kali利用Ettercap实现中间人攻击，钓鱼网站设置详细流程及原理

一、理论简介

1、ARP欺骗

　　ARP协议的作用是知道IP可以找到对应的MAC地址（具体：发送ARP广播包，寻找目的MAC地址，目的PC，收到广播包后，发送ARP单播应答，提供MAC地址）。
　　ARP缓存中的信息，以最后收到的信息为准，所以攻击者伪装成目标PC，一直发送ARP应答，最后发送ARP广播包的PC就会认为攻击者是目标PC，并将ARP缓存中的目的PC的MAC地址存储为攻击者PC的MAC地址，将传送给目的PC的数据，发送给了攻击者，攻击者再将数据发送给目的PC，源PC和目的PC虽然依旧可以通信，但是数据经过了中间人（攻击者），其可对数据进行监听，修改等操作。

2、DNS欺骗

　　在ARP欺骗的基础上，攻击者将自己伪装成DNS服务器，在受害者PC上网时，将对方的域名解析成钓鱼网站

二、中间人攻击

1、ARP欺骗与攻击

　　①、打开Ettercap,在primary interface 中选择自己网卡

　　②打开主机列表

　　③点击搜索，查找当前网络内主机

　　④、选择攻击目标【伪装目标，这里的123.0.0.3是服务器IP】

这个目标是客户端IP也就是用户的IP

结果

　　⑤、启动ARP投毒

　　⑥、当受害方使用非加密FTP服务时

　　⑦、当受害方访问HTTP类非加密网站时


　　⑧、当攻击方不将信息转发给目的PC，或提供的MAC地址是虚假的时候，对于源PC来说就受到了ARP断网攻击

2、DNS欺骗与钓鱼网站

　　①、修改ettercap的配置文件（sudo su进入root模式下配置）

　　②、修改正向解析记录A和反向解析记录PTR（输入 i 进行编辑）

　　③、将任何的解析的记录都指向123.0.0.80【攻击者的IP】，也可以指定具体的域名，将*写成具体域名就可（按esc进入命令行模式，再输入: wq保存退出）

　　④、开启ARP投毒后，打开plugins下的manage plugins，双击dns_spoof打开DNS欺骗

　　⑤受害者的dns服务器将指向攻击者123.0.0.80，访问网站时将访问攻击者提供的钓鱼网站，如果受害者之前有访问过网站，就有这个网站的dns缓存，需要等其重启更新dns缓存后才会访问到钓鱼网站，如果受害者没有这个网站的缓存，那么dns缓存中的信息会直接生效，当受害者访问网站时，会直接访问到攻击者提供的钓鱼网站

　　⑥、假设受害者现在访问京东，将会指向攻击者的虚假网站，在这个虚假网站输入账户密码后，会进入攻击者后台数据库。

　　⑦、一般的钓鱼网站与真实网站一样，但没真实网站功能，且一般为HTTP非加密传输，一般仔细辨认是可以辨别的。