最近邻居夜生活猖獗,打游戏“砸键盘”、搞直播弹琴唱歌以及各种与人视频聊天,每天半夜十二点以后,笑声、骂声、弹琴声、唱歌声轮番上阵,先前公用路由是我控制的,密码只有我一人知道,还能限个速。这两天这哥们找个了人把路由器初始化,然后自己设置了管理密码,更疯狂的猖獗的闹腾了。好吧,你有张良计,我有过墙梯。

     "Ettercap是一款强大的可以被称为神器的工具,同类型软件中的佼佼者。Ettercap是开源企且跨平台 的,Ettercap在某些方面和dsniff有相似之处,同样可以很方便的工作在交换机环境下,当然,Ettercap最初的设计初衷和定位,就是一款 基于交换网上的sniffer,但随着版本更迭,它具备越来越多的功能,成为一款强大的、有效的、灵活的软件。它支持主动及被动的协议解析并包含了许多网 络和主机特性分析。"

                                                                                                      ----摘自网络

一、平台与软件工具

工具:mbp一台,i7+8G+256Gssd

需要安装的软件:

    1、homebrew    Mac OSX上的软件包管理工具,类似于centos上的yum,ubuntu上的apt-get。

    2、Xcode    运行在操作系统Mac OS X上的集成开发工具(IDE)。

    3、libtiff    tiff是一种灵活的位图格式,主要用来存储包括照片和艺术图在内的图像,libtiff是tiff的标准实现,有了libtiff才可以安装gtk+3,有了gtk,ettercap才可以以窗口形式展示。

    4、gtk+3    是一套源码以LGPL许可协议分发、跨平台的图形工具包

    5、ettercap    上文介绍了,是一款强大的可以被称为神器的工具。


二、安装软件

      1、homebrew 安装

           homebrew的安装非常简单,打开终端执行一下命令:

  ~ ruby -e "$(curl -fsSL https://raw.githubusercontent.com/Homebrew/install/master/install)"

         已经安装过homebrew的需要执行:

  ~ sudo brew update/brew update

         旧版homebrew是需要sudo的,而新版。。。具体我也不知道在哪一版,取消了sudo,可以先不加sudo更新,如果失败再加上。更新后安装软件可能会报错,需要检查/Users/$(whoami)/Library/Logs/Homebrew和/Users/$(whoami)/Library/Logs/Homebrew两目录权限是否是root,如果目录和文件权限是root,需要执行以下命令修改权限,否则使用sudo执行会报权限太大,不使用sudo又报权限不足。

    2、Xcode在app store中可以搜索到,免费安装。

    3、安装libtiff

         安装libtiff有两种方法,但不保证哪种能成功,一个是brew install 一个是编译安装,编译安装会有make all的报错,brew 很大可能会被墙掉,brew可以多试试或者找***连一下,实在不行就研究一下编译安装。

  ~ brew install libtiff

或者

  ~ wget 
  ~ tar xvzf tiff-4.0.6.tar.gz
  ~ cd tiff-4.0.6
  ~ ./configure --prefix=/usr/local
  ~ make
  ~ make clean

    

4、安装gtk+3

  ~ brew install gtk+3


5、安装ettercap

  ~ brew install ettercap --with-gtk+

不加--with-gtk+ 就不能以ettercap -G形式启动,也就是不能以窗口图形化形式启动,只能使用指令行或者伪图形界面(例如下图:)

macos或类linux 系统安装ettercap + gtk3 抓取并分析邻居数据包_第1张图片


三、

安装完后以ettercap -G形式启动(!!!记得加sudo):

sudo ettercap -G

macos或类linux 系统安装ettercap + gtk3 抓取并分析邻居数据包_第2张图片

macos或类linux 系统安装ettercap + gtk3 抓取并分析邻居数据包_第3张图片

上面的步骤是:

1、选择unified sniffing (统一嗅探器??) 。

2、在弹出的窗口选择网卡,一般是连wifi那张,可以在终端使用ifconfig查看。

3、选择后可看到上面的信息,正在程序就开始监听选定的网卡了。

macos或类linux 系统安装ettercap + gtk3 抓取并分析邻居数据包_第4张图片

4、选择scan for hosts 即可列出除本机外的所有局域网内所有客户端的ip地址。

5、再次点击hosts选择hosts list即可查看此列表。

6、点击想要监控的ip地址,点击Add to Target 添加到Target 1,可添加多个。

7、点击网关地址,再点击Add to Target2添加到target2,需要根据实际情况来,可使用如下指令查看:

 netstat -rn | grep default | grep -e '[0-9]\{1,3\}.[0-9]\{1,3\}.'

我们其实就是要插入到target1和target2,做一个转发工作,并把数据包拷贝一份记录到本机。

也可以点击targets选项卡,点击current targets,在弹出框中设置,例如想要的ip一直刷不出来。

但是就是确定有这个ip。

8、选择日志文件,填上文件名,程序会自动创建,我一般就选/tmp 目录,因为很多目录都没有权限,我也没研究这个。。。总之很坑,没权限就直接退出。

macos或类linux 系统安装ettercap + gtk3 抓取并分析邻居数据包_第5张图片

9、点击Mitm下的ARP poisoning。如此,就开始ARP欺骗了,不不。。是代理网关。。但是如果你自己做测试,你会发现受监控的机器是不能上网的,这是因为mac没有打开路由转发功能。

打开:

 sudo sysctl -w net.inet.ip.forwarding=1

关闭:

 sudo sysctl -w net.inet.ip.forwarding=0

也就是这个功能,可以做个定时任务,五分钟关闭一次,过半分钟再打开。呵呵,,我让你半宿直播。。。


10、tail -f 查看日志的更新情况

此时查看的是乱码,这个日志后缀名是.ecp ,我刚才设置了/tmp/test.log,那他就是/tmp/test.log.ecp。对于这种日志格式,ettercap有自己的查看工具:etterlog。

etterlog test.log.ecp

macos或类linux 系统安装ettercap + gtk3 抓取并分析邻居数据包_第6张图片

macos或类linux 系统安装ettercap + gtk3 抓取并分析邻居数据包_第7张图片

如上两张图,第一张是抓到的http的header信息,通过访问改hostdoman+url可以下载到一个视频,原来是我的手机查看的微博视频。其他的一些获取header、session、url、host甚至是一些加密的数据包还是需要各自努力实现吧,chrome的EditThisCookie和postman也是很不过的工具哦。