|
【原理基礎(chǔ)】
1. 軟件簡介
Ettercap是一款基于終端的以太網(wǎng)絡(luò)局域網(wǎng)嗅探器/攔截器/日志器。它支持主動和被動的多種協(xié)議解析(甚至是ssh和https這種加密過的)。還可以進行已建立連接的數(shù)據(jù)注入和實時過濾,保持連接同步。大部分嗅探模式都是強大且全面的嗅探組合。支持插件。能夠識別你是否出在交換式局域網(wǎng)中,通過使用操作系統(tǒng)指紋(主動或被動)技術(shù)可以得出局域網(wǎng)結(jié)構(gòu)。
Ettercap最初設(shè)計為交換網(wǎng)上的sniffer,但是隨著發(fā)展,它獲得了越來越多的功能,成為一款有效的、靈活的中介攻擊工具。它支持主動及被動的協(xié)議解析并包含了許多網(wǎng)絡(luò)和主機特性(如OS指紋等)分析。
2. Ettercap的5種工作方式
1)IPBASED
在基于IP地址的sniffing方式下,Ettercap將根據(jù)源IP-PORT和目的IP-PORT來捕獲數(shù)據(jù)包。
2)MACBASED
在基于MAC地址的方式下,Ettercap將根據(jù)源MAC和目的MAC來捕獲數(shù)據(jù)包(在捕獲通過網(wǎng)關(guān)的數(shù)據(jù)包時,這種方式很有用)
3)ARPBASED
在基于ARP欺騙的方式下,Ettercap利用ARP欺騙在交換局域網(wǎng)內(nèi)監(jiān)聽兩個主機之間的通信(全雙工)。
4)SMARTARP
在SMARTARP方式下,Ettercap利用ARP欺騙,監(jiān)聽交換網(wǎng)上某臺主機與所有已知的其他主機(存在于主機表中的主機)之間的通信(全雙工)。
5)PUBLICARP
在PUBLICARP方式下,Ettercap利用ARP欺騙,監(jiān)聽交換網(wǎng)上某臺主機與所有其它主機之間的通信(半雙工)。此方式以廣播方式發(fā)送ARP響應(yīng),但是如果Ettercap已經(jīng)擁有了完整的主機地址表(或在Ettercap啟動時已經(jīng)對LAN上的主機進行了掃描),Ettercap會自動選取SMARTARP方式,而且ARP響應(yīng)會發(fā)送給被監(jiān)聽主機之外的所有主機,以避免在Win2K上出現(xiàn)IP地址沖突的消息。
3. Ettercap的功能
1)在已有連接中注入數(shù)據(jù):你可以在維持原有連接不變的基礎(chǔ)上向服務(wù)器或客戶端注入數(shù)據(jù),以達到模擬命令或響應(yīng)的目的。
2)SSH1支持:你可以捕獲SSH1連接上的User和PASS信息,甚至其他數(shù)據(jù)。Ettercap是第一個在全雙工的條件下監(jiān)聽SSH連接的軟件。
3)HTTPS支持:你可以監(jiān)聽http SSL連接上加密數(shù)據(jù),甚至通過PROXY的連接。
4)監(jiān)聽通過GRE通道的遠程通信:你可以通過監(jiān)聽來自遠程cisco路由器的GRE通道的數(shù)據(jù)流,并對它進行中間人攻擊。
5)Plug-in支持:你可以通過Ettercap的API創(chuàng)建自己的Plug-in。
6)口令收集:你可以收集以下協(xié)議的口令信息,TELNET、FTP、POP、RLOGIN、SSH1、ICQ、SMB、MySQL、HTTP、NNTP、X11、NAPSTER、IRC、RIP、BGP、SOCK5、IMAP4、VNC、LDAP、NFS、SNMP、HALFLIFE、QUAKE3、MSNYMSG(不久還會有新的協(xié)議獲得支持)。
7)數(shù)據(jù)包過濾和丟棄:你可以建立一個查找特定字符串(甚至包括十六近制數(shù))的過濾鏈,根據(jù)這個過濾鏈對TCP/UDP數(shù)據(jù)包進行過濾并用自己的數(shù)據(jù)替換這些數(shù)據(jù)包,或丟棄整個數(shù)據(jù)包。
