切换风格

Wizard Sky California Sunset glow Black Cloud Beige Dragon Lavender NewYear City Snow Flowers London
收藏本站XSS平台字符串转换jsfuck
43 中间人攻击 ettercap 其他命令[复制链接]
发表于 2012-8-17 00:20:18 | 显示全部楼层 |!read_mode!
安装说明

关于在其他服务器的安装:

  1. git clone git://github.com/sam-github/libnet.git libnet_6
  2.     cd libnet_6/libnet
  3.     ./autogen.sh
  4.     ./configure
  5.     make && make install
  6.     git clone -b ettercap_rc git://ettercap.git.sourceforge.net/gitroot/ettercap/ettercap ettercap_rc
  7.     cd ettercap_rc
  8.     mkdir build && cd build
  9.     cmake ..
  10.     make && make install
复制代码
获得当前
全部网卡
  1. root@Dis9Team:/# ettercap -I

  2. ettercap NG-0.7.3 copyright 2001-2004 ALoR & NaGA

  3. List of available Network Interfaces:

  4. eth0          eth0
  5. usbmon1          USB bus number 1
  6. usbmon2          USB bus number 2
  7. lo          Local Loopback


  8. root@Dis9Team:/#
复制代码
文件详细/usr/local/share/ettercap/etter.conf
- 设置文件
/usr/local/share/ettercap/etter.dns
- 用于插件phantom的主机文件
/usr/local/share/ettercap/etter.filter
- 过滤规则
/usr/local/share/ettercap/etter.mime
- 插件thief所用的网络邮件协议类型
/usr/local/share/ettercap/etter.passive.os.fp
- OS指纹库
/usr/local/share/ettercap/etter.ssl.crt
- HTTPS m-i-t-m所用的SSL证书
/usr/local/share/ettercap/mac-fingerprints
- 网卡厂家库
/usr/local/share/ettercap/nmap-os-fingerprints
- nmap Fyodor os指纹监听模式-a,–arpsniff
arp为基础的监听
这是交换机网络中的监听模式,如果你想使用mitm(man in the middle)技术的话你就不得不使用这种模式.在和安静模式(-z参数)联合使用的时候,如果决定采用ARPBASED模式(full-duplex),你必须指定两个IP和两个MAC地址,如果采用PUBLICARP模式(half-duplex),你就只需要指定一个IP地址和一个MAC地址.在使用PUBLICARP模式的时候,arp答复采用广播形式发送,但如果ettercap有完整的主机列表(启动的时候ettercap会扫描网络),ettercap会自动选择SMARTARP模式,arp答复会发送给除了肉机以外的所有主机,and an hash table is created to re-route back the packet form victim to client obtaining in this way a full-duplex man in the middle attack.这时候路由表关于从肉机到客户端的这部分被重新改写,这样就开始了一个mitm攻击(这一段也不是很清楚).
注意:如果你想使用smartarp模式来poison一台机器,记得在conf文件里面设置好网关的IP(GWIP项目)而且用-e参数来启动,否则那台机器不能连接到别的机器上.
利用过滤来进行包替换和包的丢弃,只能用在ARPBASED的监听中,是因为在full-duplex中必须重新调整序列号以能够使连接保持活动.-s,–sniff
基于IP的监听
