Ettercap系列 I+:名词解释

 《Ettercap系列 I:基于gtk界面》作为Ettercap系列的开篇,侧重于演示Ettercap的使用步骤。有些名词/操作需要解释一下,故有此篇。

1.开始扫描主机前,在Sniff选项下有Unified sniffing和Bridge sniffing两个选项。Unified sniffing刻意理解为同时欺骗主机A和B,将本要发给对方的数据包发送到中间人C上,然后由C再转发给目标,C充当了一个中间人的角色。在Ettercap看来,A和B的关系是对等的;而Bridge方式是在双网卡情况下,嗅探两网卡设备之间的数据包,将其中一个网卡传输的数据并发送到另一个网卡。

2.ARP欺骗前,在MITM--"Arp Poisoning"弹出的复选框中勾选了"Sniff remote connections"。其实,复选框中还有另一个选项:“Only poison one-way”。这两个选项有什么区别?其实这是单向欺骗和双向欺骗的区别。假设局域网中有AB两台机器,A是路由器,B是局域网主机。B发送请求经过A,到达互联网上某台服务器;服务器处理请求后,发出的响应通过A返回到B。

2a).我们来看下单向欺骗的情景:现在局域网中出现了中间人C,他选择了ettercap中MITM菜单下的"Only poison one-way"选项,那么,所有从主机B发出的请求都会先由C转发,经过A到达互联网上的服务器;但是,服务器发回的响应还是正常的通过A发回给B,并不会被C截获。

2b).再来看下剩下的双向欺骗的情景:这次中间人C选择了"Sniff remote connections."那么,B发出的请求会经由C转发到服务器;而服务器发出的响应,会先到达C,然后到达B。

3.可能有人会问添加被欺骗主机时,我为什么将天猫精灵添加到Target1列表,而将路由器添加到Target2列表?能不能反过来做?要回答这个问题,还得参考上面的问题2。如果选择MITM时,勾选了"Only poison one-way",那么,Targets1就相当于主机B的身份,Targerts2相当于路由器A。由于中间人只能捕获到主机B发出的数据包,为了能正确的抓包我们需要对加入Target1和Target2的主机加以区分;勾选了"Sniff remote connections",由于中间人可以抓到通信双方的数据包,我觉得没必要刻意区分Target1和Target2。

参考:Ettercap使用记录之二

你可能感兴趣的:(抓包,协议分析)