网络欺骗之Ettercap

Ettercap是Linux下一个强大的欺骗工具，刚开始只是作为一个网络嗅探器，但在开发过程中，它获得了越来越多的功能，在中间的攻击人方面，是一个强大而又灵活的工具。

kali自带工具ettercap，使用前先开启IP转发功能

echo 1 > /proc/sys/net/ipv4/ip_forward

以管理员身份打开ettercap，两种方式-G图形化界面，-T文本模式

Ettercap –T

命令行:

用户界面类型

-T, –text ：使用只显示字符的界面

-q, –quiet：安静模式，不显示抓到的数据包内容

-G, –gtk：使用GTK+ GUI，开启图形化模式

日志选项

-w, –write <file>：将嗅探到的数据写入pcap文件 <file>

-L, –log <logfile>：此处记录所有流量<logfile>

通用选项

-i, –iface <iface>： 使用该网络接口

-I, –liface： 显示所有的网络接口

-P, –plugin <plugin>：开始该插件<plugin>

-F, –filter <file>：加载过滤器 <file> （内容过滤器）

嗅探与攻击选项

-M, mitm <方法:ARGS>：执行mitm攻击

-o, –only-mitm：不嗅探，只执行mitm攻击

-B, –bridge <IFACE>：使用桥接嗅探

网卡接口

-p, –nopromisc：不要将iface放入混杂模式

-S, –nosslmitm：不要伪造SSL证书

-u, –unoffensive：不要转发数据包

-r, –read <file>：从pcap文件读取数据 <file>

-f, –pcapfilter <string>：设置pcap过滤器<string>

-R, –reversed：使用逆向目标反馈

-t, –proto <proto>：只嗅探该proto（默认是全部

ettercap –G

它有两个主要的嗅探选项：

UNIFIED:以中间人方式嗅探，最常用的模式

BRIDGED:在双网卡的情况下，嗅探两块网卡之间的数据包

ettercap mitm方法：

ARP—ARP欺骗

ICMP—发送ICMP数据包重定向到kali，然后由kali转发(只有受害者发出的数据包经过kali)

DHCP—发送DHCP数据包，让受害者认为kali是路由器，(只有受害者发出的数据包经过kali)

Swith Port Stealing—ARP静态绑定欺骗

NDP—ipv6协议欺骗技术

ARP欺骗操作：

什么是ARP欺骗？

ARP欺骗的运作原理是由攻击者发送假的ARP数据包到网上，尤其是送到网关上。其目的是要让送至特定的IP地址的流量被错误送到攻击者所取代的地方。因此攻击者可将这些流量另行转送到真正的网关（被动式数据包嗅探，passive sniffing）或是篡改后再转送（中间人攻击，man-in-the-middle attack）。攻击者亦可将ARP数据包导到不存在的MAC地址以达到阻断服务攻击的效果

简单案例分析：

这里用一个最简单的案例来说明ARP欺骗的核心步骤。假设在一个LAN里，只有三台主机A、B、C，且C是攻击者。

攻击者聆听局域网上的MAC地址。它只要收到两台主机洪泛的ARP Request，就可以进行欺骗活动

主机A、B都洪泛了ARP Request.攻击者现在有了两台主机的IP、MAC地址，开始攻击

攻击者发送一个ARP Reply给主机B，把此包protocol header里的sender IP设为A的IP地址，sender mac设为攻击者自己的MAC地址

主机B收到ARP Reply后，更新它的ARP表，把主机A的MAC地址（IP_A, MAC_A）改为（IP_A, MAC_C）

当主机B要发送数据包给主机A时，它根据ARP表来封装数据包的Link报头，把目的MAC地址设为MAC_C，而非MAC_A

当交换机收到B发送给A的数据包时，根据此包的目的MAC地址（MAC_C）而把数据包转发给攻击者C

攻击者收到数据包后，可以把它存起来后再发送给A，达到偷听效果。攻击者也可以篡改数据后才发送数据包给A，造成伤害

使用前先开启IP转发功能

echo 1 > /proc/sys/net/ipv4/ip_forward。

Ctrl+U 以中间人方式嗅探，最常用的模式(Sniff模块下/Unified sniffing)

Ctrl+S　　#扫描局域网内存活主机(Hosts 模块/Scan for hosts)

Ctrl+H　　#显示存活主机列(Hosts模块/Hosts list)

将攻击目标地址添加到目标一，攻击目标网关添加到目标二

开始攻击（Mitm模块/ARP攻击）

在终端使用driftnet工具，可以监测到攻击目标的界面（延迟比较大）

driftnet是一款简单而使用的图片捕获工具，可以很方便的在网络数据包中抓取图片。该工具可以实时和离线捕获指定数据包中是图片，有些kali自带有些没有。

1.实时监听： driftnet -i eth0

2.读取网页中的图片保存在/root/123：driftnet -i eth0 -a -d /root/123

DNS欺骗：

攻击者(黑客)冒充域名服务器进行欺骗的一种行为

DNS欺骗攻击：目标将其DNS请求发送到攻击者这 里，然后攻击者伪造DNS响应，将正确的IP地址替换为其他IP，之后你就登陆了这个攻击者指定的IP，而攻击者早就在这个IP中安排好了一个伪造的网站 如某银行网站，从而骗取用户输入他们想得到的信息，如银行账号及密码等，这可以看作一种网络钓鱼攻击的一种方式。

在kali上用ettercap来进行DNS欺骗，首先查看kali linux的ip地址192.168.216.141 进入etc/ettercap路径下找到etter.dns配置文件

leafpad编辑配置文件etter.dns添加一条A记录，将 www.sina.com.cn 指向到本机IP192.168.216.141，保存并退出（可以添加多个）

编辑文件/var/www/html/index.html ,添加<html><h1>j内容随便</h1></html>字段，保存退出。使用命令service apache2 start开启apache服务。

打开ettercap选择网卡，扫描，添加目标（和ARP欺骗步骤相同）

到靶机上，ping www.sina.com