原理
Ettercap最初设计为交换网上的sniffer,但是随着发展,它获得了越来越多的功能,成为一款有效的、灵活的中介攻击工具。它支持主动及被动的协议解析并包含了许多网络和主机特性(如OS指纹等)分析。
Ettercap的运行方式归纳为UNIFIED和BRIDGED两种。
- UNIFIED的方式是以中间人方式嗅探;
- BRIDGED方式是在双网卡情况下,嗅探两块网卡之间的数据包。
UNIFIED方式的大致原理为同时欺骗A和B,将本要发给对方的数据包发送到第三者C上,然后由C再转发给目标,C充当了一个中间人的角色。因为数据包会通过C那里,所以C可以对数据包进行分析处理,导致了原本只属于A和B的信息泄露给了C。UNIFIED方式将完成以上欺骗并对数据包分析。Ettercap劫持的是A和B之间的通信,在Ettercap看来,A和B的关系是对等的。
如前所述,BRIDGED方式是在双网卡情况下,嗅探两网卡设备之间的数据包。在实际应用中不常用,我们最为常用的就是UNIFIED方式,UNIFIED方式的运行参数为-M(M是MITM的首字母,即为中间人攻击的缩写)。
步骤
1、扫描目标主机
nmap 192.168.1.1
2、开启IP转发
echo 1 > /proc/sys/net/ipv4/ip_forward
3、首先切换到root账户
sudo su
4、(1)图形界面形式
ettercap -G
详细步骤可见我之前的bloghttps://blog.csdn.net/ghl1390490928/article/details/81233856
- 选择sniff-Unified,这里选择我们的网卡wlan0,然后点击OK;
-
点击Hosts,首先选择Scan for hosts,扫描一下局域网里面主机,然后我们在点击Hosts里面的Hosts list;
-
拿我手机做测试,IP地址 192.168.1.6和网关192.168.1.1,并分别添加到Target1和Target2;
-
接下来,我们选择Mitm-ARP poisoning
-
选择Sniff remote connections。设置完后,直接Start
(2)命令行形式
arpspoof -i wlan0 -t 192.168.1.6 192.168.1.1
开启新的shell
ettercap -Tq -i wlan0
5、开启新的shell
输入:
driftnet -i wlan0
等待获取图片。这里介绍几个参数:
● -i 监听网卡
● -b 声音提醒
● -a 保存图片(这样的话图片不会显示在窗口)
● -d 图片保存目录,例:driftnet -i wlan0 -b -a -d /pic
实验测试
我在手机打开今日头条刷新闻
然后在driftnet小窗口截获到数据流里的图片