ettercap

第1节 教材学习内容总结 本周学习了教材第八章的内容。 ###1.1 linux操作系统基本框架概述 发展出众多操作系统发行版：ubuntu、debian、fedora、centos、rhel、opensuse和stackware等。 优势 开放源代码与免费 跨平台的硬件支持 丰富的软件支持 多用户多任务 可靠的安全性 良好的稳定性 完善的网络功能 linux系统结构（课本图8-1） Linux进程与线程管理机制 Linux内存管理机制 Linux文件系统管理机制 Linux设备控制机制 Linux网络机制 Linux系统调用机制 ###1.2 linux操作系统安全机制 linux操作系统的核心安全机制主要是身份认证、授权与访问控制、安全审计三个部分。 linux身份认证 linux用户（root根用户、普通用户、系统用户） linux用户组（具有相同特征的用户账号集合） linux本地登录用户认证机制（控制台） linux远程登录用户认证机制（ssh服务） Linux的统一身份认证中间件——PAM（可插入身份认证模块） linux授权与访问控制 文件所有者（chown命令） 文件的访问权限（读、写、执行，chmod命令） 文件的特殊执行权限 Linux访问控制机制的不足与改进 linux安全审计 主要通过三个主要的日志子系统来实现（p284 表8-1）： 连接时间日志

现在的网络也真是发达，很多信息都会发到网上，因此，就会有很多信息泄露，时至今日，信息泄露已经很常见了，信息安全就是为了最大程度地减少损失， 网络是方便的，但也是不安全的，这里，我就说一下进行嗅探的一个方法：arp欺骗 在此之前可以先了解一下osi模型，这是进行网络连接的基本框架分为7层，我们上网是就是通过这几层的层层传递，ip地址就是在第三层的网络层，第二层是负责的MAC地址，这就是今天我想说的arp了。 首先我们应该了解，在我们上网浏览网站的时候，为了提高网站的响应速度，会把一些mac地址保存到ARP缓冲区里，保留一段时间，下次请求时直接查询ARP以节约资源。即ARP协议是建立在各个主机互相信任的基础上的， 网络上的主机在发送请求之后，其他主机受到应答，不会查看他的真假，就保存到本机ARP缓存区里， 因此我们可以向某一主机发送伪ARP，应答报文时不会检测该报文的真实性就会将报文发送，使其发送的信息无法到达预期的主机或到达错误的主机。这就形成了ARP欺骗， MAC地址映射了更新的ARP缓存，ARP缓存是个用来储存IP地址和MAC地址的缓冲区，其本质就是一个IP地址-->MAC地址的对应表。每个网卡都需要并会有一个唯一的MAC地址，数据包在节点之间的移动都是由ARP负责将IP地址映射到MAC地址上来完成的。 ARP欺骗是欺骗了IP/MAC的应关系（而MAC欺骗则是欺骗了MAC

文中可能存在错误操作或错误理解，望大家不吝指正. 同时也希望可以帮助到想要学习接触此方面、或兴趣使然的你，让你有个大概的印象. !阅前须知! 本文是基于我几年前的一本笔记本，上面记录了我学习网络基础时的部分笔记. 本文中的工具可能已经过时，或使用方法已经改变了，感兴趣可以深入查阅资料 (但是我还是列出以前的使用方法供大家借鉴). ps.若对 无线攻击手段 与 WiFi破解 感兴趣可以参考以下两篇文章 【无线安全实践入门】基础攻击手段与常用工具简介 【无线安全实践入门】破解WiFi密码的多个方法 ps.本文环境在Kali下，学习最好具备一点linux基础知识. <br> 1.网络扫描和嗅探 NMap (Network Mapper)，一个很不错的网络扫描和嗅探工具包 --NMap真的很常用，简直神器 --列出几种简单的使用方法: --ping扫描，快速，不过回显的内容有限 > nmap -sP (网关IP)/(子网掩码) --SYN/半开放扫描，加上-A回显详细信息 > nmap -sS [-A] (网关IP)/(子网掩码) --单个扫描，显示详细内容 > nmap -A (目标IP) --示例 > nmap -sP 192.168.1.1/24 <br> 2.ARP欺骗 局域网中的 ARP欺骗 还是比较有意思的.像 arpspoof 、 Ettercap 等工具都很不错.

一、ARP概述 如果要在TCP/IP协议栈中选择一个 "最不安全的协议" ，那么我会毫不犹豫把票投给ARP协议。我们经常听到的这些术语，包括"网络扫描"、"内网***"、"中间人拦截"、"局域网流控"、"流量欺骗"，基本都跟ARP脱不了干系。大量的安全工具，例如大名鼎鼎的Cain、功能完备的Ettercap、操作傻瓜式的P2P终结者，底层都要基于ARP实现。 听上去这么"逆天"的协议，其实技术原理又简单的难以置信，例如ARP整个完整交互过程仅需要两个包，一问一答即可搞定！但是ARP协议也有它令初学者迷惑的地方，例如由它本身延伸出来的"代理ARP"、"免费ARP"、"翻转ARP"、"逆向ARP"，而这些不同种类的ARP，又应用于不同的场景。好吧，在深入到技术原理之前，作为初学者，我们先记住下面三句话： ① ARP（Address Resolution Protocol）即地址解析协议， 用于实现从 IP 地址到 MAC 地址的映射，即询问目标IP对应的MAC地址 。 ②在网络通信中，主机和主机通信的数据包需要依据OSI模型从上到下进行数据封装，当数据 封装完整后，再向外发出。所以在局域网的通信中，不仅需要源目IP地址的封装，也需要源目MAC的封装。 ③一般情况下，上层应用程序更多关心IP地址而不关心MAC地址，所以需要通过ARP协议来获知目的主机的MAC地址，完成数据封装。 接下来

