ettercap是執行ARP欺騙嗅探的工具,通常用它來施行中間人攻擊。
我使用的是Kali Linux 2.0;在開始使用ettercap之前,先配置一下:
編輯配置文件/etc/ettercap/etter.conf:
# vim /etc/ettercap/etter.conf找到privs一段,改為:
ec_uid = 0 # nobody is the default
ec_gid = 0 # nobody is the default
在176行”if you use iptables”,去掉注釋:
redir_command_on = "iptables -t nat -A PREROUTING -i %iface -p tcp --dpor t %port -j REDIRECT --to-port %rport"
redir_command_off = "iptables -t nat -D PREROUTING -i %iface -p tcp --dpo rt %port -j REDIRECT --to-port %rport"
保存退出。
ettercap圖形用戶界面:Applications->Sniffing & Spoofing->ettercap-graphical:
Options菜單里確保選擇Promisc mode;
Sniff菜單中選擇Unified sniffing:選擇使用的網絡接口,我使用wlan0;如果你使用有線,選擇eth0;
Host->Scan for hosts,掃描當前網絡中的所有主機。
Host->Host list,掃描到的主機列表:
然后我們就可以選擇要攻擊的目標了,例如,選擇192.168.0.105的IP地址,點擊Add to Target 1(添加到目標1),然后選擇網關的IP地址192.168.0.1,點擊Add to Target 2(添加到目標2)。所有從192.168.0.105發送的數據都會經過Kali Linux。
如果還要截獲發送給192.168.0.105的數據,把192.168.0.1添加到Target 1,192.168.0.105添加到Target 2,這實現雙向監聽數據。
可以添加多個主機。
查看添加的攻擊目標:Targets->Current targets:
再次確保已開啟端口轉發,有時會自己關上,不知道為什么:
# echo '1' > /proc/sys/net/ipv4/ip_forward開始攻擊:Mitm->ARP Poisoning,選擇參數,Sniff remote connections。
這個時候目標主機的所有流量都是通過攻擊者的主機出去的,想抓啥就抓啥。
和Wireshark配合使用: