ettercap主机指纹识别原理

最新推荐文章于 2022-09-04 12:34:53 发布
最新推荐文章于 2022-09-04 12:34:53 发布
阅读量663 收藏 3
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yalecaltech/article/details/90813072
版权

0x01启动ettercap测试
从启动信息可以看到,有1766个tcp os 指纹
在这里插入图片描述
嗅探结果
在这里插入图片描述
我这里开了两台机器,146是win,140是kali
查看146的详情,可以看到给出了指纹,但是没有识别出操作系统
在这里插入图片描述
查看140的也是同样
在这里插入图片描述
考虑到ettercap是根据tcp指纹被动识别,没识别出来可能是因为LAN里没有tcp流量
所以我在kali上开了apache2,让win去访问
此时在ettercap的win机器上可以看到
在这里插入图片描述
识别出了是windows
在kali的详情里看到
在这里插入图片描述
根据80端口的服务识别出了Linux debian

在win上面再开一个apache
在这里插入图片描述
此时根据tcp 80处的指纹也是能判断出是windows,此时在kali上访问win的80端口
但是ettercap还是没有进一步地识别
在这里插入图片描述
又在kali上开了MySQL,让win去远程登录
在这里插入图片描述
不过可以看到,没有进一步识别

所以猜测:开放的基于tcp的服务越多,且存在交互产生流量,则ettercap能得到更多指纹,更好识别主机操作系统;另外,如果服务端的软件是某种操作系统特有的,能有助于识别(比如IIS之于win),想mysql这种跨平台的,对识别的帮助不大

0x02使用插件
在ettercap上还有一个插件,如下图所示,应该就是用于指纹识别的
在这里插入图片描述
使用插件识别win的结果
在这里插入图片描述
识别kali的结果
在这里插入图片描述
还是有很高的误报率(当然,结果自己也说明了,实际上没有判断出来,给出的结果是最接近判断的)

0x03源码分析
查看插件对应的源码文件
在这里插入图片描述

发送syn到指定端口并收集返回的指纹
在这里插入图片描述
收集从目标返回的syn ack,并提取出指纹
在这里插入图片描述
收集到指纹后移除hook
在这里插入图片描述
然后将收集到的指纹与指纹库对比,打印结果

在这里插入图片描述

0x04指纹库分析
指纹库共有两个,一个是tcp协议栈指纹
在这里插入图片描述
从前面的注释可以看出还是基于tcp协议栈的实现不同来进行识别的
下图是部分指纹
在这里插入图片描述
以匹配到win的146机器的指纹为例
在这里插入图片描述
可以看到嗅探得出的指纹起始并不能与指纹库很好匹配,指纹库中也没有NT 6.1,不清楚这个结果是怎么得出来的

