Ettercap网络嗅探工具攻略

文章目录

    • 简介
    • 中间人攻击
    • 插件
    • 命令运行
    • 参考

简介

Ettercap是一款开源的网络嗅探工具,是实现局域网内中间人攻击的神器,结合众多强大的插件,可以发起ARP欺骗、DNS欺骗、DHCP欺骗、会话劫持、密码嗅探等攻击活动。

4种模式

  • 命令行模式: -T
  • GTK2图形化模式: -G
  • Curess图形化模式: -C
  • 守护进程模式: -D

2种运行方式

  • UNIFIED(默认):中间人嗅探,此模式下系统内核(kernel)的转发功能默认是被ettercap禁用的

  • BRIDGED:两块网卡中间嗅探两块网卡的数据

目标格式

  • MAC/IPs/IPv6/PORTs

    默认为any

eg:
ettercap -Tq /// /// #所有
ettercap -Tq /192.168.1.1// /192.168.1.254//

中间人攻击

1.ARP双向欺骗

实验环境:

kali -> ip:192.168.1.114 gw:192.168.1.1
win7 -> ip:192.168.1.119 gw:192.168.1.1
  • 图形化:

选择UNIFED

Ettercap网络嗅探工具攻略_第1张图片

选择网卡

Ettercap网络嗅探工具攻略_第2张图片

扫描局域网主机

Ettercap网络嗅探工具攻略_第3张图片

再进入->‘Hosts list’,添加target1target2,分别是目标机,和网关

Ettercap网络嗅探工具攻略_第4张图片

‘Targets’->‘Current targets’ 可查看并修改’Target’

‘Targets’->'Select target(s)'可手动添加目标

Ettercap网络嗅探工具攻略_第5张图片

选择菜单’Mitm’->‘ARP poisoning’,开启arp双向欺骗,如图

Ettercap网络嗅探工具攻略_第6张图片

双向欺骗(remote):对两个目标的Arp缓存都进行毒化,对两者之间的通信进行监听。

单向欺骗(oneway):只会监听从第一个目标到第二个目标的单向通信内容。一般会选择使用双向欺骗的方式来获取所有的数据包进行嗅探分析。

这个时候已经能监听他们之间的流量

  • 命令行
# ettercap -Tq -M arp:remote /192.168.1.119// /192.168.1.1//
-T 命令行模式
-q 安静模式
-M 中间人攻击 arp:remote/oneway arp:双向欺骗/单项欺骗

2.DHCP欺骗

伪装成DHCP服务器

  • 图形化

    选择菜单’Mitm’->‘DHCP spoofing’

Ettercap网络嗅探工具攻略_第7张图片

  • 命令行

    # ettercap -Tq -M dhcp:192.168.1.1-100/255.255.255.0/192.168.1.254
    

3.ICMP重定向

造一个ICMP重定向报文伪装成最近的一台路由主机

  • 图形化

    选择菜单’Mitm’->‘ICMP redirect’

  • 命令行:

    # ettercap -Tq -M icmp:mac/ip
    

插件

插件目录/usr/lib/ettercap

图形化下的插件目录

Ettercap网络嗅探工具攻略_第8张图片

1.dns_spoof

毒化嗅探到的dns请求

# vim /etc/ettercap/etter.dns

添加一条记录,指向kali

Ettercap网络嗅探工具攻略_第9张图片

kali开启web服务

service apache2 restart  #重启Apache服务 

先发起arp中间人攻击

双击启动插件

Ettercap网络嗅探工具攻略_第10张图片

访问的网站被指向到了kali的Web站点

Ettercap网络嗅探工具攻略_第11张图片

Ettercap网络嗅探工具攻略_第12张图片

ps:这个对网络污染比较大,被毒化后一段时间才能恢复正常

2.rand_flood

mac泛洪

直接使用,可造成mac地址溢出,使通讯只能使用广播,就可以监听

命令运行

1.命令运行后输h会出现帮助信息

Ettercap网络嗅探工具攻略_第13张图片

2.嗅探的内容也会打印,比如明文的密码

参考

官方手册

ettercap的使用帮助文档

你可能感兴趣的:(网络)