ettercap简介
Ettercap刚开始只是作为一个网络嗅探器,但在开发过程中,它获得了越来越多的功能,在中间的攻击人方面,是一个强大而又灵活的工具。它支持很多种协议(即使是加密的),包括网络和主机产品特征分析。
它主要有2个嗅探选项:
UNIFIED,这个模式可以嗅探到网络上的所有数据包,可以选择混杂模式(-p选项)。如果嗅探到的数据包不是ettercap主机的就自动用第3层路由转发。所以,你可以用不同的工具作中间人攻击(MITM)转发修改过的数据包。系统内核(kernel)的转发功能默认是被ettercap禁用 的,这样做的目的是为了防止一个数据包被转发两次,这是一种网关攻击行为,所以,我们推荐在geteways ONLY和UNOFFENSIVE MODE ENABLED的模式下使用ettercap。在ettercap开始监听一个网络接口之后,启用了网关攻击模式,数据包就不会由路由器转发到第二个接 口。
大概原理就是:ettercap欺骗主机A,让主机A把本应该发送给主机B的数据包发送到ettercap主机,再由 ettercap主机转发到主机B,同理也欺骗主机B,让主机B的数据包也经过ettercap主机。
BRIDGED,这个模式采用的是双网卡,嗅探其中一个网卡传输的数据并发送到另一个网卡。因为这种嗅探方式是在双网卡(或者多网卡)的机器下进行 的,所以网络上的设备不会找到攻击者是谁。
BRIDGED模式的原理就是在两块网卡中间嗅探两块网卡的数据
你可以在嗅探期间使用同样的中间人攻击,也可以选择你喜欢的MITM攻击。