ettercap-0.7.3源码浅析

最新推荐文章于 2024-03-23 09:54:36 发布
最新推荐文章于 2024-03-23 09:54:36 发布
阅读量603 收藏 1
点赞数
分类专栏: 嵌入式开发
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/caoshunxin01/article/details/79355554
版权
最近几天一直在做openwrt下的审计抓包,发现有现成的嗅探工具ettercap,于是就修改了源码拿来用。在这里记录下这几天对这个源码的浅显的理解,不正确的地方还请大虾们多多指点。

0:命令行指行以下命令
    ettercap -i wlan0 -Tq -L 123

1,src/ec_main.c中的两个重要的调用top_half和ui_start
int main(int argc, char *argv[])
{
          ................//各种初始化
           
            ec_thread_new("top_half", "dispatching module", & top_half, NULL);

           
            ec_thread_register(EC_PTHREAD_SELF, GBL_PROGRAM, "the user interface");
            ui_start();

           
            .....................//退出时释放内存及销毁线程
            return 0;
}

2,src/ec_dispatcher.c 中的top_half分析

EC_THREAD_FUNC(top_half)
{
    struct po_queue_entry *e;
    u_int pck_len; 

    LOOP { 
        .................//循环从队列中读数据
        hook_point( HOOK_DISPATCHER, e->po);     //遍历执行 HOOK_DISPATCHER 点的函数
        .........
    }

  return NULL;
}

3, HOOK_DISPATCHER  中的函数log_packet
目录src/ec_log.c

int set_loglevel(int level, char *filename)
{
          。。。。。。。。。
              hook_add(HOOK_DISPATCHER, &log_packet);     //将log_packet函数加入此点
          。。。。。。。。。
}

log_packet函数是用来记录所有捕获到的数据包的。


4, ui_start()    位于src/ec_ui.c中,它调用了 GBL_UI->start 所指向的函数
void ui_start(void)
{
    DEBUG_MSG("ui_start");

    if (GBL_UI->initialized)
      EXECUTE(GBL_UI->start);
    else
      DEBUG_MSG("ui_start called initialized");
}

5, src/ec_ui.c 中ui_register()函数中对其付值
void ui_register(struct ui_ops *ops)
{
         
    BUG_IF(ops->init == NULL);
    GBL_UI->init = ops->init;
   
    BUG_IF(ops->cleanup == NULL);
    GBL_UI->cleanup = ops->cleanup;
   
    BUG_IF(ops->start == NULL);
    GBL_UI->start = ops->start;
         
    BUG_IF(ops->msg == NULL);
    GBL_UI->msg = ops->msg;
   
    BUG_IF(ops->error == NULL);
    GBL_UI->error = ops->error;
   
    BUG_IF(ops->fatal_error == NULL);
    GBL_UI->fatal_error = ops->fatal_error;
   
    BUG_IF(ops->input == NULL);
    GBL_UI->input = ops->input;
   
    BUG_IF(ops->progress == NULL);
    GBL_UI->progress = ops->progress;

    GBL_UI->type = ops->type;
}

6, 有几个调用 ui_register() 函数的地方,最好确定本次执行程序是在此处调用:    src/interfaces/text/ec_text.c
void set_text_interface(void)
{
    struct ui_ops ops;

   
    memset(&ops, 0, sizeof(ops));

   
    ops.init = &text_init;
    ops.start = &text_interface;
    ops.cleanup = &text_cleanup;
    ops.msg = &text_msg;
    ops.error = &text_error;
    ops.fatal_error = &text_fatal_error;
    ops.input = &text_input;
    ops.progress = & text_progress;
    ops.type = UI_TEXT;
   
    ui_register(&ops);
   
   
    hook_add(HOOK_DISPATCHER, text_print_packet);
}

7, 由以上程序确定最终调用了 text_interface()函数

void text_interface(void)
{
    。。。。。。。。。。

   
   EXECUTE(GBL_SNIFF->start);

    。。。。。。
    LOOP {
.../等待用户输入,text交户界面
    }
}

8,  EXECUTE(GBL_SNIFF->start)   这是一个很重要的调用,它的赋值是在src/ec_sniff.c中
void set_sniffing_method(struct sniffing_method *sm)
{
   
    memcpy(GBL_SNIFF, sm, sizeof(struct sniffing_method));
   
    GBL_SNIFF->active = 0;
}

void set_unified_sniff(void)
{
    struct sniffing_method sm;

