新手指南：如何用Ettercap實現「中間人攻擊」（附下載鏈接）

什麼是「中間人攻擊」？

中間人攻擊（Man-in-the-Middle Attack，簡稱「MiTM攻擊」）是一種「間接」的入侵攻擊，這種攻擊模式是通過各種技術手段將受入侵者控制的一台計算機虛擬放置在網路連接中的兩台通信計算機之間，這台計算機就稱為「中間人」。入侵者把這台計算機模擬一台或兩台原始計算機，使「中間人」能夠與原始計算機建立活動連接並允許其讀取或篡改傳遞的信息，然而兩個原始計算機用戶卻認為他們是在互相通信，因而這種攻擊方式並不很容易被發現。所以中間人攻擊很早就成為了黑客常用的一種古老的攻擊手段，並且一直到今天還具有極大的擴展空間。

工具簡介

Ettercap是一款實現「中間人攻擊」的多功能工具，具有

嗅探

實時連接、內容過濾以及其它非常有趣的功能。

它還支持許多協議的主動與被動分離，並且包含網路和主機分析的多項功能。

Ettercap的工作原理是將網路介面設置為混雜模式，並通過ARP欺騙感染目標設備。由此該設備成為所謂的「中間人」，並發動對受害者的各類攻擊。Ettercap支持插件，可以通過添加新的插件來擴展功能。

功能

Ettercap支持對許多協議（包括加密協議）的主動和被動分離，並具有網路和主機分析方面的多項功能。Ettercap包含四種操作模式：

基於IP的模式：根據IP源和目的地過濾數據包

基於MAC的模式：根據MAC地址過濾數據包，該模式能夠對嗅探通過網關的連接起到作用。

基於ARP的模式：利用ARP欺騙方式在兩個主機之間的交換式區域網（全雙工，即支持雙方同時發送信息）上進行嗅探。

基於公共ARP的模式：利用ARP欺騙方式從一台受害者主機到其它所有主機的交換式區域網（全雙工）上進行嗅探。

具體功能：

在已建立的連接中注入字元：將字元注入到伺服器（模擬命令）或客戶端（模擬回復），同時保持實時連接。

SSH1支持：嗅探用戶名和密碼，甚至是SSH1連接的數據。Ettercap是第一個能夠以全雙工方式嗅探SSH連接的軟體。

HTTPS支持：嗅探HTTP SSL連接上的加密數據——通過Cisco路由器的GRE tunnel對遠程流量進行嗅探，並對它進行"中間人攻擊"。

插件支持：使用Ettercap的API創建自定義插件。

密碼收集：可以收集以下協議的密碼信息——TELNET、FTP、POP、IMAP、rlogin、SSH1、ICQ、SMB、MySQL、HTTP、NNTP、X11、Napster、IRC、RIP、BGP、SOCKS 5、IMAP 4、VNC、LDAP、NFS、SNMP、Half-Life、Quake 3MSN、YMSG

數據包過濾/丟棄：設置一個過濾器，用於在TCP或UDP有效內容中查找特定字元串（或十六進位序列），並用自定義字元串/序列替換它，或丟棄整個數據包。

操作系統指紋：可以提取受害主機及其網路適配器的操作系統信息。

終止連接：從connections-list（連接列表）中終止所選擇的連接。

區域網的被動掃描：檢索區域網上的主機信息、開放埠、可用服務的版本號、主機（網關、路由器或簡單PC）的類型以及躍點數（躍點即路由，一個路由為一個躍點。傳輸過程中需要經過多個網路，每個被經過的網路設備點（有能力路由的）叫做一個躍點，地址就是它的ip。躍點數是經過了多少個躍點的累加器，為了防止無用的數據包在網上流散。 ）的預估距離。

劫持DNS請求。

Ettercap還具有主動或被動地在區域網中找到其它受感染者的功能。

用法

Usage: ettercap [OPTIONS] [TARGET1] [TARGET2]

用法：ettercap【選項】【目標1】【目標2】

TARGET is in the format MAC/IPs/PORTs (see the man for further detail)

目標是MAC/IPs/PORTs格式（根據中間人獲取更多信息）

嗅探與攻擊選項：

-M, --mitm <方法:ARGS> 執行mitm攻擊

-o, --only-mitm 不嗅探，只執行mitm攻擊

-B, --bridge 使用橋接嗅探（需要2個iface——嗅探時使用的網卡介面，嗅探兩塊網卡之間的數據包）

-p, --nopromisc 不要將iface放入混雜模式

-S, --nosslmitm 不要偽造SSL證書

-u, --unoffensive 不要轉發數據包

-r, --read 從pcap文件讀取數據

-f, --pcapfilter 設置pcap過濾器

-R, --reversed 使用逆向目標反饋

-t, --proto 只嗅探該proto（默認是全部）

用戶界面類型：

-T, --text 使用只顯示字元的界面

-q, --quiet 安靜模式，不顯示抓到的數據包內容

-s, --script 向用戶界面發出這些命令

-C, --curses 使用curses圖形化界面

-G, --gtk 使用GTK+ GUI

-D, --daemon 守護模式（無界面），相當於在後台運行

日誌選項：

-w, --write 將嗅探到的數據寫入pcap文件

-L, --log 此處記錄所有流量

-l, --log-info 此處記錄所有信息

-m, --log-msg 此處記錄所有消息記錄

-c, --compress 使用gzip壓縮日誌文件

可視化選項：

-d, --dns 將ip地址解析為主機名

-V, --visual 設置可視化格式

-e, --regex 只實現匹配該regex數據包的可視化

-E, --ext-headers 列印每個pck的擴展頭

-Q, --superquiet 不顯示用戶名與密碼

通用選項：

-i, --iface 使用該網路介面

-I, --liface 顯示所有的網路介面

-n, --netmask 在iface上強制實行（force）該

-P, --plugin 開始該插件

-F, --filter 載入過濾器 （內容過濾器）

-z, --silent 不執行初始ARP掃描

-j, --load-hosts 從 載入主機列表

-k, --save-hosts 將主機列表保存至

-W, --wep-key 使用該wep密鑰解密wifi數據包

-a, --config 使用其它配置文件

標準選項：

-U, --update 從ettercap網站更新資料庫

-v, --version 列印此版本並退出

-h, --help 幫助選項

所需資源

Ettercap源代碼編譯需要以下資源：

Libpcap & dev libraries

Libnet1 & dev libraries

Libpthread & dev libraries

Zlibc

Libtool

CMake 2.6

Flex

Bison

LibSSL & dev libraries

LibGTK & dev libraries

Libncurses & dev libraries

Libpcre & dev libraries

系統要求

支持的操作系統（32位或64位的以下操作系統發行版均已測試成功）：

Debian/Ubuntu (包括Kali、BackTrack、Mint等衍生物)、Fedora、Gentoo、Pentoo、Mac OSX (Snow Leopard & Lion)、FreeBSD、OpenBSD、NetBSD。

不支持的操作系統（以下發行版能夠安裝但不支持，可能需要其它用於代碼編譯和使用的設置）：OpenSuSe、Solaris、Windows Vista、Windows 7、Windows 8。

點擊閱讀原文，查看最新版Ettercap下載鏈接（含所需資源）

*參考來源：

darknet

，FB小編Carrie編譯，轉載請註明來自FreeBuf（FreeBuf.COM）

您的贊是小編持續努力的最大動力，動動手指贊一下吧！

本站內容充實豐富，博大精深，小編精選每日熱門資訊，隨時更新，點擊「搶先收到最新資訊」瀏覽吧！

請您繼續閱讀更多來自 FreeBuf 的精彩文章: