背景知识
嗅探器试验使用的工具有两种: ettercap和driftnet。 ettercap利用计算机在LAN中通信的ARP协议的缺陷进行攻击,在目标和服务器之间充当中介,监视两者之间的数据通信量,窃取用户的数据,是现有的常见网络
ettercap介绍
ettercap有两种运行方法:统一和混合。 统一的方式用中间人的方式嗅探。 基本原理是既欺骗主机a又欺骗主机b,使自己成为中间人。 数据在a和b之间传输时通过c,c可以分析数据完成嗅探器。 BRIDGED方式在双网卡的情况下,对两张网卡之间的分组进行嗅探。
ettercap的sniffing机制分为以下五种。
1 )基于IP )在基于IP地址的侦听方案中,ettercap基于源IP端口和目的地IP端口捕获分组;
2 )基于MAC的)在基于MAC地址的方案中,ettercap基于源MAC和目的地MAC捕获分组(便于捕获通过网关的分组);
3 )基于Arp )在Arp欺骗方案中,ettercap使用Arp欺骗来侦听交换LAN中两个主机之间的通信(全双工);
4 ) SMARTArp )在SMARTArp方案中,ettercap利用ARP欺骗(全双工),监听交换网上一个主机与所有已知的其他主机(驻留在主机表中的主机)之间的通信;
5 ) PUBLICArp )在PUBLICArp方式中,ettercap利用ARP欺骗,监听交换网上一台主机与所有其他主机之间的通信(半双工)。 此方法通过广播发送Arp响应,但如果ettercap已经有完整的主机地址表,或者ettercap启动时正在扫描LAN上的主机,则ettercap会自动选择SMARTArp方法,然后单击
在操作ettercap时,经常使用-M参数。 也就是说,选择中间人攻击模式。 有以下攻击方法。
1 )基于Arp毒化的中间人攻击) Arp毒化原理可以简单理解为伪造MAC地址与IP的对应关系,由中间人拦截并重新发出数据包。 Arp毒化有双向(remote )和单向(oneway )两种方式。 双向方式毒害两目标的Arp缓存,监听两者之间的通信。 单向方式只监听从第一个目标到第二个目标的单向通信内容。 一般来说,选择使用双向欺诈获取所有数据包进行嗅探器分析的方法。
例如# ettercap-marp : remote/192.168.1.102 /
相应的含义表示侦听192.168.1.102上所有端口的通信。 这包括发送的数据包和接收的数据包。
2 ) icmp欺骗: icmp欺骗是一种基于重定向(redirect )的路由欺骗技术。 其基本原理是欺骗其他主机,将自身伪装成最近的渠道。 因此,其他主机会发送数据包,作为中介的攻击者会将其再次转发到真正的路由器。 然后,我们可以拦截这些数据包。 当然,icmp欺骗不适用于交换机环境,如果本机处于交换机环境下,最好选择arp毒化方式进行攻击。 IMP欺骗方式的参数为实路由器的MAC和IP,参数格式为(MAC/IP )。
!
ettercap参数和常规操作
-l显示可用的网络接口设备
-i选择界面
-t协议选择,tcp/udp/all,默认为all
-p不进行毒化攻击,用于嗅探本地数据包
-L加载过滤器文件
-V text以文本形式在屏幕上显示包
-L filename保存所有数据包。 保存的文件只能在etterlog中查看。
driftnet介绍
driftnet是一个软件,用于捕获指定接口数据流上方的图像,并在Linux下方的窗口中显示嗅探到的图像。
driftnet命令使用语法: driftnet [options] [filter code]
主要参数:
-b捕获新图像时发出报警音
- I接口选择监听接口
-f file读取指定pcap包的图像
-p不让监听的接口使用混合模式
-a后台模式:将捕获的图像保存到目录中。 不会显示在画面上)
-m number指定要保存的图像数
- d目录指定存储图像的路径
-x prefix确定存储图像的前缀名称
局域网断网
在终端上输入命令,首先ping要断开网络的ip
fping --asg 192.168.4.1/24 (我的) ) )。
然后输入命令arpspoof-ieth0- t 192.168.4.159192.168.4.4
192.168.4.159是攻击的目标ip 192.168.4.4是攻击者的网关
局域网获取图片
首先打开终端输入
makdir ls创建一个将绝对路径连接到driftnet -i eth0 -b -a -d /root/ls的文件
然后,打开另一个终端并输入ettercap-ieth0- TQ-marp : remote////
这就是嗅探局域网的所有ip