當(dāng)前位置 : 首頁>軟件學(xué)院>網(wǎng)絡(luò)技術(shù)>網(wǎng)絡(luò)安全>正文

為局域網(wǎng)提供更安全的保護

http://www.yibo1263.com　2011/1/15 9:25:57 　來源:東北IT網(wǎng) 　編輯:葉子

　　【原理基礎(chǔ)】

　　1. 軟件簡介

　　Ettercap是一款基于終端的以太網(wǎng)絡(luò)局域網(wǎng)嗅探器/攔截器/日志器。它支持主動和被動的多種協(xié)議解析（甚至是ssh和https這種加密過的）。還可以進行已建立連接的數(shù)據(jù)注入和實時過濾，保持連接同步。大部分嗅探模式都是強大且全面的嗅探組合。支持插件。能夠識別你是否出在交換式局域網(wǎng)中，通過使用操作系統(tǒng)指紋（主動或被動）技術(shù)可以得出局域網(wǎng)結(jié)構(gòu)。

　　Ettercap最初設(shè)計為交換網(wǎng)上的sniffer，但是隨著發(fā)展，它獲得了越來越多的功能，成為一款有效的、靈活的中介攻擊工具。它支持主動及被動的協(xié)議解析并包含了許多網(wǎng)絡(luò)和主機特性（如OS指紋等）分析。

　　2. Ettercap的5種工作方式

　　1）IPBASED

　　在基于IP地址的sniffing方式下，Ettercap將根據(jù)源IP-PORT和目的IP-PORT來捕獲數(shù)據(jù)包。

　　2）MACBASED

　　在基于MAC地址的方式下，Ettercap將根據(jù)源MAC和目的MAC來捕獲數(shù)據(jù)包（在捕獲通過網(wǎng)關(guān)的數(shù)據(jù)包時，這種方式很有用）

　　3）ARPBASED

　　在基于ARP欺騙的方式下，Ettercap利用ARP欺騙在交換局域網(wǎng)內(nèi)監(jiān)聽兩個主機之間的通信（全雙工）。

　　4）SMARTARP

　　在SMARTARP方式下，Ettercap利用ARP欺騙，監(jiān)聽交換網(wǎng)上某臺主機與所有已知的其他主機（存在于主機表中的主機）之間的通信（全雙工）。

　　5）PUBLICARP

　　在PUBLICARP方式下，Ettercap利用ARP欺騙，監(jiān)聽交換網(wǎng)上某臺主機與所有其它主機之間的通信（半雙工）。此方式以廣播方式發(fā)送ARP響應(yīng)，但是如果Ettercap已經(jīng)擁有了完整的主機地址表（或在Ettercap啟動時已經(jīng)對LAN上的主機進行了掃描），Ettercap會自動選取SMARTARP方式，而且ARP響應(yīng)會發(fā)送給被監(jiān)聽主機之外的所有主機，以避免在Win2K上出現(xiàn)IP地址沖突的消息。

　　3. Ettercap的功能

　　1）在已有連接中注入數(shù)據(jù)：你可以在維持原有連接不變的基礎(chǔ)上向服務(wù)器或客戶端注入數(shù)據(jù)，以達到模擬命令或響應(yīng)的目的。

　　2）SSH1支持：你可以捕獲SSH1連接上的User和PASS信息，甚至其他數(shù)據(jù)。Ettercap是第一個在全雙工的條件下監(jiān)聽SSH連接的軟件。

　　3）HTTPS支持：你可以監(jiān)聽http SSL連接上加密數(shù)據(jù)，甚至通過PROXY的連接。

　　4）監(jiān)聽通過GRE通道的遠程通信：你可以通過監(jiān)聽來自遠程cisco路由器的GRE通道的數(shù)據(jù)流，并對它進行中間人攻擊。

　　5）Plug-in支持：你可以通過Ettercap的API創(chuàng)建自己的Plug-in。

　　6）口令收集：你可以收集以下協(xié)議的口令信息，TELNET、FTP、POP、RLOGIN、SSH1、ICQ、SMB、MySQL、HTTP、NNTP、X11、NAPSTER、IRC、RIP、BGP、SOCK5、IMAP4、VNC、LDAP、NFS、SNMP、HALFLIFE、QUAKE3、MSNYMSG（不久還會有新的協(xié)議獲得支持）。

　　7）數(shù)據(jù)包過濾和丟棄：你可以建立一個查找特定字符串（甚至包括十六近制數(shù)）的過濾鏈，根據(jù)這個過濾鏈對TCP/UDP數(shù)據(jù)包進行過濾并用自己的數(shù)據(jù)替換這些數(shù)據(jù)包，或丟棄整個數(shù)據(jù)包。