这是一种比较老的也是不错的监听模式.但它只能在基于hub的网络上面使用,在使用了交换机的网络上面没法工作.你可以指定源,也可以指定目标,可以指定端口或者不制定,甚至可以什么也不指定(监听所有连接)让它工作.特殊的IP “ANY”表示从或者到任何的机器.-m,–macsniff
基于mac的监听
监听远程的机器上面的tcp通讯可以使用这种模式.在基于hub的网络上你如果想要监听一个通过网关的连接,制定目标机器和网关的ip是没有用的,因为包不是发给网关的.在这个时候你就可以使用这种模式.只需要指定目标机器和网关的mac你就能够看到它们所有的连接.脱机监听
-T,–readpcapfile
脱机监听
使用了这个参数以后,ettercap会检查一个pcap兼容文件,而不是在网络上取包.如果你有一个用tcpdump或者ethereal记录下来的文件而且你想在这个文件上做一些分析工作(查找密码或者被动指纹)的话,你可以采用这个参数.
-Y,–writepcapfile
把包纪录到一个pcap文件中
如果你不得不在一个交换机网络上使用一个活动的监听(arp欺骗)但你想使用tcpdump或者ethereal分析的话,你可以用这个参数.你能够使用这个参数来把包记录到一个文件中然后把它导入到你感兴趣的软件中.GENERAL OPTIONS
-N,–simple
无交互模式
当你需要在脚本中运行ettercap或者你已经知道目标的一些信息,或者你想在后台运行ettercap帮你收集数据以及密码(和–quiet参数一起使用),这种模式是比较有用的。一些功能在这种模式下面不能使用,当然是指那些需要交互的功能,就像字符的插入功能。但其他的(就像过滤)是完全可以用的,所以你能够设置ettercap监听两台机器(目标机器和它的网关)、过滤他的80端口的连接并且替换掉一些字符串,它的所有在internet上的通过80端口的通讯就会按照你所希望地进行改变。-z,–silent
安静模式(启动的时候没有arp风暴)
如果你希望用一种比较安静的模式启动ettercap(因为一些NIDS在监测到过多的arp请求包的时候会发出警告)。你在使用这种参数的时候你必须知道所有你必须知道的目标机器的数据。例如如果你想要监听两台机器,你就必须知道这两台机器的ip地址以及mac地址。如果你选择了基于ip的监听或者基于mac的监听,ettercap会自动切换到这种模式,因为你这个时候不需要知道lan中的机器列表。
如果你想要知道机器列表可以使用命令”ettercap -Nl’,但你必须知道这种模式是很危险的。-O –passive
这个参数使用被动模式收集数据。使用这个参数不会在网络中发送任何数据包。使用这个参数以后网卡进入混杂模式并且察看任何经过它的包。所有感兴趣的包(SYN或者SYN+ACK)会被分析,并且这种模式可以用来完整地了解整个网络。收集的信息包括:机器的ip和mac,操作系统的类型(操作系统的指纹),网络适配器厂家以及运行的服务。(详细的技术说明可以查阅readme)列表里面还包含有这些信息:“GW”表示网关,”NL”表示这个ip不属于LAN,”RT”表示机器是路由器。
这个参数在你想通过被动模式来制作一个网络主机列表时能发挥作用,如果你对收集到的信息比较满意,你可以通过按下’C'键把信息转换成为网络主机列表,而且这时候ettercap象平常一样工作。
ettercap在普通模式下的功能在下一部分会有详细介绍。-b,–broadping
在启动的时候用一个ping广播代替arp风暴
这种模式减少了危险,但也减少了精确度。一些机器在收到ping广播以后不会回复(就像windows)所以这些机器在这种模式下面不能被看到.如果你想扫描一个linux主机组成的网络这种模式是有用的.使用”ettercap -Nlb”你会得到一个网络主机列表.-D,–delay
如果你使用了arp监听模式,这个参数可以帮你确定在arp 回复之间的延迟时间(秒数).如果你想在监听中减少被发现的可能性,这个参数是很有用的.在很多OS上面默认的arp缓存的保存时间是超过一分钟(在FreeBSD上面是1200秒).
默认的延迟值时30秒.-Z,–stormdely
确定启动发送arp风暴的时候在arp请求之间的时间间隔(微秒).如果你想在扫描中减少被发现的可能性,使用这个参数会很有帮助.很多IDS在监测到大量的arp请求之后会发出警告,但如果你降低发送arp请求的速度,它们将不会报告任何东西.
默认的延迟值是1500微秒.-B,–bufferlen(n pck)
确定每个连接的缓存的长度.如果是0表示不使用连接缓存.每个连接的最后n各报将会被记录并保存下来.
默认的值时3.-S,–spoof
如果你想躲避IDS监测,你可以指定一个欺骗IP用来发送arp 请求扫描网络.源MAC不能用来欺骗,因为一个设置的好的交换机将会阻挡你的请求.(这一段我也不明白)一些例子查看是否有被欺骗的主机
  1. root@Dis9Team:/# ettercap -TQP scan_poisoner //