    DEBUG_MSG("set_unified_sniff");
   
    sm.type = SM_UNIFIED;
    sm.start = & start_unified_sniff;
    sm.cleanup = &stop_unified_sniff;
    sm.check_forwarded = &unified_check_forwarded;
    sm.set_forwardable = &unified_set_forwardable;
   
    sm.forward = &forward_unified_sniff;
    sm.interesting = &set_interesting_flag;

    set_sniffing_method(&sm);
}

9,ui_start中的调用最终是调用了start_unified_sniff()函数(src/ec_sniff_unified.c)
#include
#include
#include
#include
#include
#include
#include
void start_unified_sniff(void)
{
    DEBUG_MSG("start_unified_sniff");
   
    if (GBL_SNIFF->active == 1) {
      USER_MSG("Unified sniffing already started...\n");
      return;
    }
   
    USER_MSG("Starting Unified sniffing...\n\n");
   
   
    if (!GBL_OPTIONS->read) { 
      pthread_t pid;
       
      pid = ec_thread_getpid("timer");
      if (pthread_equal(pid, EC_PTHREAD_NULL))
          ec_thread_new("timer", "conntrack timeouter", & conntrack_timeouter, NULL);
    }

   
    ec_thread_new("capture", "pcap handler and packet decoder", & capture, GBL_OPTIONS->iface);

   
    if (!GBL_OPTIONS->read && !GBL_OPTIONS->unoffensive && !GBL_OPTIONS->only_mitm)
      ec_thread_new("sslwrap", "wrapper for ssl connections", & sslw_start, NULL);

    GBL_SNIFF->active = 1;
}

在start_unified_sniff 函数里启用了三个线程,分别是 conntrack_timeouter   capture、 sslw_start,其中 capture是用来捕捉数据包的。

10, src/ec_capture.c 中capture()函数
EC_THREAD_FUNC(capture)
{
    int ret;
   
   
    ec_thread_init();
   
    DEBUG_MSG("neverending loop (capture)");

   
    stats_wipe();
   
   
   ret = pcap_loop(GBL_PCAP->pcap, -1, ec_decode, EC_THREAD_PARAM);
    ON_ERROR(ret, -1, "Error while capturing: %s", pcap_geterr(GBL_PCAP->pcap));
   
    return NULL;
}

pcap_loop函数见百度百科(用于捕捉数据包)。ec_decode()函数用于当捕捉到数据包时处理数据包。

11, src/ec_decode.c中ec_decode函数
void ec_decode(u_char *param, const struct pcap_pkthdr *pkthdr, const u_char *pkt)
{

   
..................
   
    stats_half_start(&GBL_STATS->bh);

..................
   
   packet_create_object(&po, data, datalen);

............
     
    hook_point( HOOK_RECEIVED, &po);
   
.............
    packet_decoder = get_decoder( LINK_LAYER, GBL_PCAP->dlt);
    BUG_IF(packet_decoder == NULL);
    packet_decoder(data, datalen, &len, &po);
    ..........
    if ( (po.flags & PO_FORWARDABLE) && !(po.flags & PO_FORWARDED) ) {
       
      hook_point(HOOK_PRE_FORWARD, &po);
      EXECUTE(GBL_SNIFF->forward, &po);
    }
    .............
   
    if (GBL_OPTIONS->read && GBL_PCAP->dump_size == GBL_PCAP->dump_off) {
      po.flags |= PO_EOF;
      top_half_queue_add(&po);
    }
    ...........
    return;
}

上述2中所说的从队列中读取数据,数据是在哪里写入队列的呢,对,就是这里: top_half_queue_add(&po);

    packet_decoder = get_decoder( LINK_LAYER, GBL_PCAP->dlt);
    BUG_IF(packet_decoder == NULL);
    packet_decoder(data, datalen, &len, &po);   这三行代码是将捕捉到的数据包交给了链路层进行处理,经测试发现是交给了src/protocols/ec_eth.c文件中的decode_eth函数进行处理。

12, src/protocols/ec_eth.c文件(链路层)中:
void __init eth_init(void)
{
   add_decoder(LINK_LAYER, IL_TYPE_ETH, decode_eth);
    add_builder(IL_TYPE_ETH, build_eth);
    add_aligner(IL_TYPE_ETH, align_eth);
}

FUNC_DECODER(decode_eth)
{
    FUNC_DECODER_PTR(next_decoder);
    struct eth_header *eth;

    DECODED_LEN = sizeof(struct eth_header);
   
    eth = (struct eth_header *)DECODE_DATA;

