1、網絡嗅探:使用TCPDump分析網絡數據
TCPDump是一款資深網絡工作人員必備的工具。TCPDump是一款小巧的純命令行工具,正是因爲它的體積小巧,所以這款工具可以完美的運行在大多數路由器,防火牆以及Linux系統中。而且TCPDump現在有了Windows版本。
TCPDump的使用:
tcpdump -v -i eht0
- -v:以verbose mode,詳細模式顯示。
- -i:表示指定要監聽的網卡。
CTRL+C結束監聽。
將監聽的數據保存下來:
tcpdump -v -i eth0 -w XXX.pcap
可以使用wireshark打開。
2、使用 Wireshark進行網絡分析
- 打開Wireshark的密碼,就是你的開機密碼。
- 進入後,雙擊eth0,就可以看到該網卡下的網絡鏈接信息。
3、Driftnet:圖片捕獲工具
Driftnet是一款簡單且實用的圖片捕獲工具,可以很方便的在網絡數據包中抓取圖片。
- sudo driftnet -i eth0
- -b:捕獲到新的圖片時發出嘟嘟嘟的聲音。
- -i:interface,選擇監聽接口。
- -f:file,讀取一個指定pcap數據包中的圖片。
- -p:不讓所監聽的端口使用混雜模式。
- -a:後臺模式,將捕獲的圖片保存到目錄中,不會顯示在屏幕上。
- -m:number,指定保存圖片數的數目。
- -d:directory,指定保存圖片的路徑。
- -x:prefix,指定保存圖片的前綴名。
4、使用Arpspoof:進行Arp欺騙
利用arp協議漏洞,我們可以監聽網絡上的流量。
實驗靶機:Windows7。
Windows上的流量都會流經網關,所以我們把kali僞造成網關,那麼就可以截取流量信息。並讀取其中內容。
- sudo arpspoof -i [網卡] -t [要攔截流量的主機ip] [要僞裝的主機ip]
- 開啓網卡轉發:爲了流經kali後,轉發出去,正常上網。
- sudo su
- echo 1 > /proc/sys/net/ipv4/ip_forward
使用arpspoof完成對目標主機的欺騙任務後,我們就可以截獲到目標主機發往網關的數據包了。下面我們看下與driftnet配合,查看流量中的圖片。
就是在arpspoof監聽流量的時候,打開上面學過的driftnet,設置對應的參數即可。
5、使用Ettercap進行網絡嗅探
Ettercap剛開始只是一個網絡嗅探器,但在開發過程中,它獲得了越來越多的功能,在中間人攻擊方面,是一個強大而又靈活的工具。
中間人攻擊(Man in the MiddleAttack,簡稱“MITM”攻擊):
- 打開方式:sudo ettercap -G。
它有兩個主要的嗅探選項:
- unified:以中間人方式嗅探,最常用到的模式。
- bridged:在雙網卡的情況下,嗅探兩塊網卡之間的數據包。
看上面的圖,點"對勾"就可以開始嗅探了。左邊的放大鏡就是開始掃描。
實驗靶機:Windows7->模擬用戶、Metasploitable2->模擬服務器。
- 右鍵掃描出來的ip,分別加到target1和target2中。然後,我們可以通過右側的三個點查看
![]()
- 然後這裏點擊ARP欺騙,然後彈出來的框點OK就可以了。
![]()
- 然後,在你的Windows中輸入Metasploitable的ip地址。
![]()
- 然後選擇DVWA。隨便輸入用戶名密碼,回到kali,發現我們可以獲取到。
![]()
配合driftnet使用獲取流量中的圖片:
實驗靶機:windows7。
很簡單哈,就是組合之前的幾個步驟就可以了:
- 開啓網卡轉發:
- sudo su
- echo 1 > /proc/sys/net/ipv4/ip_forward
- ettercap開啓arp欺騙。參照前一節。
- 開啓driftnet:sudo driftnet -i eth0 -a -d /home/zakingwong/driftnet/。
- 大功告成!