资源描述:
《ettercap-交换环境下的嗅探器》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
1、一:安装 你可以在网上很多地方下载到它的最新版本,比如http://ettercap.sourceforge.net下载完后,先解压缩: [root@CIELroot]#tarzxpvfettercap-0.6.tar.gz [root@CIELroot]#cdettercap-0.6 [root@CIELettercap-0.6]#./configure&&make&&makeinstall [root@CIELettercap-0.6]#makeplug-ins [root@CIELettercap-0.6]#makeplug
2、-ins_install 安装完成后,输入"ettercap--help"就可以看见帮助文档.基本用法是 ettercap[option][host:port][host:port][mac][mac] 二:功能介绍 嗅探:它有5种工作模式 -a--arpsniff基于arp的欺骗,分3小种:arpbased,smartcarp和publicarp -s--sniff属于IPBASED,目标可以是任何主机 -m--macsniff属于MACBASED 需要说明的是-s-m两选项带来的是传统嗅探模式,分别基于IP地址和MAC地址
3、.也就是说它们必需先把网卡置于混杂,然后才可以正常工作。所以在交换环境下,这两项会完全失效,-a选项是基于ARP欺骗的,是一种中间人攻击模型。实质是利用了ARP协议的漏洞,攻击者分别欺骗了A和B机。让A机把数据传给嗅探者,然后再由嗅探机器把数据转发给B机,A和B却没有意识到数据包的中转过程,这样我们就可以劫获数据甚至修改数据包 下面分别介绍五种用法: 1:ettercap-Nzaip1ip2mac1mac2(arpbased)劫获IP1与IP2间的数据.缺省状态下 只接收TCP数据包 2:ettercap-Naipmac(smartc
4、arp)劫获此ip与外部所有通讯数据,这种方式比较剧烈,启动时采用的是ARP风暴,很容易被发现.如果别人在用TCPDUMP监听,就会看见攻击者发出的无数的ARP请求,再傻的管理员都明白什么事情发生了.不过由于修改了指定主机的ARP表中关于被监听主机的MAC地址,还修改了被监听主机中的那些指定主机的MAC地址,处在完全的中间人工作状态,这时候你可以作的事情多些,比如更改数据包,截取SSH口令 3:ettercap-Nzaipmac(publicarp)同上,不同点在于发送ARP请求的方式,上面采用的是ARP广播,这里只是对特定主机发送ARP请
5、求.这样,不易引起管理员的怀疑.不过也带来了问题,被监听者自己也会收到这个以广播方式发送的ARP响应包,于是便会弹出"检测到IP地址于硬件地址冲突"之类的警告.不过不会影响目标主机正常通信,还有一点就是发往被监听主机的数据包会送给监听者,而监听者发出的数据包却被直接送往真正的目的主机,没有经过监听者的主机.所以我们只能截取不完全的通信内容 4:ettercap-NzsIP:80(ipbasedsniffing)基于IP地址的嗅探。这里仅劫获目标机器HTTP消息,你也可以指定其他端口,比如23。如果没有指定,所有都会被截取 5:etterc
6、ap-zmmac1mac2(macbased)基于MAC的嗅探.只要输入MAC地址 需要说明的是,4,5两种方式只适合于共享网络,在交换网络下一概无效.MAC地址的获取很简单,直接在终端输入“ettercap-l"就会列出所有在线主机。或者你先PING一下某个IP,不管有没有回应(没有回应可能是对方开了防火墙),再用ARP命令就可以获取其MAC地址。如果无法获取,则此IP不存在,这也是探测防火墙后的主机是否在线的一个好方法。 包过滤:由于网络流量实在很大,当你面对大量记录数据时,你可能会感到手足无措,你想找到自己需要的数据无疑是一项艰巨的
7、工作,这时侯,我们可以通过—F选项加载自己的过滤规则,这样,很多无用的数据就会被忽略,删节。和注射字符一样,我们进行包过滤时有必要的话也要注意到正确的TCP序列号和确认序列号等因素。一旦你加载了自己的过滤链,你就可以有目的的得到自己最需要的数据了。一条过滤规则看起来就象汇编程序一样,当然,还是有差距的,用列阵形容可能更确切些。一条过滤规则大概如下:《协议,源端口,目标端口,承载数据》 一个空的搜索字符串总可以成立,比如端口如果没有指定,所有的都会被记录下来。只要那些规则匹配,你的过滤链就可以工作了 例如有如下数据流 packet1:"v
8、ar1=123&var2=400" packet2:"var1=124&var2=420" packet3:"var1=125&var2=460" packe