   
    PACKET->L2.header = (u_char *)DECODE_DATA;
    PACKET->L2.proto = IL_TYPE_ETH;
    PACKET->L2.len = DECODED_LEN;
   
    memcpy(PACKET->L2.src, eth->sha, ETH_ADDR_LEN);
    memcpy(PACKET->L2.dst, eth->dha, ETH_ADDR_LEN);

   
    hook_point(HOOK_PACKET_ETH, po);
   
       
    next_decoder = get_decoder(NET_LAYER, ntohs(eth->proto));

    EXECUTE_DECODER(next_decoder);
       
   
   
    return NULL;
}

这个函数又将数据包交给了网络层

13,src/protocols/ec_ip.c   (网络层)
void __init ip_init(void)
{
    add_decoder(NET_LAYER, LL_TYPE_IP, decode_ip);
    add_injector(CHAIN_LINKED, IP_MAGIC, inject_ip);
    add_injector(CHAIN_LINKED, STATELESS_IP_MAGIC, stateless_ip);
}

FUNC_DECODER(decode_ip)
{
  。。。。。。。
   
    next_decoder = get_decoder(PROTO_LAYER, ip->protocol);
    EXECUTE_DECODER(next_decoder);
  。。。。。。。
}

这个函数又将数据包交给了协议层,ip->protocol这个参数会区分tcp协议还是udp协议

14,src/protocols/ec_udp.c   src/protocols/ec_tcp.c(协议层)
void __init udp_init(void)
{
    add_decoder(PROTO_LAYER, NL_TYPE_UDP, decode_udp);
    add_injector(CHAIN_ENTRY, NL_TYPE_UDP, inject_udp);
}

FUNC_DECODER(decode_udp)
{
  。。。。。。
     
    next_decoder =  get_decoder(APP_LAYER, PL_DEFAULT);
    EXECUTE_DECODER(next_decoder);
  。。。。。。
}



void __init tcp_init(void)
{
    add_decoder(PROTO_LAYER, NL_TYPE_TCP, decode_tcp);
    add_injector(CHAIN_ENTRY, NL_TYPE_TCP, inject_tcp);
}


FUNC_DECODER(decode_tcp)
{
  。。。。。。
   
   next_decoder =  get_decoder(APP_LAYER, PL_DEFAULT);
    EXECUTE_DECODER(next_decoder);
  。。。。。。
}
数据包由协议层最终都交给了应用层








