Ettercap有5种sniffing工作方式: 1、IPBASED
在基于IP地址的sniffing方式下,Ettercap将根据源IP-PORT和目的IP-PORT来捕获数据包。 2、MACBASED
在基于MAC地址的方式下,Ettercap将根据源MAC和目的MAC来捕获数据包(在捕获通过网关的数据包时,这种方式很有用) 3、ARPBASED
在基于ARP欺骗的方式下,Ettercap利用ARP欺骗在交换局域网内监听两个主机之间的通信(全双工)。 4、SMARTARP
在SMARTARP方式下,Ettercap利用ARP欺骗,监听交换网上某台主机与所有已知的其他主机(存在于主机表中的主机)之间的通信(全双工)。 5、PUBLICARP
在PUBLICARP 方式下,Ettercap利用ARP欺骗,监听交换网上某台主机与所有其它主机之间的通信(半双工)。此方式以广播方式发送ARP响应,但是如果 Ettercap已经拥有了完整的主机地址表(或在Ettercap启动时已经对LAN上的主机进行了扫描),Ettercap会自动选取 SMARTARP方式,而且ARP响应会发送给被监听主机之外的所有主机,以避免在Win2K上出现IP地址冲突的消息。 Ettercap中最常用的一些功能包括:
1、在已有连接中注入数据:你可以在维持原有连接不变的基础上向服务器或客户端注入数据,以达到模拟命令或响应的目的。
2、SSH1支持:你可以捕获SSH1连接上的User和PASS信息,甚至其他数据。Ettercap是第一个在全双工的条件下监听SSH连接的软件。
3、HTTPS支持:你可以监听http SSL连接上加密数据,甚至通过PROXY的连接。
4、监听通过GRE通道的远程通信:你可以通过监听来自远程cisco路由器的GRE通道的数据流,并对它进行中间人攻击。
5、Plug-in支持:你可以通过Ettercap的API创建自己的Plug-in。
6、口令收集:你可以收集以下协议的口令信息,TELNET、FTP、POP、RLOGIN、SSH1、ICQ、SMB、MySQL、HTTP、 NNTP、 X11、NAPSTER、IRC、RIP、BGP、SOCK5、IMAP4、VNC、LDAP、NFS、SNMP、HALFLIFE、QUAKE3、 MSNYMSG(不久还会有新的协议获得支持)。
7、数据包过滤和丢弃:你可以建立一个查找特定字符串(甚至包括十六近制数)的过滤链,根据这个过滤链对TCP/UDP数据包进行过滤并用自己的数据替换这些数据包,或丢弃整个数据包。
8、被动的OS指纹提取:你可以被动地(不必主动发送数据包)获取局域网上计算机系统的详细信息,包括操作系统版本、运行的服务、打开的端口、IP地址、MAC地址和网卡的生产厂家等信息。 9、OS指纹:你可以提取被控主机的OS指纹以及它的网卡信息(利用NMAP Fyodor数据库)。 10、杀死一个连接:杀死当前连接表中的连接,甚至所有连接。
11、数据包生产:你可以创建和发送伪造的数据包。允许你伪造从以太报头到应用层的所有信息。 12、把捕获的数据流绑定到一个本地端口:你可以通过一个客户端软件连接到该端口上,进行进一步的协议解码或向其中注入数据(仅适用于基于 ARP的方式)。
1.3 实践任务环境/资源说明
实践环境说明:交换LAN环境即交换局域网环境,传统的以太网中,在任意一个时刻网络中只能有一个站点发送数据,其他站点只可以接收信息,若想发送数据,只能退避等待。因此,共享式以太网的固定带宽被网络上所有站点共享,随机占用,网络中的站点越多,每个站点平均可以使用的带宽就越窄,网络的响应速度就越慢。交换式局域网的出现解决了这个问题。交换式局域网所有站点都连接到一个交换式集线器或局域网交换机上。交换式集线器或局域网交换机具有交换功能,它们的特点是:所有端口平时都不连通,当工作站需要通信时,交换式集线器或局域网交换机能同时连通许多端口,使每一对端口都能像独占通信媒体那样无冲突的传输数据,通信完成后断开连接。由于消除了公共的通信媒体,每个站点独自使用一条链路,不存在冲突问题,可以提高用户的平均数据传输速率,即容量得以扩大。交换式局域网的优点:(1)采用星型拓扑结构,容易扩展,而且每个用户的带宽并不因为互连的设备增多而降低。(2)由于消除了公共的通信媒体,每个站点独自使用一条链路,不存在冲突问题,可以提高用户的平均数据传输速度。交换式局域网无论是从物理上还是逻辑上都是星形拓扑结构,多台交换式集线器可以串接,连成多级星形结构。
实践资源说明:本课题要求配备1台带有活动网络连接(插有网卡)、安装有VMware虚拟机软件的PC机,其中主机/服务器环境的配置如下表1-3所示:
主机配置 操作系统 Web 浏览器 Web 服务器 IP地址 Windows 8.1 IE11.0 Apache Tomcat/7.0.61 、IIS 192.168.1.3 表1-3 主机(/服务器)的环境配置
虚拟机的环境配置如下表1-4和1-5所示:
虚拟机WindowXP配置 操作系统 Web浏览器 IP地址 Windows XP SP3 IE 192.168.1.12 表1-4 虚拟机(/目标主机)的环境配置
虚拟机Kali Linux配置 操作系统 嗅探工具 IP地址 Kali Linux 2.0 Ettercap 0.8.2 192.168.1.11 表1-5 虚拟机(/攻击机)的环境配置
1.4 实践任务内容
1、动手实际安装VMware虚拟机工具。
2、动手配置VMware虚拟机使单台PC机可虚拟出三台联网PC机(本机+虚拟机,可相互Ping通)。 3、使用Ettercap对交换环境的主机之间的通信进行嗅探和分析。 4、使用Ettercap对目标逐句进行ARP欺骗攻击。
5、使用Ettercap的dns_spoof插件对目标主机进行DNS劫持。
6、编写过滤规则利用Ettercap的过滤器功能进行假消息注入攻击,窃取受害者的用户信息。
1.5 过程步骤说明
主要步骤:
1、VM中将两台虚拟机的网络连接方式设置为桥接模式,指定主机IP地址或让主机自动获取IP地址,保证三台主机在同一个网段内,并且可以互相Ping通,至此实验网络环境搭建完成。
2、在Kali Linux中设置Ettercap的嗅探接口网卡和嗅探方式,实验中设置为混杂模式。
3、将目标主机和默认网关分别加入目标一和目标二,开启ARP欺骗攻击,截获所有流经默认网关的数据流。
4、改写ettercap 的DNS配置文件,设置目标主机访问的域名对应的虚假IP地址,启用dns_spoof插件进行DNS劫持攻击。
5、按照假消息攻击需求编写过滤规则文件,用etterfilter命令将过滤规则编译成ettercap可识别的二进制文件,再在ettercap 中加载过滤器就完成假消息攻击和受害者的用户信息窃取。
具体过程/步骤说明:
Step1:配置两台虚拟机,一台作为攻击机(IP:192.168.1.11),一台作为目标主机(IP:192.168.1.12),主机和两台虚拟机之间可以互相Ping通:
图1-3 虚拟机配置截图
图1-4 主机Ping两台虚拟机截图
Step2:在Kali Linux中启动Ettercap,选择eth0网卡,嗅探方式选择Unified,Ettercap有两种运行方式,UNIFIED和BRIDGED。
