Ettercap是Linux下一个强大的欺骗工具,刚开始只是作为一个网络嗅探器,但在开发过程中,它获得了越来越多的功能,在中间的攻击人方面,是一个强大而又灵活的工具。
kali自带工具ettercap,使用前先开启IP转发功能
echo 1 > /proc/sys/net/ipv4/ip_forward
以管理员身份打开ettercap,两种方式-G图形化界面,-T文本模式
Ettercap –T
命令行:
用户界面类型
-T, –text :使用只显示字符的界面
-q, –quiet:安静模式,不显示抓到的数据包内容
-G, –gtk:使用GTK+ GUI,开启图形化模式
日志选项
-w, –write <file>:将嗅探到的数据写入pcap文件 <file>
-L, –log <logfile>:此处记录所有流量<logfile>
通用选项
-i, –iface <iface>: 使用该网络接口
-I, –liface: 显示所有的网络接口
-P, –plugin <plugin>:开始该插件<plugin>
-F, –filter <file>:加载过滤器 <file> (内容过滤器)
嗅探与攻击选项
-M, mitm <方法:ARGS>:执行mitm攻击
-o, –only-mitm:不嗅探,只执行mitm攻击
-B, –bridge <IFACE>:使用桥接嗅探
网卡接口
-p, –nopromisc:不要将iface放入混杂模式
-S, –nosslmitm:不要伪造SSL证书
-u, –unoffensive:不要转发数据包
-r, –read <file>:从pcap文件读取数据 <file>
-f, –pcapfilter <string>:设置pcap过滤器<string>
-R, –reversed:使用逆向目标反馈
-t, –proto <proto>:只嗅探该proto(默认是全部
ettercap –G
它有两个主要的嗅探选项:
UNIFIED:以中间人方式嗅探,最常用的模式
BRIDGED:在双网卡的情况下,嗅探两块网卡之间的数据包
ettercap mitm方法:
ARP—ARP欺骗
ICMP—发送ICMP数据包重定向到kali,然后由kali转发(只有受害者发出的数据包经过kali)
DHCP—发送DHCP数据包,让受害者认为kali是路由器,(只有受害者发出的数据包经过kali)
Swith Port Stealing—ARP静态绑定欺骗
NDP—ipv6协议欺骗技术
ARP欺骗操作:
什么是ARP欺骗?
ARP欺骗的运作原理是由攻击者发送假的ARP数据包到网上,尤其是送到网关上。其目的是要让送至特定的IP地址的流量被错误送到攻击者所取代的地方。因此攻击者可将这些流量另行转送到真正的网关(被动式数据包嗅探,passive sniffing)或是篡改后再转送(中间人攻击,man-in-the-middle attack)。攻击者亦可将ARP数据包导到不存在的MAC地址以达到阻断服务攻击的效果
简单案例分析:
这里用一个最简单的案例来说明ARP欺骗的核心步骤。假设在一个LAN里,只有三台主机A、B、C,且C是攻击者。
攻击者聆听局域网上的MAC地址。它只要收到两台主机洪泛的ARP Request,就可以进行欺骗活动
主机A、B都洪泛了ARP Request.攻击者现在有了两台主机的IP、MAC地址,开始攻击
攻击者发送一个ARP Reply给主机B,把此包protocol header里的sender IP设为A的IP地址,sender mac设为攻击者自己的MAC地址
主机B收到ARP Reply后,更新它的ARP表,把主机A的MAC地址(IP_A, MAC_A)改为(IP_A, MAC_C)
当主机B要发送数据包给主机A时,它根据ARP表来封装数据包的Link报头,把目的MAC地址设为MAC_C,而非MAC_A
当交换机收到B发送给A的数据包时,根据此包的目的MAC地址(MAC_C)而把数据包转发给攻击者C
攻击者收到数据包后,可以把它存起来后再发送给A,达到偷听效果。攻击者也可以篡改数据后才发送数据包给A,造成伤害
使用前先开启IP转发功能
echo 1 > /proc/sys/net/ipv4/ip_forward。
Ctrl+U 以中间人方式嗅探,最常用的模式(Sniff模块下/Unified sniffing)
Ctrl+S #扫描局域网内存活主机(Hosts 模块/Scan for hosts)
Ctrl+H #显示存活主机列(Hosts模块/Hosts list)
将攻击目标地址添加到目标一,攻击目标网关添加到目标二
开始攻击(Mitm模块/ARP攻击)
在终端使用driftnet工具,可以监测到攻击目标的界面(延迟比较大)
driftnet是一款简单而使用的图片捕获工具,可以很方便的在网络数据包中抓取图片。该工具可以实时和离线捕获指定数据包中是图片,有些kali自带有些没有。
1.实时监听: driftnet -i eth0
2.读取网页中的图片保存在/root/123:driftnet -i eth0 -a -d /root/123
DNS欺骗:
攻击者(黑客)冒充域名服务器进行欺骗的一种行为
DNS欺骗攻击:目标将其DNS请求发送到攻击者这 里,然后攻击者伪造DNS响应,将正确的IP地址替换为其他IP,之后你就登陆了这个攻击者指定的IP,而攻击者早就在这个IP中安排好了一个伪造的网站 如某银行网站,从而骗取用户输入他们想得到的信息,如银行账号及密码等,这可以看作一种网络钓鱼攻击的一种方式。
在kali上用ettercap来进行DNS欺骗,首先查看kali linux的ip地址192.168.216.141 进入etc/ettercap路径下找到etter.dns配置文件
leafpad编辑配置文件etter.dns添加一条A记录,将 www.sina.com.cn 指向到本机IP192.168.216.141,保存并退出(可以添加多个)
编辑文件/var/www/html/index.html ,添加<html><h1>j内容随便</h1></html>字段,保存退出。使用命令service apache2 start开启apache服务。
打开ettercap选择网卡,扫描,添加目标(和ARP欺骗步骤相同)
到靶机上,ping www.sina.com