ettercap详细使用

ettercap劫持
一、什么是ettercap
（1）Ettercap是一款用户用于远方控制的黑客工具，是非常主流的工具之一，简单的来说一下原理吧----所有的物理机执行命令都是通过命令发送给DNS解析，DNS解析命令后，发送给服务器，服务器再发给主机进行响应。
图片来源：
https://image.so.com/view?q=dns%E8%A7%A3%E6%9E%90%E8%BF%87%E7%A8%8B&src=tab_www&correct=dns%E8%A7%A3%E6%9E%90%E8%BF%87%E7%A8%8B&ancestor=list&cmsid=bc9fbf53f421da8ff360d9bb252c9e7d&cmras=6&cn=0&gn=0&kn=0&crn=0&bxn=0&fsn=60&cuben=0&pornn=0&manun=0&adstar=0&clw=269#id=0da0041d87ab53b8095f6fce8aebd940&currsn=0&ps=57&pc=57
（这里比较难理解，举个例子吧----你访问百度的时候，输入了域名https;//www.baidu.com, 这个时候你相当于给浏览器一个命令，浏览器会把这个命令发给DNS解析系统，转换为服务器可以识别的命令，然后再由服务器发给网站，这就是你登陆百度的时候，看不见的过程。平时大家登录百度很快的就得进入页面了，这也说明，后部处理的速度是很快的。）
（2）预想效果
1.2.1，劫持对方DNS，网页显示代码雨
今天我们要做的就是登录靶机的主页并且，在靶机进行上网时，自动跳转出我们提前准备好的代码雨（就是我们经常在电影、电视剧中所看到的非常酷炫的黑客入侵电脑时候的画面，在真实的生活中，也是可以做到的。，当然这里也包含了一些有关web前端的知识，本次就不介绍了）

1.2.2监控对方浏览网页足迹
可以在我们的电脑上可以远程看到靶机电脑在浏览器中看了什么内容画面。
二、ARP欺骗
1.什么是ARP欺骗
ARP:是根据IP地址获取物理地址的一个TCP/IP协议。主机发送信息时将包含目标IP地址的ARP请求广播到局域网络上的所有主机，并接收返回消息，以此确定目标的物理地址；收到返回消息后将该IP地址和物理地址存入本机ARP缓存中并保留一定时间，下次请求时直接查询ARP缓存以节约资源。地址解析协议是建立在网络中各个主机互相信任的基础上的，局域网络上的主机可以自主发送ARP应答消息，其他主机收到应答报文时不会检测该报文的真实性就会将其记入本机ARP缓存；由此攻击者就可以向某一主机发送伪ARP应答报文，使其发送的信息无法到达预期的主机或到达错误的主机，这就构成了一个ARP欺骗。ARP命令可用于查询本机ARP缓存中IP地址和MAC地址的对应关系、添加或删除静态对应关系等。相关协议有RARP、代理ARP。NDP用于在IPv6中代替地址解析协议（百度解释）。

2.ARP欺骗
ARP欺骗就是给DNS发送错误的指令，达到预想效果。
三、DNS劫持
DNS:域名系统（英文：Domain Name System，缩写：DNS）是互联网的一项服务。它作为将域名和IP地址相互映射的一个分布式数据库，能够使人更方便地访问互联网。DNS使用UDP端口53。当前，对于每一级域名长度的限制是63个字符，域名总长度则不能超过253个字符。

四、实际操作
1.DNS劫持实验原理
DNS劫持并且对DNS经行ARP欺骗，使得对方登录任何网页时自动显示代码雨。
（1）将准备好的代码雨文件放入指定文件下，注意代码雨文件需要命名为index.html，否则系统是无法检测。
切换地址，查看文件
命令；cd /var/www/html
命令；ls

这里我们可以看到文件已经放入了这个地址下面
（2）打开apache中间件
命令：service apache2 start

这样就打开了apache中间件，这里一定要打开apache，因为如果没有apache作为桥梁，在网页中无法通过ip地址访问咱们的主机文件。
（3）测试中间件是否打开
在kali中打开firefox，输入本地ip 127.0.0.1 查看。

在这里我们看到，打开网页后，出现了我们的代码雨，说明apache服务已经成功开启。
（4）打开ettercap
命令；ettercap-G

（5）配置ettercap的信息

4.5.1点击对勾进行下一步配置

4.5.2打开搜索ip的页面

4.5.3点击放大镜扫描同局域网下的ip

4.5.5搜索出来了4个ip地址

4.5.6这时候我们将网关添加到Target1中，将靶机（被攻击者）ip添加到Target2中。

4.5.7我这里靶机IP为192.168.116.139，同上操作添加进来

4.5.8点开后选择ARP poisoning

4.5.9点击后弹出此页面，点击sniff remote connections，点击ok

4.5.10配置好后 点击设置

4.5.11点开后选择plugins 然后点击manage plugins

4.5.12然后进行最后一步配置 点击dns-spoof模块

前面有*号说明，选择成功

（6）开始劫持

（7）登录靶机，打开靶机firefox，在域名处输入一个网址，这里我用某讯网址

我们的dns劫持就成功了，非常的酷炫。

2.监听对方浏览器
（1）前面的配置防止都是一样，只是到了选择模块的时候选择romote-browser模块

（2）靶机上打开咱们的firefox搜索一张图片

（3）打开kali，看一下效果

这样我们就成功的监听到了靶机的浏览器，靶机上任何的浏览器操作我们都可以远程监听。

五、小结
本次实验的目的是为了教大家如何使用ettercap这款工具，工具内包含很多模块，大家可以自己搭建靶机使用。
（提示：严谨禁止利用技术，在他认为授权的情况下，监听他人电脑。希望各位技术友合理利用技术。）