Ettercap-arp欺骗

EtterCap是一个基于ARP地址欺骗方式的网络嗅探工具，主要适用于交换局域网络。借助于EtterCap嗅探软件，渗透测试人员可以检测网络内明文数据通讯的安全性，及时采取措施，避免敏感的用户名/密码等数据以明文的方式进行传输。ettercap几乎是每个渗透测试人员必备的工具之一。

---

• Ettercap权限提升
  kali linux默认自带Ettercap工具，需要以root用户去登录，但是默认的权限比较低，为了以后的使用方便，我们还需要在配置文件中修改防火墙设置。
  查看当前版本
  
  打开配置文件，修改权限
  
  保存退出，,梦想开始。

• arp欺骗原理
  [图片来源于网络，侵权必删]

  ARP欺骗分为二种，一种是对路由器ARP表的欺骗；另一种是对内网PC的网关欺骗。

• 第一种ARP欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网MAC地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC地址，造成正常PC无法收到信息。

• 第二种ARP欺骗的原理是——伪造网关。它的原理是建立假网关，让被它欺骗的PC向假网关发数据，而不是通过正常的路由器途径上网。在PC看来，就是上不了网了，“网络掉线了”。
  一般来说，ARP欺骗攻击的后果非常严重，大多数情况下会造成大面积掉线。有些网管员对此不甚了解，出现故障时，认为PC没有问题，交换机没掉线的“本事”，电信也不承认宽带故障。而且如果第一种ARP欺骗发生时，只要重启路由器，网络就能全面恢复，那问题一定是在路由器了。为此，宽带路由器背了不少“黑锅”。

其实很简单，就是按受害者以为我们就是网关，那么所有的流量会经过攻击者伪造的主机进行转发。如果攻击者不进行数据转发，就会造成被攻击者无法访问网络的效果。

扫描指定局域网下的主机：

查看当前局域网的网关地址：

输入以下命令，伪造被攻击者10.5.69.129（XXW-PC）这台主机的网关

可以看到，被攻击者已经无法上网啦，因为攻击主机并没有将被攻击者发来的数据报转发出去

可以看到，当把攻击停下来的时候，被攻击者已经可以正常上网啦。

---

Ettercap图片嗅探

1. driftnet的介绍
driftnet是一款用于抓取指定接口数据流上面图片的软件，并且把嗅探到的图片显示在Linux下的一个窗口当中。

主要参数

• -b 捕获到新图片时发出哔哔声
• -i 选择要监听的接口，默认是所有接口
• -f 读取一个指定pcap数据包中的图片
• -p 不让监听的接口进入混杂模式
• -a 辅助模式：不在屏幕上展示，保存在临时目录下，不过会显示名称
• -m 在辅助模式下，可以在临时目录下的最大数量
• -d 指定临时目录
• -x 指定前缀名

2.创建一个保存图片的临时目录

3.一边输入命令开始捕获流量并且将其转换为图片，

4.一边开始嗅探流量包

5.这时候我们打开目标主机，上网浏览图片

6.从终端可以看到已经捕获到了图片，打开前面创建的临时目录看看

---

Ettercap-DNS劫持

1.DNS欺骗的基本原理
DNS欺骗就是攻击者冒充域名服务器的一种欺骗行为。如果可以冒充域名服务器，然后把查询的IP地址设为攻击者的IP地址，这样的话，用户上网就只能看到攻击者的主页，而不是用户想要取得的网站的主页了，这就是DNS欺骗的基本原理。
2.开启apache2服务

3.编辑配置文件

在配置文件中增加这样一条数据

4.在终端中输入命令，开始DNS劫持

5.打开测试机，访问域名以.com结束的网站

打开的是攻击者的本地网页

DNS劫持成功。