Ettercap网络嗅探工具攻略

简介

Ettercap是一款开源的网络嗅探工具，是实现局域网内中间人攻击的神器，结合众多强大的插件，可以发起ARP欺骗、DNS欺骗、DHCP欺骗、会话劫持、密码嗅探等攻击活动。

4种模式

• 命令行模式: -T
• GTK2图形化模式: -G
• Curess图形化模式: -C
• 守护进程模式: -D

2种运行方式

• UNIFIED(默认):中间人嗅探,此模式下系统内核（kernel）的转发功能默认是被ettercap禁用的

• BRIDGED:两块网卡中间嗅探两块网卡的数据

目标格式

• MAC/IPs/IPv6/PORTs

  默认为any

eg:
ettercap -Tq /// /// #所有
ettercap -Tq /192.168.1.1// /192.168.1.254//

中间人攻击

1.ARP双向欺骗

实验环境:

kali -> ip:192.168.1.114 gw:192.168.1.1
win7 -> ip:192.168.1.119 gw:192.168.1.1

• 图形化:

选择UNIFED

选择网卡

扫描局域网主机

再进入->‘Hosts list’,添加target1和target2,分别是目标机,和网关

‘Targets’->‘Current targets’ 可查看并修改’Target’

‘Targets’->'Select target(s)'可手动添加目标

选择菜单’Mitm’->‘ARP poisoning’,开启arp双向欺骗,如图

双向欺骗(remote):对两个目标的Arp缓存都进行毒化，对两者之间的通信进行监听。

单向欺骗(oneway):只会监听从第一个目标到第二个目标的单向通信内容。一般会选择使用双向欺骗的方式来获取所有的数据包进行嗅探分析。

这个时候已经能监听他们之间的流量

• 命令行

# ettercap -Tq -M arp:remote /192.168.1.119// /192.168.1.1//
-T 命令行模式
-q 安静模式
-M 中间人攻击 arp:remote/oneway arp:双向欺骗/单项欺骗

2.DHCP欺骗

伪装成DHCP服务器

• 图形化

  选择菜单’Mitm’->‘DHCP spoofing’

• 命令行

  # ettercap -Tq -M dhcp:192.168.1.1-100/255.255.255.0/192.168.1.254
  

3.ICMP重定向

造一个ICMP重定向报文伪装成最近的一台路由主机

• 图形化

  选择菜单’Mitm’->‘ICMP redirect’

• 命令行:

  # ettercap -Tq -M icmp:mac/ip
  

插件

插件目录/usr/lib/ettercap

图形化下的插件目录

1.dns_spoof

毒化嗅探到的dns请求

# vim /etc/ettercap/etter.dns

添加一条记录,指向kali

kali开启web服务

service apache2 restart  #重启Apache服务 

先发起arp中间人攻击

双击启动插件

访问的网站被指向到了kali的Web站点

ps:这个对网络污染比较大,被毒化后一段时间才能恢复正常

2.rand_flood

mac泛洪

直接使用,可造成mac地址溢出,使通讯只能使用广播,就可以监听

命令运行

1.命令运行后输h会出现帮助信息

2.嗅探的内容也会打印,比如明文的密码

参考

官方手册

ettercap的使用帮助文档