探索黑客技术攻防,实战研究与安全创新

导航菜单
首页 » 网络安全 » 正文

交换环境下的嗅探器

2016年08月26日 网络安全 16511 views

ETTERCAP是又意大利A咯R和NaGA开发出来的,它不仅是可以嗅探数据包,还可以更改其内容,也可以注入一些命令。

一.安装

你可以在网上很多地方下载到它的最新版本,下载完后。

安装完成后,输入ellercap-help就可以看见帮助文档。

二:功能介绍

嗅探:它有五种工作模式

要说明的是,-g-m两选项带来的是传统嗅探模式,分别基于IP地址和MAC地址,也就是说他们必须把网卡置于混杂,然后才可以正常工作。所以在交换环境下,这两项会完全失效,-a选项是基于app欺骗的,是一种中间人攻击模型。实质是利用了ARP协议漏洞,是一种中间人攻击模型,实质是利用了ARP协议的漏洞,攻击者分别欺骗了A和B机,让A机把数据传给嗅探者,然后再由嗅探机器把数据转发给B机,A和B却没有意识到数据包中的中转过程,这样我们就可以截获数据甚至修改数据包。

下面介绍五种用法:

截获IP1与IP2间的数据,缺省状态下只接受TCP数据。

截获次IP与外部所有通讯数据,这种方式比较剧烈,启动时采用是ARP风暴,很容易被发现,如果别人才用TCPDUMP监听,就会看见攻击者发出的无数的ARP请求,再傻的管理员都明白什么事情发生了。不过,由于修改了指定主机的ARP表中关于监听主机MAC地址还修改了被监听主机中的那些指定主机的MAC地址,处在完全的中间人工作状态,这时候你可以做的事情多谢,比如更新数据包,截取SSH口令。

同上,不同于在于发送ARP请求的方式,上面采用的是ARP广播,这里只是对特定主机发送ARP请求,这样不易引起管理员的怀疑,不过也带来了问题,被监听者自己也会收到这个广播方式发送的ARP响应包。于是便会弹出检测到IP地址与硬件地址冲突,之类的警告。不过不会影响目标主机正常通信,还有一点就是发件被监听主机的数据包会送给肩痛着,而监听者发出的数据包却被直接送往真正的目的主机,没有经过监听者的主机,所以我们只能截取不完全的通信内容。

基于IP地址的嗅探,这里仅截获目标机器HTTP消息,你可以指定其他端口,比如23。如果没有指定,所有都会被截取。

基于MAC的嗅探,只需要输入MAC地址

需要说明的是4和5两种方式是适合于共享网络,在交换网络下一概无效,MAC地址的获取很简单,直接在终端输入ettercap-1就会列出所有在线主机或者你先ping一下某个IP,不管有没有回应,没有回应可能是对于开了防火墙。在用APP命令就可以获取其MAC地址,如果无法获取,则此IP不存在,这也是探测防火墙后的主机是否在线的一个好方法。

包过滤,由于网络流量死在很大,当你面对大量记录数据时,你可以会感到手足无措,你想到自己需要的数据无疑是一项艰巨的工作,这时候,我们可以通过F选项加载自己的过滤规则,这样,很多无用的数据就会被忽略,删节。和注册字符一样,我们进行包过滤时有必要的话也要注意到正确的TCP序列号和正确序列号等因素。一旦你加载了自己过滤链,你就可以有目的的得到自己最需要的数据了。一条过滤规则看起来就像汇编程序一样,当然,还是有差距的,用列阵形容可能更确切些,一条过滤规则大概如下,协议,原端口,目标端口,承载数据。

一个空的搜索字符串总可以成立,比如端口如果没有指定,所有的都会被记录下来。只要那些规则匹配,你的过滤链就可以工作了。例如有如下数据流:

如果varl后面没有被指定,默认则varl=000最后是关于SSH的嗅探,由于传输数据被加密,我们必须自己掌握密钥,具体实现方法如下:我们先截取服务器的期码密钥。保存在一边,自己再生成另一明码密钥,用来加密本机与客户通讯数据,收到客户机数据后,自然可以解密,再用服务器期码密钥加密,发送给服务器,如此以来可以偷梁换柱。

三:工作参数

下面列出它的主要选项,虽然它本身有28个不过限于篇幅,下面只列出一些常用的:

-V-Version检查最新版本

-h-help帮助文档

-组合选项一般和N绑定一齐执行

-U-udp嗅探UDP数据,缺省是TCP

-p-plugin运行制定名字的插件

-l-list列出所有在线主机ip和mac,实际就是发送255个arp请求,等待回音,如果你的子网掩码是255.255.0.0就会发送255+255个请求,就是ARP风暴吧!

-C-conlletc仅搜集用户名和对应密码,Eg:erretcapNCZSIP:port他规则不是严格,所以你IP或者PORT不填也没有关系

-c-check检查网络里有无其它机器正在嗅探

-x-hexview用16进制表达数据,这样,如果你想自己创建一个连的话被比较方便比如:

-L-longtofile记录所有数据到指定位置

-K-newcert创建一个新的CFRT文件用以进行HTTPS攻击

-F-fillter从指定文件加在过滤规则

-F-fingerpoinr指定主机的OS判别采用的是Nmap的数据库,所以准确性得到保障,不过也有无法辨别的时候

-t-linktype判断自己处在什么样的网络环境中,变换或者HUB

本文内容所提及均为本地测试或经过目标授权同意,旨在提供教育和研究信息,内容已去除关键敏感信息和代码,以防止被恶意利用。文章内提及的漏洞均已修复,作者不鼓励或支持任何形式的非法行为。

相关推荐

网站分类