【原理基础】
1. 软件简介
Ettercap是一款基于终端的以太网络局域网嗅探器/拦截器/日志器。它支持主动和被动的多种协议解析(甚至是ssh和https这种加密过的)。还可以进行已建立连接的数据注入和实时过滤,保持连接同步。大部分嗅探模式都是强大且全面的嗅探组合。支持插件。能够识别你是否出在交换式局域网中,通过使用操作系统指纹(主动或被动)技术可以得出局域网结构。
Ettercap最初设计为交换网上的sniffer,但是随着发展,它获得了越来越多的功能,成为一款有效的、灵活的中介攻击工具。它支持主动及被动的协议解析并包含了许多网络和主机特性(如OS指纹等)分析。
2. Ettercap的5种工作方式
1)IPBASED
在基于IP地址的sniffing方式下,Ettercap将根据源IP-PORT和目的IP-PORT来捕获数据包。
2)MACBASED
在基于MAC地址的方式下,Ettercap将根据源MAC和目的MAC来捕获数据包(在捕获通过网关的数据包时,这种方式很有用)
3)ARPBASED
在基于ARP欺骗的方式下,Ettercap利用ARP欺骗在交换局域网内监听两个主机之间的通信(全双工)。
4)SMARTARP
在SMARTARP方式下,Ettercap利用ARP欺骗,监听交换网上某台主机与所有已知的其他主机(存在于主机表中的主机)之间的通信(全双工)。
5)PUBLICARP
在PUBLICARP方式下,Ettercap利用ARP欺骗,监听交换网上某台主机与所有其它主机之间的通信(半双工)。此方式以广播方式发送ARP响应,但是如果Ettercap已经拥有了完整的主机地址表(或在Ettercap启动时已经对LAN上的主机进行了扫描),Ettercap会自动选取SMARTARP方式,而且ARP响应会发送给被监听主机之外的所有主机,以避免在Win2K上出现IP地址冲突的消息。
3. Ettercap的功能
1)在已有连接中注入数据:你可以在维持原有连接不变的基础上向服务器或客户端注入数据,以达到模拟命令或响应的目的。
2)SSH1支持:你可以捕获SSH1连接上的User和PASS信息,甚至其他数据。Ettercap是第一个在全双工的条件下监听SSH连接的软件。
3)HTTPS支持:你可以监听http SSL连接上加密数据,甚至通过PROXY的连接。
4)监听通过GRE通道的远程通信:你可以通过监听来自远程cisco路由器的GRE通道的数据流,并对它进行中间人攻击。
5)Plug-in支持:你可以通过Ettercap的API创建自己的Plug-in。
6)口令收集:你可以收集以下协议的口令信息,TELNET、FTP、POP、RLOGIN、SSH1、ICQ、SMB、MySQL、HTTP、NNTP、X11、NAPSTER、IRC、RIP、BGP、SOCK5、IMAP4、VNC、LDAP、NFS、SNMP、HALFLIFE、QUAKE3、MSNYMSG(不久还会有新的协议获得支持)。
7)数据包过滤和丢弃:你可以建立一个查找特定字符串(甚至包括十六近制数)的过滤链,根据这个过滤链对TCP/UDP数据包进行过滤并用自己的数据替换这些数据包,或丢弃整个数据包。
8)被动的OS指纹提取:你可以被动地(不必主动发送数据包)获取局域网上计算机系统的详细信息,包括操作系统版本、运行的服务、打开的端口、IP地址、MAC地址和网卡的生产厂家等信息。
9)OS指纹:你可以提取被控主机的OS指纹以及它的网卡信息(利用NMAP Fyodor数据库)。
10)杀死一个连接:杀死当前连接表中的连接,甚至所有连接。
11)数据包生产:你可以创建和发送伪造的数据包。允许你伪造从以太报头到应用层的所有信息。
12)把捕获的数据流绑定到一个本地端口:你可以通过一个客户端软件连接到该端口上,进行进一步的协议解码或向其中注入数据(仅适用于基于 ARP的方式)。
4. Ettercap的优点
1、它不需要libpcap、libnet等常用库的支持。
2、基于ARP欺骗的sniffing不需要把执行ettercap的主机的网卡设置为全收方式。
3、支持后台执行。
【使用说明】
监听方式:
-a,--arpsniff
基于ARP的sniffing。 指定监听交换网的方式,如果你想要采用中间人技术进行攻击,必须选用这个选项。如果这个参数与静音方式(-z选项)连用,你必须为ARPBASED方式指定两对IP-MAC地址(全双工),或者为PUBLICARP方式指定一个IP-MAC地址(半双工)。在PUBLICARP方式下,ARP响应是以广播方式发送的,但是,如果Ettercap拥有了完整的主机表(在启动时对局域网进行了扫描),Etercap会自动选择SMARTARP方式,ARP响应会发送给处被控主机以外的所有主机,并建立一个哈希表,以便以后在全双工条件下的中间人攻击中可以将数据包从监听主机发送给以这种方式截获的客户。(注:如果你采用 SMARTARP方式的ARP欺骗,要在配置文件中设置网关的IP地址(GWIP选项),并通过-e选项加载这个文件。否则这个客户将无法连接到远程主机。需要进行包替换或包丢弃的数据包过滤功能仅仅可以在ARPBASED方式下使用,因为为了保持连接必须调整数据包的TCP序列号。
-s,--sniff
基于IP的监听。这是最早的监听方式。它适用与HUB环境,但是在交换网下就没有作用了。你可以仅仅指定源或目的IP地址,可以指定也可以不指定端口,或者干脆什么也不指定,这样意味着监听网上的所有主机。可以用“ANY”来表示IP地址,它的意思是来自或去往每一个主机。
-m,-macsniff
基于MAC的监听,适用于监听远程的TCP通信。在HUB环境下,如果你想要监听通过网关的连接,仅仅指定欲监视主机的IP和网关的IP是不行的,因为数据包是从外部主机发送的,而不是从网关发送的,所以你不能采取指定IP地址的方法。为了达到监视内外通信的目的,你只要指定被监视主机的MAC地址和网关的MAC地址,这样就可以监视被监听主机的所有Internet通信。
