本文介绍了EtterCap这一基于ARP欺骗的网络嗅探工具,包括其使用方法、权限提升步骤及ARP欺骗原理。此外还演示了如何利用该工具进行图片嗅探和DNS劫持攻击。
EtterCap是一个基于ARP地址欺骗方式的网络嗅探工具,主要适用于交换局域网络。借助于EtterCap嗅探软件,渗透测试人员可以检测网络内明文数据通讯的安全性,及时采取措施,避免敏感的用户名/密码等数据以明文的方式进行传输。ettercap几乎是每个渗透测试人员必备的工具之一。
Ettercap权限提升
kali linux默认自带Ettercap工具,需要以root用户去登录,但是默认的权限比较低,为了以后的使用方便,我们还需要在配置文件中修改防火墙设置。
查看当前版本
打开配置文件,修改权限
保存退出,,梦想开始。arp欺骗原理
[图片来源于网络,侵权必删]
ARP欺骗分为二种,一种是对路由器ARP表的欺骗;另一种是对内网PC的网关欺骗。
第一种ARP欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网MAC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,造成正常PC无法收到信息。
- 第二种ARP欺骗的原理是——伪造网关。它的原理是建立假网关,让被它欺骗的PC向假网关发数据,而不是通过正常的路由器途径上网。在PC看来,就是上不了网了,“网络掉线了”。
一般来说,ARP欺骗攻击的后果非常严重,大多数情况下会造成大面积掉线。有些网管员对此不甚了解,出现故障时,认为PC没有问题,交换机没掉线的“本事”,电信也不承认宽带故障。而且如果第一种ARP欺骗发生时,只要重启路由器,网络就能全面恢复,那问题一定是在路由器了。为此,宽带路由器背了不少“黑锅”。
其实很简单,就是按受害者以为我们就是网关,那么所有的流量会经过攻击者伪造的主机进行转发。如果攻击者不进行数据转发,就会造成被攻击者无法访问网络的效果。
扫描指定局域网下的主机:
查看当前局域网的网关地址:
输入以下命令,伪造被攻击者10.5.69.129(XXW-PC)这台主机的网关
可以看到,被攻击者已经无法上网啦,因为攻击主机并没有将被攻击者发来的数据报转发出去
可以看到,当把攻击停下来的时候,被攻击者已经可以正常上网啦。
Ettercap图片嗅探
1. driftnet的介绍
driftnet是一款用于抓取指定接口数据流上面图片的软件,并且把嗅探到的图片显示在Linux下的一个窗口当中。
主要参数
- -b 捕获到新图片时发出哔哔声
- -i 选择要监听的接口,默认是所有接口
- -f 读取一个指定pcap数据包中的图片
- -p 不让监听的接口进入混杂模式
- -a 辅助模式:不在屏幕上展示,保存在临时目录下,不过会显示名称
- -m 在辅助模式下,可以在临时目录下的最大数量
- -d 指定临时目录
- -x 指定前缀名
2.创建一个保存图片的临时目录
3.一边输入命令开始捕获流量并且将其转换为图片,
4.一边开始嗅探流量包
5.这时候我们打开目标主机,上网浏览图片
6.从终端可以看到已经捕获到了图片,打开前面创建的临时目录看看
Ettercap-DNS劫持
1.DNS欺骗的基本原理
DNS欺骗就是攻击者冒充域名服务器的一种欺骗行为。如果可以冒充域名服务器,然后把查询的IP地址设为攻击者的IP地址,这样的话,用户上网就只能看到攻击者的主页,而不是用户想要取得的网站的主页了,这就是DNS欺骗的基本原理。
2.开启apache2服务
3.编辑配置文件
在配置文件中增加这样一条数据
4.在终端中输入命令,开始DNS劫持
5.打开测试机,访问域名以.com结束的网站
打开的是攻击者的本地网页
DNS劫持成功。
扫一扫
5624
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
