EtterCap简介
什么事ARP欺骗?
ARP欺骗的运作原理是由攻击者发送假的ARP数据包到网上,尤其是送到网关上。其目的是要让送至特定的IP地址的流量被错误送到攻击者所取代的地方。因此攻击者可将这些流量另行转送到真正的网关(被动式数据包嗅探,passive sniffing)或是篡改后再转送(中间人攻击,man-in-the-middle attack)。攻击者亦可将ARP数据包导到不存在的MAC地址以达到阻断服务攻击的效果
简单案例分析:这里用一个最简单的案例来说明ARP欺骗的核心步骤。假设在一个LAN里,只有三台主机A、B、C,且C是攻击者。
- 攻击者聆听局域网上的MAC地址。它只要收到两台主机洪泛的ARP Request,就可以进行欺骗活动
- 主机A、B都洪泛了ARP Request.攻击者现在有了两台主机的IP、MAC地址,开始攻击
- 攻击者发送一个ARP Reply给主机B,把此包protocol header里的sender IP设为A的IP地址,sender mac设为攻击者自己的MAC地址
- 主机B收到ARP Reply后,更新它的ARP表,把主机A的MAC地址(IP_A, MAC_A)改为(IP_A, MAC_C)
- 当主机B要发送数据包给主机A时,它根据ARP表来封装数据包的Link报头,把目的MAC地址设为MAC_C,而非MAC_A
- 当交换机收到B发送给A的数据包时,根据此包的目的MAC地址(MAC_C)而把数据包转发给攻击者C
- 攻击者收到数据包后,可以把它存起来后再发送给A,达到偷听效果。攻击者也可以篡改数据后才发送数据包给A,造成伤害
ARP防御
- 我们需要在路由器端对IP和MAc进行静态绑定来解决
- 使用防护软件
EtterCap工具
EtterCap是一个基于ARP地址欺骗方式的网络嗅探工具,主要适用于交换局域网络。借助于EtterCap嗅探软件,渗透测试人员可以检测网络内明文数据通讯的安全性,及时采取措施,避免敏感的用户名/密码等数据以明文的方式进行传输。ettercap几乎是每个渗透测试人员必备的工具之一
官网:http://www.ettercap-project.org/
插件:https://linux.die.net/man/8/ettercap_plugins
过滤器:https://linux.die.net/man/8/etterfilter
EtterCap使用
用法
用法:ettercap【选项】【目标1】【目标2】
TARGET(目标)是MAC/IPs/PORTs格式(根据中间人获取更多信息)
常用指令
用户界面类型
- -T, –text :使用只显示字符的界面
- -q, –quiet:安静模式,不显示抓到的数据包内容
- -G, –gtk:使用GTK+ GUI,开启图形化模式
日志选项
- -w, –write <file>:将嗅探到的数据写入pcap文件 <file>
- -L, –log <logfile>:此处记录所有流量<logfile>
通用选项
- -i, –iface <iface>: 使用该网络接口
- -I, –liface: 显示所有的网络接口
- -P, –plugin <plugin>:开始该插件<plugin>
- -F, –filter <file>:加载过滤器 <file> (内容过滤器)
嗅探与攻击选项
- -M, mitm <方法:ARGS>:执行mitm攻击
- -o, –only-mitm:不嗅探,只执行mitm攻击
- -B, –bridge <IFACE>:使用桥接嗅探
网卡接口
- -p, –nopromisc:不要将iface放入混杂模式
- -S, –nosslmitm:不要伪造SSL证书
- -u, –unoffensive:不要转发数据包
- -r, –read <file>:从pcap文件读取数据 <file>
- -f, –pcapfilter <string>:设置pcap过滤器<string>
- -R, –reversed:使用逆向目标反馈
- -t, –proto <proto>:只嗅探该proto(默认是全部)
我这里使用的事卡里系统自带的,-v查看版本信息
实例
关于ettercap的图形化实例参考文章:https://masterxsec.github.io/2017/06/11/使用Ettercap实现DNS欺骗
写的很详细
使用命令行
ettercap -qT -i eth0 -M arp:remote -w 1.pcap /网关ip// /被欺骗ip//
注意:这里如果不指定我们攻击的IP,默认会对局域网内的所有机器进行欺骗
扫一扫
9070
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