杭城江城子
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ettercap用法及参数
十五年游戏主程转渗透之路
03-02 4032
ettercap,dns劫持,拦截被劫持用户的浏览信息,ettercap -M arp:remote,driftnet -i eth0
DNS欺骗之ettercap
田一柠的博客
12-05 427
首先先打开ettercap的DNS文件进行编辑,在kali linux下的文件路径为/etc/ettercap/etter.dns 在对应的位置添加对应的 标识和IP地址,* 代表所有域名,后边就是你要欺骗为的IP地址,* A 192.168.3.1 然后记得保存。 1.首先打开ettercap选择网卡 2.接着scanhostlist 3.在选择插件dns_spoof 激活dnsspoof 4.开启startsniffer 这样就配置完毕了,所有hostlist列...
ettercap 0.7.4.1
05-04
ettercap 0.7.4.1源文件及代码
ettercap
aod83029的博客
12-08 134
作者: 官网:http://ettercap.github.io/ettercap/ 源码:https://github.com/Ettercap/ettercap 功能:arp欺骗 转载于:https://www.cnblogs.com/zheh/p/5028131.html
ettercap 配置
caoshunxin01的专栏
02-23 724
1,echo 1 > /proc/sys/net/ipv4/ip_forward 2,vim /etc/etter.conf a,  ec_uid = 0              ec_gid = 0 b, dns = 53 删除 c,  redir_command_on和redir_command_off前的“#”去除 3, 执行 ettercap -i br-lan -T -L 1
探索Ettercap:网络嗅探与安全分析的强大工具
最新发布
gitblog_00097的博客
03-23 494
探索Ettercap:网络嗅探与安全分析的强大工具 项目地址:https://gitcode.com/Ettercap/ettercap Ettercap是一个开源项目,主要用于网络嗅探、协议分析和中间人攻击,以增强网络安全审计和防护能力。它专为多平台设计,包括Linux、Mac OS X和Windows等,是网络管理员和安全研究人员的重要工具。 项目简介 Ettercap的核心功能是进行网络流量...
ettercap-NG-0.7.3.tar.gz
12-16
ettercap-NG-0.7.3.tar.gz 是一个经典的开源网络嗅探和欺骗工具的源代码包,主要用于网络分析和安全审计。这个版本号表示这是ettercap项目的下一代(NG)版本0.7.3。在Linux和Unix环境中,`.tar.gz` 文件是一种常见...
ettercap-NG-0.7.3-win32 太网络局域网嗅探器
09-02
ettercap-NG-0.7.3-win32是一款针对Windows平台的开源网络嗅探工具,主要用于局域网内的数据包捕获和分析。在网络安全领域,嗅探器是一种非常重要的工具,它允许用户查看网络上的通信流量,帮助检测潜在的安全问题、...
ettercap-NG-0.7.3-windows版本
03-28
ettercap-NG-0.7.3-windows版本 ettercap-NG-0.7.3-windows版本 ettercap-NG-0.7.3-windows版本
dns_spoof
02-20
dns_spoof
Ettercap使用说明
08-23
Ettercap使用说明,ssh安全协议较低版本存在一些缺陷容易被嗅探其中的密码等信息,比如ssh1.5,从ssh1.9开始逐步修复这些漏洞,但是,在ettercap的过滤器中包含有一个脚本用来对ssh的1.9版本降级到1.5版本,从而又容易嗅探其中的信息,它位于/usr/share/ettercap/目录下。内容如下:
ettercap-0.8.3.tar.gz
02-18
EtterCap是一个基于ARP地址欺骗方式的网络嗅探工具,主要适用于交换局域网络。借助于EtterCap嗅探软件,渗透测试人员可以检测网络内明文数据通讯的安全性,及时采取措施,避免敏感的用户名/密码等数据以明文的方式...
【安全牛学习笔记】Kali Linux 安装-持久加密USB安装、熟悉环境、熟悉BASH命令
weixin_34159110的博客
09-06 1632
持久加密USB安装-1LUKS: linux UNified Key Setup 磁盘分区加密规范 不依赖于操作系统的磁盘级加密 Windows——DoxBox 后端:dm-crypt 前端:cryptsetup 微软的bitlocker将镜像刻录到U盘 dd if=kali-linux-1.1.0-amd64.iso of=/dev/sdb bs=1Mroot...
网络信息安全实验 — 网络攻击技术实验,让人抓狂的Nginx性能调优
m0_60707142的博客
08-11 581
(由于安装kali的版本不同,Ettercap 界面可能有所不同,不过操作都是大同小异的) Ettercap 扫描局域网主机 进入主操作界面后,点击右上角的三个小点,选择 Hosts- > Hosts list,就会出现一个局域网所有主机的列表,如果 主机列表为空 或是 有些局域网里的主机没有显示在列表里,那么就可以对整个局域网进行主机扫描,点击三个小点 -> Hosts-> Scan for hosts。扫描完成后主机列表就会刷新了。 Ettercap 伪造网关欺骗 主机列表中,选中
渗透测试-地基篇-蜘蛛Ettercap-DNS劫持巧用(十六)
qq_34801745的博客
12-01 1556
** 渗透测试-地基篇-DNS劫持巧用(十六) ** 作者:大余 时间:2020-12-01 简介: 渗透测试-地基篇: 该篇章目的是重新牢固地基,加强每日训练操作的笔记,在记录地基笔记中会有很多跳跃性思维的操作和方式方法,望大家能共同加油学到东西。 请注意: 对于所有笔记中复现的这些终端或者服务器,都是自行搭建的环境进行渗透的。我将使用Kali Linux作为此次学习的攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,我概不负责。 名言: 你对这行的兴趣,决定你在这行的成就!
中间人攻击-ARP毒化
hljzzj的博客
10-12 929
中间人攻击虽然古老,但仍处于受到黑客攻击的危险中,可能会严重导致危害服务器和用户。仍然有很多变种的中间人攻击是有效的,它们能够很容易的欺骗外行并且入侵他们。正如字面意思一样,中间人攻击就是攻击者扮演中间人并且实施攻击。它有时被称为monkey-in-the-middle攻击更先进的说它是man-in-the-browser攻击和man-in-the-mobile攻击。 这其实是一个危险的攻击,它
利用开源工具实现轻量级上网行为审计(来源ispublic.com)
weixin_34087307的博客
07-08 1028
https://blog.csdn.net/cnbird2008/article/details/5875781
ettercap使用
09-16
Ettercap是一种网络安全工具,用于进行中间人攻击。它可以劫持网络流量,并允许攻击者监视、篡改和截获数据包。以下是一些使用Ettercap的示例: 1. 使用以下命令启动Ettercap,并将其配置为使用ARP欺骗技术攻击远程...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值