8)被動的OS指紋提。耗憧梢员粍拥兀ú槐刂鲃影l(fā)送數(shù)據(jù)包)獲取局域網(wǎng)上計算機系統(tǒng)的詳細信息,包括操作系統(tǒng)版本、運行的服務(wù)、打開的端口、IP地址、MAC地址和網(wǎng)卡的生產(chǎn)廠家等信息。
9)OS指紋:你可以提取被控主機的OS指紋以及它的網(wǎng)卡信息(利用NMAP Fyodor數(shù)據(jù)庫)。
10)殺死一個連接:殺死當(dāng)前連接表中的連接,甚至所有連接。
11)數(shù)據(jù)包生產(chǎn):你可以創(chuàng)建和發(fā)送偽造的數(shù)據(jù)包。允許你偽造從以太報頭到應(yīng)用層的所有信息。
12)把捕獲的數(shù)據(jù)流綁定到一個本地端口:你可以通過一個客戶端軟件連接到該端口上,進行進一步的協(xié)議解碼或向其中注入數(shù)據(jù)(僅適用于基于 ARP的方式)。
4. Ettercap的優(yōu)點
1、它不需要libpcap、libnet等常用庫的支持。
2、基于ARP欺騙的sniffing不需要把執(zhí)行ettercap的主機的網(wǎng)卡設(shè)置為全收方式。
3、支持后臺執(zhí)行。
【使用說明】
<1> 監(jiān)聽方式:
-a,--arpsniff
基于ARP的sniffing。 指定監(jiān)聽交換網(wǎng)的方式,如果你想要采用中間人技術(shù)進行攻擊,必須選用這個選項。如果這個參數(shù)與靜音方式(-z選項)連用,你必須為ARPBASED方式指定兩對IP-MAC地址(全雙工),或者為PUBLICARP方式指定一個IP-MAC地址(半雙工)。在PUBLICARP方式下,ARP響應(yīng)是以廣播方式發(fā)送的,但是,如果Ettercap擁有了完整的主機表(在啟動時對局域網(wǎng)進行了掃描),Etercap會自動選擇SMARTARP方式,ARP響應(yīng)會發(fā)送給處被控主機以外的所有主機,并建立一個哈希表,以便以后在全雙工條件下的中間人攻擊中可以將數(shù)據(jù)包從監(jiān)聽主機發(fā)送給以這種方式截獲的客戶。(注:如果你采用 SMARTARP方式的ARP欺騙,要在配置文件中設(shè)置網(wǎng)關(guān)的IP地址(GWIP選項),并通過-e選項加載這個文件。否則這個客戶將無法連接到遠程主機。需要進行包替換或包丟棄的數(shù)據(jù)包過濾功能僅僅可以在ARPBASED方式下使用,因為為了保持連接必須調(diào)整數(shù)據(jù)包的TCP序列號。
-s,--sniff
基于IP的監(jiān)聽。這是最早的監(jiān)聽方式。它適用與HUB環(huán)境,但是在交換網(wǎng)下就沒有作用了。你可以僅僅指定源或目的IP地址,可以指定也可以不指定端口,或者干脆什么也不指定,這樣意味著監(jiān)聽網(wǎng)上的所有主機?梢杂谩癆NY”來表示IP地址,它的意思是來自或去往每一個主機。
-m,-macsniff
基于MAC的監(jiān)聽,適用于監(jiān)聽遠程的TCP通信。在HUB環(huán)境下,如果你想要監(jiān)聽通過網(wǎng)關(guān)的連接,僅僅指定欲監(jiān)視主機的IP和網(wǎng)關(guān)的IP是不行的,因為數(shù)據(jù)包是從外部主機發(fā)送的,而不是從網(wǎng)關(guān)發(fā)送的,所以你不能采取指定IP地址的方法。為了達到監(jiān)視內(nèi)外通信的目的,你只要指定被監(jiān)視主機的MAC地址和網(wǎng)關(guān)的MAC地址,這樣就可以監(jiān)視被監(jiān)聽主機的所有Internet通信。
本新聞共 4頁,當(dāng)前在第 1頁 1 2 3 4 |
【收藏】【打印】【進入論壇】 |
|
|
|
|
|
|
|