一个是mac指纹,用于是被设备制造商
在这里插入图片描述
如140被识别为vmware

在这里插入图片描述

Elwood Ying
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【网络安全】ettercap详细使用
你在看屏幕的同时,屏幕也在注视着你
03-12 8946
ettercap劫持 一、什么是ettercap (1)Ettercap是一款用户用于远方控制的黑客工具,是非常主流的工具之一,简单的来说一下原理吧----所有的物理机执行命令都是通过命令发送给DNS解析,DNS解析命令后,发送给服务器,服务器再发给主机进行响应。 图片来源: https://image.so.com/view?q=dns%E8%A7%A3%E6%9E%90%E8%BF%87%E7%A8%8B&src=tab_www&correct=dns%E8%A7%A3%E6%9E%90
ettercap-0.8.1.tar.gz
07-29
ettercap
tcp\ip指纹识别系统类型
06-09
远程探测计算机系统的OS(操作系统)类型、版本号等信息,是黑客入侵行为的重要步骤,也是网络安全中的一种重要的技术。在探测技术中,有一类是通过网络协议栈指纹来进行的。协议栈指纹是指不同操作系统的网络协议栈存在的细微差别,这些差别可以用来区分不同的操作系统。本文研究和分析了此技术的原理和实践,并提出了防止指纹探测的方法。
NetworkMiner主机指纹识别原理
Yale的博客
05-14 813
LAN中5台机器,1,146,149是win,254是kali,136是centos 扫描识别出的结果分别是 Linux的没有识别出来,即centos,kali没识别出来 展开146的结果,可以看到networkminer其实是用的p0f,Satori的指纹数据库来检测,猜测目标操作系统并给出概率 原来应该就是发/收几个数据包,然后将捕获的数据包交给p0f,Satori检测 在软件安...
主机指纹识别及host name探测技术总结
Yale的博客
06-04 1889
1.1ICMP Ping同一局域网内的不同主机,屏幕上回显的TTL值会因不同主机操作系统的不同而不同,甚至是由于系统版本、防火墙、补丁等细节不同,在不同的主机,即使相同的操作系统,回显的TTL值也会有所不同 Win xp: Ubuntu: 1.2TCP/IP协议栈实现差异 这些差异通常表现在数据包头的标志字段中,如窗口大小(Window Size)、ACK序号等的不同取值。通过对这些差别进行归...
Siphon主机指纹识别
Yale的博客
05-14 208
Siphon:年代久远,下载链接已经失效,在网上找到2001年作者在BlackHat大会上介绍的ppt 给出了被动指纹识别原理 是通过分析tcp syn ack数据包,通过分析TCP窗口值、IP DF位、默认TTL、TCP option,MSS TCP option来判断 针对同一系统对应多种指纹的情况,如下图所示 作者给出了Siphon的识别算法 通过这种算法,前一张图的系统只对应一个指...
【转】Ettercap简要原理介绍以及使用说明
leiman1986的专栏
03-20 2841
原文地址:http://www.2cto.com/Article/201301/183322.html 0x00 前言 在坛子里看到基友一篇文章,突然就对ettercap来了兴趣。之前一直在windows下用cain,感觉不算稳定,经常会产生断网的现象。自己对linux下的arp工具不是很熟悉,趁机学习下吧~ 打开很久没开过的BT5,在炊少大黑阔的博客看了一下午,去读了半天官方的使用
ettercap扫描不到主机_宁美 卓CR700一台专注办公的电脑主机,重度办公+轻度娱乐...
weixin_36176546的博客
12-21 233
转自天使恶魔体很多人都喜欢使用台式机,原因很简单,升级配置更加轻松便利,而且搭载的桌面处理器和显卡在性能方面都比移动端强,适合高负载的使用场景,而且台式机价格更实惠,无论是后期维护还是升级都非常方便,非常适合企业用户采购,今天笔者为大家带来一款来自宁美的高性能办公主机评测,这款主机搭载了intel 十代i7 处理器,性能不俗,同时机身外观设计时尚,下面就一起看看这款台式机吧。本次评测机型为宁美卓系...
ettercap-开源
05-01
Ettercap是用于交换局域网的多功能嗅探器/拦截器/记录器。 它支持许多协议(甚至是加密协议)的主动和被动剖析,并包括许多用于网络和主机分析的功能。 开发已移至GitHub,https://github.com/Ettercap/ettercap
ettercap windows最新安装程序
05-02
ettercap windows最新安装程序,在线下载安装xp,win7能用
网络协议栈指纹原理
03-07
远程探测计算机系统的OS(操作系统)类型、版本号等信息,是黑客入侵行为的重要步骤,也是网络安全中的一种重要的技术。在探测技术中,有一类是通过网络协议栈指纹来进行的。协议栈指纹是指不同操作系统的网络协议栈存在的细微差别,这些差别可以用来区分不同的操作系统。本文研究和分析了此技术的原理和实践,并提出了防止指纹探测的方法。
被动式TCP_IP指纹识别操作系统
11-20
被动式TCP_IP指纹识别操作系统;被动式TCP_IP指纹识别操作系统;被动式TCP_IP指纹识别操作系统被动式TCP_IP指纹识别操作系统
Nmap使用及指纹库分析报告
04-27
掌握主机、端口扫描的原理 掌握 Nmap 扫描器的使用 掌握 Nmap 进行远程 OS 检测的原理
局域网攻击软件Ettercap中文说明.pdf
11-26
7. SMARTARP模式:Ettercap可以自动选择SMARTARP模式,arp答复会发送给除了肉机以外的所有主机。 8. 过滤包:Ettercap可以使用过滤来进行包替换和包的丢弃,但只能在ARPBASED的监听中使用。 9. 脱机监听:Ettercap...
ettercap 0.7.4.1
05-04
ettercap 0.7.4.1源文件及代码
【信息收集】指纹识别
m0_46344990的博客
06-05 2554
指纹收集是信息收集非常重要的一个环节,通常包括系统,中间件,web程序,防火墙四个方面。比如在web程序指纹中的cms识别可以直接查找已有的漏洞进行利用,其他方面也都有助于下一步的攻击操作。先来几个在线工具:yunsee.cn-2.0在线指纹识别,在线cms识别小插件--在线工具TideFinger 潮汐指纹 TideFinger 潮汐指纹(1)使用工具nmap -O ip命令对目标主机进行识别,通过tcp/ip数据包发到目标主机,每个操作系统对处理tcp/ip包不同,通过差异来识别主机操作系统,还有其他工
TCP/IP协议栈指纹
weixin_43745072的博客
01-06 1751
TCP/IP协议栈是指不同操作系统实现TCP/IP协议的时候,存在的差异性。 TCP IP指纹
网络安全——指纹识别
weixin_54055099的博客
09-01 6069
指纹识别
HTTP2指纹识别(一种相对不为人知的网络指纹识别方法)
Java笔记
09-04 1547
HTTP/2 是 HTTP 协议的主要修订版,从 2015 年左右开始出现。现在大约一半的网站使用 HTTP/2基本上所有流行的网站都默认使用它!如何看服务端使用的是否是http2协议呢?在chrome上看是这样的在Firefox上看是这样的HTTP/2 的主要目标是提高性能多路复用(Multiplexing ) - 多个请求和响应可以同时共享同一个 TCP 连接,从而减少了获取具有大量资源(图像、脚本等)的站点的时间。
ettercap ftp
最新发布
03-28
ettercap是一款开源的网络嗅探和中间人攻击工具,它可以用于分析和拦截网络流量。而FTP(File Transfer Protocol)是一种用于在计算机之间传输文件的协议。 在ettercap中,可以使用插件来支持FTP协议的中间人攻击。通过中间人攻击,ettercap可以拦截FTP流量并对其进行分析或修改。 具体来说,ettercap可以通过以下步骤来进行FTP中间人攻击: 1. 启动ettercap并选择适当的接口和目标。 2. 使用插件来启用FTP中间人攻击功能。 3. ettercap将拦截目标主机与FTP服务器之间的通信,并将其重定向到自己。 4. 在中间人攻击过程中,ettercap可以捕获FTP的用户名、密码等敏感信息。 5. ettercap还可以修改FTP流量,例如篡改文件内容或注入恶意代码。 然而,需要注意的是,使用ettercap进行中间人攻击是非法的,除非你有合法的授权和目的。在实际应用中,请确保遵守法律法规,并仅在合法授权的情况下使用相关工具。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值