在kall中网络数据的嗅探与欺骗
0、介绍:
网络嗅探需要用到网络嗅探器,其最早是为网络管理人员配备的工具,有了嗅探器网络管理员可以随时掌握网络的实际情况,查找网络漏洞和检测网络性能,当网络性能急剧下降的时候,可以通过嗅探器分析网络流量,找出网络阻塞的来源。网络嗅探是网络监控系统的实现基础。
一、使用TcpDump分析网络数据
1、启动TcpDump工具
2、捕获网络中的数据,但不存储数据。
3、捕获网络中的数据,存储数据到一个文件中。
二、使用Wireshark进行网络分析
1、启动Wireshark工具的方法
(1)命令提示行:
(2)菜单启动:
2、Wireshark工具的环境配置
(1)主机上有多块网卡,可以指定一块网卡,屏蔽其他网卡的进出流量:
打开菜单Capture(捕获) / Options(选项),在“Capture Interfaes”窗口中选择需要的网卡
(2)工作面板从上到下分三部分:
3、Wireshark的显示过滤器使用
案例1:只显示icmp协议的数据包。结果截图并作必要的说明。
案例2:只显示arp协议的数据包。结果截图并作必要的说明。
案例3:只显示所有源地址IP为192.168.153.133(win7-32位)的数据包。结果截图并作必要的说明。
案例4:只显示所有源端口不为80的数据包。结果截图并作必要的说明。
三、 使用arpspoof进行网络欺骗
0、安装arpsoof
1.arpspoof使用格式:
2、伪装为网关截获所有数据
(1)实验所涉及的主机
攻击者IP:192.168.153.132
被欺骗的主机IP:192.168.153.133
默认网关:192.168.153.2
(2)使用arpspoof完成一次网络欺骗
(3)验证:在被欺骗的主机上查看arp表,攻击者和网关的mac地址相同
(4)在攻击者主机上开启转发功能,将截获的数据包再转发出去,不影响被欺骗主机上网
四、 使用Ettercap进行网络嗅探
0、实验所涉及的主机:
攻击者IP:192.168.153.132
被欺骗的主机IP:192.168.153.133
默认网关:192.168.153.2
以下操作步骤和结果截图并作必要的说明。
1、启动图形化Ettercap工具的方法
(1)菜单栏启动
(2)命令行启动
2、Ettercap工具的环境配置
(1)选择中间人运行摸式(默认不勾选Bridged sniffing)
(2)选择网卡类型:
本地有线网卡:eth0
无线网卡:vlan0
3、查看网络中可以欺骗的主机
注意:查看不到主机和网关,需要执行host/scan for hosts
4、在“Hosts list”中选择目标主机
选择IP:192.168.153.2目标主机(网关)作为目标1(单击Add to Target 1按钮)
选择Ip:192.168.153.133目标主机(被欺骗主机)作为目标2(单击Add to Target 2按钮)