　　8）被動的OS指紋提�。耗憧梢员粍拥兀ú槐刂鲃影l(fā)送數(shù)據(jù)包）獲取局域網(wǎng)上計算機系統(tǒng)的詳細信息，包括操作系統(tǒng)版本、運行的服務(wù)、打開的端口、IP地址、MAC地址和網(wǎng)卡的生產(chǎn)廠家等信息。

　　9）OS指紋：你可以提取被控主機的OS指紋以及它的網(wǎng)卡信息（利用NMAP Fyodor數(shù)據(jù)庫）。

　　10）殺死一個連接：殺死當(dāng)前連接表中的連接，甚至所有連接。

　　11）數(shù)據(jù)包生產(chǎn)：你可以創(chuàng)建和發(fā)送偽造的數(shù)據(jù)包。允許你偽造從以太報頭到應(yīng)用層的所有信息。

　　12）把捕獲的數(shù)據(jù)流綁定到一個本地端口：你可以通過一個客戶端軟件連接到該端口上，進行進一步的協(xié)議解碼或向其中注入數(shù)據(jù)（僅適用于基于 ARP的方式）。

　　4. Ettercap的優(yōu)點

　　1、它不需要libpcap、libnet等常用庫的支持。

　　2、基于ARP欺騙的sniffing不需要把執(zhí)行ettercap的主機的網(wǎng)卡設(shè)置為全收方式。

　　3、支持后臺執(zhí)行。

　　【使用說明】

　　<1> 監(jiān)聽方式：

　　-a,--arpsniff

　　基于ARP的sniffing。指定監(jiān)聽交換網(wǎng)的方式，如果你想要采用中間人技術(shù)進行攻擊，必須選用這個選項。如果這個參數(shù)與靜音方式（-z選項）連用，你必須為ARPBASED方式指定兩對IP-MAC地址（全雙工），或者為PUBLICARP方式指定一個IP-MAC地址（半雙工）。在PUBLICARP方式下，ARP響應(yīng)是以廣播方式發(fā)送的，但是，如果Ettercap擁有了完整的主機表（在啟動時對局域網(wǎng)進行了掃描），Etercap會自動選擇SMARTARP方式，ARP響應(yīng)會發(fā)送給處被控主機以外的所有主機，并建立一個哈希表，以便以后在全雙工條件下的中間人攻擊中可以將數(shù)據(jù)包從監(jiān)聽主機發(fā)送給以這種方式截獲的客戶。（注：如果你采用 SMARTARP方式的ARP欺騙，要在配置文件中設(shè)置網(wǎng)關(guān)的IP地址（GWIP選項），并通過-e選項加載這個文件。否則這個客戶將無法連接到遠程主機。需要進行包替換或包丟棄的數(shù)據(jù)包過濾功能僅僅可以在ARPBASED方式下使用，因為為了保持連接必須調(diào)整數(shù)據(jù)包的TCP序列號。

　　-s,--sniff

　　基于IP的監(jiān)聽。這是最早的監(jiān)聽方式。它適用與HUB環(huán)境，但是在交換網(wǎng)下就沒有作用了。你可以僅僅指定源或目的IP地址，可以指定也可以不指定端口，或者干脆什么也不指定，這樣意味著監(jiān)聽網(wǎng)上的所有主機�？梢杂谩癆NY”來表示IP地址，它的意思是來自或去往每一個主機。

　　-m,-macsniff

　　基于MAC的監(jiān)聽，適用于監(jiān)聽遠程的TCP通信。在HUB環(huán)境下，如果你想要監(jiān)聽通過網(wǎng)關(guān)的連接，僅僅指定欲監(jiān)視主機的IP和網(wǎng)關(guān)的IP是不行的，因為數(shù)據(jù)包是從外部主機發(fā)送的，而不是從網(wǎng)關(guān)發(fā)送的，所以你不能采取指定IP地址的方法。為了達到監(jiān)視內(nèi)外通信的目的，你只要指定被監(jiān)視主機的MAC地址和網(wǎng)關(guān)的MAC地址，這樣就可以監(jiān)視被監(jiān)聽主機的所有Internet通信。

本新聞共4頁,當(dāng)前在第1頁 1 2 3 4

【收藏】【打印】【進入論壇】

相關(guān)文章：

·巧設(shè)路由阻斷局域網(wǎng)病毒傳播路徑

·衡量局域網(wǎng)交換機功耗的測試

·企業(yè)局域網(wǎng)內(nèi)DHCP服務(wù)器的安全設(shè)計

·辦公室局域網(wǎng)打印機共享輕松設(shè)置

·三方面控制好你的局域網(wǎng)網(wǎng)速

·解決局域網(wǎng)常掉線問題

·無線局域網(wǎng)秘訣：因地制宜靈活布置

·無線局域網(wǎng)協(xié)議及基本用語全解析

·網(wǎng)管組建有線/無線局域網(wǎng)必看方案

·組建安全高效無線局域網(wǎng)

·家庭無線局域網(wǎng)優(yōu)劣取決于無線信號

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费