寫個關于用ettercap進行中間人欺騙的系列文章。這是第一篇,介紹使用圖形化界面進行中間人欺騙(畢竟圖形化操作容易被接受),之後的文章将介紹指令行下的中間人欺騙。關于中間人欺騙的原理,可以翻翻這篇文章。另外,ettercap并不是Kali Linux所獨有的,在Ubuntu上也可以安裝使用。由于Ubunt較之于Kali Linux更為通用,是以這一系列的文章都是在Ubuntu上完成的。
雖然Ubuntu預設沒有安裝Ettercap,但是我們可以通過apt-get安裝,為了便于觀察效果,我建議大家順帶安裝wireshark:
sudo apt-get install ettercap-text-only #安裝基于指令行的ettercap
sudo apt-get install ettercap-graphical #安裝基于gui(gtk)的ettercap
現在讓我們來一睹它的芳容,主界面長這樣:
所有中間人欺騙都是從收集區域網路主機開始,可以用arp-scan/nmap等工具實作上述目的,不過,圖形化的ettercap內建了這個功能,依次點選主界面--Sniff--“Unified Sniffing”--在跳出的“ettercap Input”下拉框中選擇用于抓包的網卡。
附:如果網卡對應的網卡名,可以使用iwconfig指令查找(iwconfig是ubuntu下較ifconfig更新的網絡管理工具)。
~$ iwconfig
enp5s0 no wireless extensions. #有線網卡
lo no wireless extensions.
wlp4s0 IEEE 802.11 ESSID:"Eugene" #無線網卡的網卡名
Mode:Managed Frequency:2.472 GHz Access Point: 6C:59:40:B6:C9:D2
Retry short limit:7 RTS thr:off Fragment thr:off
Power Management:on
選擇網卡後,即可掃描區域網路中的機器,依次點選Hosts--"Scan for Hosts",等待ettercap的進度條完成,再點選Hosts--“Hosts list”,列出區域網路中現有的主機(附注,ettercap經常不能完整的列出區域網路中的主機,需要多次掃描才能得到相對完整的清單,建議讀者可以結合arp-scan指令的輸出來調整清單,當然,大家一般都是在家試驗,是以完全可以登入路由器檢視已連接配接的裝置)。
這是ettercap這次掃描到的主機清單:
192.168.1.1是我的路由器,192.168.1.101是給我兒子講故事的天貓精靈。目前,這些智能裝置的安全性實在不敢恭維,是以,這次就用天貓精靈做示範。一般我們會在一台主機和路由器之間進行雙向的中間人欺騙,為此,我們在192.168.1.101上右鍵--“Add to target1”,将天貓精靈作為被欺騙的一方;在192.168.1.1上右鍵--"Add to target2",将路由器作為被欺騙的另一方。添加target後,點選Targets--"Current Targets"檢查将要被欺騙的雙方,如下圖:
至此,将要被欺騙的通信雙方已經存在,可以進行欺騙了。依次點選Mitm--“ARP Poisoning”--勾選“Sniff remote connections”複選框,如果在ettercap的輸出框中看到GROUP 1:192.168.1.101 GROUP 2:192.168.1.1的字樣,則說明ettercap已經成功的進行欺騙,否則,欺騙沒有成功,必須重來(沒有欺騙成功不要懷疑自己沒有做對,多數情況是ettercap本身飽受诟病的bug造成的,這也是我決定要使用更為穩定的bettercap的原因)。
欺騙成功後可以進行區域網路嗅探了,點選Start--“Start Sniffing”。為了驗證嗅探的結果,可以打開wireshark檢視是否能捕捉到天貓精靈的tcp流量:
sudo wireshark #直接點選啟動wireshark基本無法找到網絡接口,根本無法抓包!
嗅探結束,點選Start--"Stop Sniffing"暫停欺騙。