default to 8080.
        --custom-https-proxy ADDRESS Use a custom HTTPS upstream proxy instead of the builtin one.
        --custom-https-proxy-port PORT
                                     Specify a port for the custom HTTPS upstream proxy, default to 8083.
        --custom-redirection RULE    Apply a custom port redirection, the format of the rule is PROTOCOL ORIGINAL_PORT NEW_PORT. For instance TCP 21 2100 will redirect all TCP traffic going to port 21, to port 2100.

服务器选项:
        --httpd                      Enable HTTP server, default to false.
        --httpd-port PORT            Set HTTP server port, default to 8081.
        --httpd-path PATH            Set HTTP server path, default to ./ .
        --dns FILE                   Enable DNS server and use this file as a hosts resolution table.
        --dns-port PORT              Set DNS server port, default to 5300.

事实上你使用的不仅仅是一款工具,或许还会使用到arpspoof进行Arp欺骗,mitmproxy拦截HTTP内容并注入你的payload等等。对于我来说,我很讨厌进行一项简单的攻击却需要使用一大堆的工具来进行操作。


Cain

Cain,这个Windows用户会觉得很好用。总之,它功能强大,操作简单。如果你喜欢漂亮的图形界面,Cain就是你很好的选择之一。它不像Ettercap那么多选项,但是很酷也有很多Windows附加功能。


Driftnet

还有为了查看特定内容的专门的嗅探器。Driftnet 能够分析出人们上网看到的图片。



使用 Dsniff 和 Ettercap 快速演示 ARP 欺骗

        在现代的局域网当中,交换式局域网是主流,广播式的局域网已经或者不在存在,以前要嗅探局域网络上传输的信息只需将网卡设置为混合模式,通过捕获数据包的软件,就可以截取。现在交换式以太网或者局域网中,交换机通过查看路由表(不严格的说法)发送信息。要想截获两台主机中传递的信息可以通过 arp 欺骗获得。

在linux下使用arpspoof和dsniff欺骗的操作如下

首先打开linux自带的路由转发功能
编辑 /proc/sys/net/ipv4/ip-forward 文件
echo 1 > /proc/sys/net/ipv4/ip-forward

打开 arpspoof
arpspoof -t 你要欺骗的主机ip地址 网关ip地址(这里你可以定向的你想要的ip地址) &(在后台运行)

打开 dsniff
使用默认的捕获表
dsniff -c -f /usr/share/dsniff/dsniff.services (当然这里你可以自己定制需要捕获端口的规则)
具体写法可以 cat /usr/share/dsniff/dsniff.services 查看编写的规则 

首先你应该确定包转发已经开启,不然我们的机器会丢弃所有我们想要嗅探的主机之间的传输,导致服务无响应。
我用的一些工具会自动进行这项工作(比如Ettercap),但是保险起见,你也许会希望自己来做这件事。
根据操作系统的不同,你可以使用如下的命令:
Linux:
echo 1 > /proc/sys/net/ipv4/ip_forward
BSD:
sysctl -w net.inet.ip.forwarding=1
现在你的计算机将会转发所有的传输,现在你可以开始ARP欺骗了。

如果想要嗅探一个主机和网关之间的所有传输,并查看它发送到网络上的双向传输的所有数据。
可以使用如下2个命令行:
arpspoof -t 192.168.1.1 192.168.1.2 & >/dev/null 
arpspoof -t 192.168.1.2 192.168.1.1 & >/dev/null

“& >/dev/nul”部分是为了使它在终端运行起来更容易,但是为了debug,你可能想要忽略它。

现在你可以使用你想要的任何套件来嗅探连接。新手的话,我推荐使用Dsniff,它支持ARPspoof来嗅探纯文本密码。
用Dsniff开始嗅探,你只需退出到命令窗口并输入:

dsniff
Dsniff找到用户名和密码后,它会将它们显示在屏幕上。
如果你想要查看所有其他传输,我推荐你使用TCPDump或者 Wireshark。如果想要停止ARP欺骗,输入如下命令:
killall arpspoof
这会关闭上面启动的2个 Arpspoof。


http://www.cnblogs.com/lsbs/p/3842679.html

http://blog.csdn.net/c465869935/article/details/50900067

http://wxfplane.blog.51cto.com/10720689/1749951/

https://wenku.baidu.com/view/bea211156edb6f1aff001f92.html

http://www.vfocus.net/art/20120214/9763.html



你可能感兴趣的:(Kali)