  2. ettercap NG-0.7.3 copyright 2001-2004 ALoR & NaGA

  3. Listening on eth0... (Ethernet)

  4.   eth0 ->        00:0C:29:84:4C:9D    192.168.40.128     255.255.255.0

  5. SSL dissection needs a valid 'redir_command_on' script in the etter.conf file
  6. Privileges dropped to UID 65534 GID 65534...

  7.   28 plugins
  8.   39 protocol dissectors
  9.   53 ports monitored
  10. 7587 mac vendor fingerprint
  11. 1698 tcp OS fingerprint
  12. 2183 known services

  13. Randomizing 255 hosts for scanning...
  14. Scanning the whole netmask for 255 hosts...
  15. * |==================================================>| 100.00 %

  16. 4 hosts added to the hosts list...
  17. Starting Unified sniffing...


  18. Text only Interface activated...
  19. Hit 'h' for inline help

  20. Activating scan_poisoner plugin...

  21. scan_poisoner: Checking hosts list...
  22. scan_poisoner: - 192.168.40.2 and 192.168.40.129 have same MAC address

  23. scan_poisoner: Actively searching poisoners...
  24. scan_poisoner: - UNKNOWN is replying for 192.168.40.2
  25. scan_poisoner: - UNKNOWN is replying for 192.168.40.129
  26. Unified sniffing was stopped.

  27. root@Dis9Team:/#
复制代码

结果说明192.168.40.129正在被ARP欺骗查看ARP包
  1. root@Dis9Team:/# ettercap -TQP arp_cop

  2. ettercap NG-0.7.3 copyright 2001-2004 ALoR & NaGA

  3. Listening on eth0... (Ethernet)

  4.   eth0 ->        00:0C:29:84:4C:9D    192.168.40.128     255.255.255.0

  5. SSL dissection needs a valid 'redir_command_on' script in the etter.conf file
  6. Privileges dropped to UID 65534 GID 65534...

  7.   28 plugins
  8.   39 protocol dissectors
  9.   53 ports monitored
  10. 7587 mac vendor fingerprint
  11. 1698 tcp OS fingerprint
  12. 2183 known services

  13. Starting Unified sniffing...


  14. Text only Interface activated...
  15. Hit 'h' for inline help

  16. Activating arp_cop plugin...

  17. arp_cop: plugin running...
  18. arp_cop: (IP-change) [00:0C:29:84:4C:9D]  192.168.40.128 -> 192.168.40.129
  19. arp_cop: (IP-change) [00:0C:29:84:4C:9D]  192.168.40.129 -> 192.168.40.254
  20. arp_cop: (IP-change) [00:0C:29:84:4C:9D]  192.168.40.128 -> 192.168.40.254
  21. arp_cop: (IP-change) [00:0C:29:84:4C:9D]  192.168.40.254 -> 192.168.40.2
  22. arp_cop: (IP-change) [00:0C:29:84:4C:9D]  192.168.40.129 -> 192.168.40.2
  23. arp_cop: (IP-change) [00:0C:29:84:4C:9D]  192.168.40.128 -> 192.168.40.2
  24. arp_cop: (IP-change) [00:0C:29:84:4C:9D]  192.168.40.2 -> 192.168.40.1
  25. arp_cop: (IP-change) [00:0C:29:84:4C:9D]  192.168.40.254 -> 192.168.40.1
  26. arp_cop: (IP-change) [00:0C:29:84:4C:9D]  192.168.40.129 -> 192.168.40.1
  27. arp_cop: (IP-change) [00:0C:29:84:4C:9D]  192.168.40.128 -> 192.168.40.1
复制代码



操千曲而后晓声,观千剑而后识器。

代码区

GMT+8, 2020-9-21 08:51

Powered by Discuz! X2

© 2001-2018 Comsenz Inc.

回顶部