课前声明： 本分享仅做学习交流，请自觉遵守法律法规！ 搜索：Kali与编程，学习更多网络***干货！ 下篇文章将在明天下午五点发布，敬请关注！ 本节课你将了解到如何使用ARP欺骗窃取局域网用户相关账户密码，内容包括： 如何开启IP转发 怎样窃取受害用户相关账号密码 一、如何开启IP转发 在之前的截取受害者电脑图片流量的课程中，我们也讲过了要开启IP转发以及如何开启，开启IP转发使受害者电脑能够正常联网，不至于打草惊蛇，方便我们后续的***，这里我们在重述一下如何开启IP转发。 在kali机终端中输入cat /proc/sys/net/ipv4/ip_forward，查看ip_forward的值，cat命令是Linux中用于连接文件并打印到标准输出设备上，该命令的意思是将/proc/sys/net/ipv4目录下的ip_forward的值打印出来，若该值为0，表示关闭ip转发，若为1，则表示开启ip转发。我们要做就是将该值改为1，继续在终端中输入echo 1 > /proc/sys/net/ipv4/ip_forward，echo命令也可用作打印，这里加上了“>”重定向符号，意思将1重定向到ip_forward中，即就是将ip_forward的值改为1，更多Linux命令详解，请持续关注Kali与编程推出的相关章节。 使用这种方式进行的赋值只是暂时的，重启过后将无效

一、实验名称 网络欺诈防范 二、实 验目的 理解常用网络欺诈背后的原理，以提高防范意识，并提出具体防范方法。 三、实验内容 1．简单应用SET工具建立冒名网站 2．Ettercap工具的dns_spoof 3．结合应用两种技术，用dns_spoof引导特定访问到冒名网站 四、基础知识和实验准备 1．SET工具 Social-Engineer Toolkit，社会工程学工具包，由TrustedSec的创始人创建和编写，是一个开源的Python驱动工具，旨在围绕社交工程进行渗透测试，已经在包括Blackhat，DerbyCon，Defcon和ShmooCon在内的大型会议上提出过，拥有超过200万的下载量，旨在利用社会工程类型环境下的高级技术攻击。 2．Ettercap工具 （1）具有嗅探实时连接、内容过滤等功能，支持插件，可以通过添加新的插件来扩展功能； （2）工作原理是将网络接口设置为混杂模式并通过ARP欺骗感染目标设备，由此该设备成为“中间人”并发动对受害者的各类攻击； （3）支持对许多协议(包括加密协议)的主动和被动分离，并具有网络和主机分析方面的多项功能，包含四种操作模式： ·基于IP的模式：根据IP源和目的地过滤数据包； ·基于MAC的模式：根据MAC地址过滤数据包，该模式能够对嗅探通过网关的连接起到作用； ·基于ARP的模式：利用ARP欺骗方式在两个主机之间的交换式局域网

2019-2020-2 20175324王陈峤宇 《网络对抗技术》Exp7 网络欺诈防范 实践目标及内容 实践目标 本实践的目标理解常用网络欺诈背后的原理，以提高防范意识，并提出具体防范方法。 实践内容 简单应用SET工具建立冒名网站 （1分） ettercap DNS spoof （1分） 结合应用两种技术，用DNS spoof引导特定访问到冒名网站。（1.5分） 请勿使用外部网站做实验 实践步骤 简单应用SET工具建立冒名网站 SET(Social-Engineer Toolkit)是一个高级的，并且易于使用的计算机社会工程学工具集。 1. 由于我们要将钓鱼网站挂在本机的http服务下，所以需要将SET工具的访问端口改为默认的80端口。首先要查看80端口是否被占用。使用命令 sudo netstat -tupln |grep 80 。如果没有显示，则证明80端口未被占用。直接进行步骤3。 2. 如果有显示则证明80端口被占用。输入 kill [PID] 即可通过进程号杀死该进程。 3. 输入 sudo vi /etc/apache2/ports.conf 命令修改Apache端口文件，将端口改为80。这里我默认的端口就是80。 4. 输入 sudo apachectl start 来开启Apache服务： 5. 输入 setoolkit 打开SET工具，选择1， Social

root@kali:~# ettercap -G ***前，在192.168.1.105被***主机上查看，192.168.1.75是kali ettercap***主机 C:\Users\ss>arp -a 接口: 192.168.1.105 --- 0x4 Internet 地址 物理地址 类型 192.168.1.1 a4-93-4c-a3-a9-03 动态 192.168.1.75 80-00-0b-66-a5-44 动态 ***后，在192.168.1.105被***主机上查看 C:\Users\ss>arp -a 接口: 192.168.1.105 --- 0x4 Internet 地址 物理地址 类型 192.168.1.1 80-00-0b-66-a5-44 动态 192.168.1.75 80-00-0b-66-a5-44 动态 由于网关错误，不能上网 root@kali:~# echo 1 > /proc/sys/net/ipv4/ip_forward （在kali ettercap***主机中开启转发功能，使被***端通过kali ettercap***主机上网。） 192.168.1.105 主机上网，已经可以被192.168.1.75截获 可以通过在 192.168.1.75 主机上安装 xplico web gui方便的查看截取的数据。 来源：