6 May 2017 本文阅读量

Ettercap 深入浅出

中间人攻击(Man-in-the-MiddleAttack)

何为 [中间人攻击] ?

中间人攻击(Man-in-the-Middle Attack,简称”MiTM攻击”)是一种”间接”的入侵攻击,这种攻击模式是通过各种技术手段将受入侵者控制的一台计算机虚拟放置在网络连接中的两台通信计算机之间,这台计算机就称为“中间人”。入侵者把这台计算机模拟一台或两台原始计算机,使”中间人”能够与原始计算机建立活动连接并允许其读取或篡改传递的信息,然而两个原始计算机用户却认为他们是在互相通信,因而这种攻击方式并不很容易被发现。所以中间人攻击很早就成为了黑客常用的一种古老的攻击手段,并且一直到今天还具有极大的扩展空间。

原理和功能

Ettercap将网络接口设置为混杂模式,并通过ARP欺骗感染目标设备。由此该设备成为所谓的”中间人”,并发动对受害者的各类攻击。(Ettercap支持插件,可以通过添加插件来扩展功能。)

  • 基于IP的模式:根据IP源和目的地过滤数据包
  • 基于MAC的模式:根据MAC地址过滤数据包,该模式能够对嗅探通过网关的连接起到作用。
  • 基于ARP的模式:利用ARP欺骗方式在两个主机之间的交换式局域网(全双工,即支持双方同时发送信息)上进行嗅探。
  • 基于公共ARP的模式:利用ARP欺骗方式从一台受害者主机到其它所有主机的交换式局域网(全双工)上进行嗅探。

在已建立的连接中注入字符:将字符注入到服务器(模拟命令)或客户端(模拟回复),同时保持实时连接.
SSH1支持:嗅探用户名和密码,甚至是SSH1连接的数据.
HTTPS支持:嗅探HTTP SSL连接上的加密数据(通过Cisco路由器的GRE tunnel对远程流量进行嗅探,并对它进行”中间人攻击”)。
插件支持:使用Ettercap的API创建自定义插件。
密码收集:可以收集以下协议的密码信息————TELNET、FTP、POP、IMAP、rlogin、SSH1、ICQ、SMB、MySQL、HTTP、NNTP、X11、Napster、IRC、RIP、BGP、SOCKS 5、IMAP 4、VNC、LDAP、NFS、SNMP、Half-Life、Quake 3MSN、YMSG
数据包过滤/丢弃:设置一个过滤器,用于在TCP或UDP有效内容中查找特定字符串(或十六进制序列),并用自定义字符串/序列替换它,或丢弃整个数据包。
操作系统指纹:可以提取受害主机及其网络适配器的操作系统信息。
终止连接:从connections-list中终止所选择的连接。
局域网被动扫描:检索局域网上的主机信息、开放端口、可用服务的版本号、主机(网关、路由器或简单PC)的类型以及跃点数(跃点即路由,一个路由为一个跃点,传输过程中需要经过多个网络,每个被经过的网络设备点(有能力路由的)叫做一个跃点,地址就是它的ip。跃点数是经过了多少个跃点的累加,为了防止无用的数据包在网上流散)的预估距离。
劫持DNS
主动或被动地在局域网中找到其它受感染者.

用法

Usage: ettercap [OPTIONS] [TARGET1] [TARGET2]
TARGET is in the format MAC/IPs/PORTs (see the man for further detail)
嗅探与攻击:
  -M, –mitm <ARGS>      执行mitm攻击
  -o, –only-mitm        不嗅探,只执行mitm攻击
  -B, –bridge <IFACE>   使用桥接嗅探(需要2个iface(嗅探时使用的网卡接口),嗅探两块网卡之间的数据包)
  -p, –nopromisc        不要将iface放入混杂模式
  -S, –nosslmitm        不要伪造SSL证书
  -u, –unoffensive      不要转发数据包
  -r, –read <file>      从pcap文件读取数据
  -f, –pcapfilter <string>  设置pcap过滤器<string>
  -R, –reversed         使用逆向目标反馈
  -t, –proto <proto>    只嗅探该proto(默认是全部)
用户界面:
  -T, –text             使用只显示字符的界面
  -q, –quiet            安静模式,不显示抓到的数据包内容
  -s, –script <CMD>     向用户界面发出命令
  -C, –curses           使用curses图形化界面
  -G, –gtk              使用GTK+ GUI
  -D, –daemon           守护模式(无界面),相当于在后台运行
日志:
  -w, –write <file>     将嗅探到的数据写入pcap文件
  -L, –log <logfile>    记录所有流量
  -l, –log-info <logfile>  此处记录所有信息
  -m, –log-msg <logfile>   此处记录所有消息记录
  -c, –compress            使用gzip压缩日志文件
可视化:
  -d, –dns              将ip地址解析为主机名
  -V, –visual <format>  设置可视化格式
  -e, –regex <regex>    只实现匹配该regex数据包的可视化
  -E, –ext-headers      打印每个pck的扩展头
  -Q, –superquiet       不显示用户名与密码
通用:
  -i, –iface <iface>    使用该网络接口
  -I, –liface           显示所有的网络接口
  -n, –netmask <netmask> 在iface上强制实行该netmask
  -P, –plugin <plugin>  开始插件<plugin>
  -F, –filter <file>    加载过滤器
  -z, –silent           不执行初始ARP扫描
  -j, –load-hosts <file> 从<file>加载主机列表
  -k, –save-hosts <file> 将主机列表保存至file
  -W, –wep-key <wkey>    使用该wep密钥解密wifi数据包
  -a, –config <config>   使用其它配置文件<config>
标准:
  -U,  –update          从ettercap网站更新数据库
  -v,  –version         打印版本
  -h,  –help            帮助选项

实验

Tags:
Status:

Share:

Comments: