贺军
汉江水利水电(集团)有限责任公司网信中心,湖北省武汉市,430048
摘 要:Ettercap命令是一个多用途嗅探、内容过滤的中间人攻击工具。它的功能非常强大,作为一个网络安全从业人员有必要学习和掌握。
关键词:网络安全 攻击 防御 信息技术 攻防 中间人 嗅探
Ettercap命令是一个多用途嗅探、内容过滤的中间人攻击工具。它的功能非常强大,作为一个网络安全从业人员有必要学习和掌握。它的语法如下:
ettercap [options][target1][target2]
其中,options主要代表ettercap能够使用的参数。target1和taraget2是嗅探或攻击的目标,这两个参数可以代表MAC地址、IP地址、IPv6地址、端口等。Ip地址和端口可以是一段地址或一段端口。(例如:192.168.0.1-30,40,50/20,22,25 表示目标是192.168.0.1到192.168.0.30的一段ip地址和ip地址192.168.0.40、ip地址192.168.0.50的20、22、25端口。)
Ettercap是天生被用来嗅探交换网络的工具,但是在开发过程中ettercap变成了功能更多、更强大和灵活的中间人攻击工具。他支持主动和被动的协议分析并且包含许多网络和主机分析功能。
在网络嗅探方面,他主要有两种方式:一种是unified(统一模式),这个模式可以嗅探通过电缆的所有数据包。可以选择put或者在接口上不使用混杂模式(-p参数)。这些数据包都是二层数据包,所以,可以使用中间人攻击控制数据包从不同的工具、编辑数据包,并转发数据包,同时,linux系统的ip_forwarding总是被禁用的,这样做是为了防止数据包被转发两次(一次被ettercap转发,另外一次被内核转发),这是一种对网关的入侵行为,因此,我们建议使用ettercap时不启本机的用转发功能,仅启用针对一个端口的监听就可以了,数据包就不会从第二个网络接口网关转发出去。另外一种是bridged(桥接模式),它必须使用两个接口,并从一个网络接口转发网络流量到另外一个网络接口,并进行嗅探和内容过滤。这种嗅探模式是完全隐私的,因为,没有办法发现有人在线路上进行中间人监听。可以把这种攻击看成是第一层(物理层)的中间人攻击,就像是在两个实体之间的链接。数据包将在ettercap内部运行,可以通过内容过滤引擎删除那些不应该通过的数据包。
在中间人攻击方面,可以在中间人攻击时,启用网络嗅探。这个中间人攻击是独立于网络嗅探进程的,因此,在相同的时间里可以运行几个攻击或者运行自己的工具。关键点是数据包必须要转发到ettercap内正确的mac地址和不同的ip地址。
一、Ettercap其他的相关功能:
SSH1支持:可以嗅探用户名和密码,并且可以监听SSH1的链接数据。
SSL支持:可以嗅探SSL安全数据等。
字符注入:可以注入字符到服务器或者客户端,并保持连接是活动状态。
数据包过滤、删除:可以在TCP或UDP的攻击和替换中设置查询特定的字符串的过滤脚本,过滤或删除整个数据包。过滤引擎可以替换网络协议的任何字段和编辑想修改的地方。
远程通信隧道嗅探和路由的任意调整:在远程连接上执行中间人攻击,可以通过linux的cooked接口或使用集成的插件进行隧道嗅探和路由修改。
Password收集:支持的协议有TELNET, FTP, POP, RLOGIN, SSH1, ICQ, SMB,
MySQL, HTTP, NNTP, X11, NAPSTER, IRC, RIP, BGP, SOCKS 5, IMAP 4, VNC,
LDAP, NFS, SNMP, HALF LIFE, QUAKE 3, MSN, YMSG
被动操作系统发现:被动扫描局域网(不发送任何数据包),收集在局域网内主机详细信息:操作系统、运行服务、打开端口、IP、MAC地址和网卡等。
二、Target规范:
这里没有源和目的的概念。这两个目标是为了过滤流量从一个来到其他,反之亦然。(因为链接是双向的。)
target的格式:MAC/IPs/Ports。
注意:如果是IPv6,格式是:MAC/IPs/IPv6/Ports。
可以省略格式中的任何部分,这将代表任何部分。
例如:
“//80”意思是:任何mac地址,任何ip并且只有端口80。
“/10.0.0.1/”意思是:任何mac地址,只有ip是10.0.0.1的任何端口。
MAC地址必须是唯一的,并且形式是:00:11:22:33:44:55。
IPs是点分表示法的IP地址范围。可以使用连字符(-)、逗号(,)、分号(;)分别表示地址段、单个IP、不同IP。
例如:
“20-25,80,110”意思是:端口20,21,22,23,24,25,80,110。
注意:
可以通过添加-R参数反转Target的匹配命令行。例如嗅探10.0.0.1的来去数据包,可以用ettercap –R /10.0.0.1/语句完成。
三、参数分类:
1)嗅探和中间人攻击参数:
-M,--mitm 执行中间人攻击
这个中间人攻击是从嗅探中完全独立出来的。攻击的目的是劫持并把数据重定向到ettercap。如果有必要,嗅探引擎将转发他们。主要有五种形式:arp、icmp、dhcp、port、ndp。
2)用户接口类型参数:
-T,--text 只在GUI图形模式使用文本
-q,--quiet 不显示包内容
-s,--script 在GUI图形模式下使用这个命令
-C,--curses 使用curses库的GUI图形模式
-D,--daemon 使用进程模式(no GUI图形模式)
-G,--gtk 使用GTK+GUI图形模式
3)日志参数:
-w,--write 把嗅探数据写入到pcapfile
-L,--log 记录所有流量
-l,--log-info 只记录passive信息
-m,--log-msg 只记录所有的消息信息
-c,--compress 用gzip工具压缩日志文件
4)可视化参数:
-d, --dns 将IP地址解析成主机名
-V, --visual 设置可视化格式
-e, --regex 编写正则表达式
-E, --ext-headers 显示扩展头 for every pck
-Q, --superquiet 不显示用户和密码
5)LUA语言参数:
--lua-script ,[,...] 逗号分隔这个lua脚本
--lua-args n1=v1,[n2=v2,...] 逗号分隔给lua脚本的参数
6)标准参数:
-v, --version 显示版本并退出
-h, --help 这个帮助信息
四、结语:
“现在一个的安全人员是有福气的,通过这个软件将会变得更加聪明...”这就是这个软件的描述,它就像一个RPG游戏中最强大的怪兽一样。之所以选择“ettercap”这个名字是因为他有一个谐音“ethercap”他的意思是“以太网捕获”(捕获以太网上做的事情)。同时,也因为怪物有强大的毒性,arp欺骗也是这样强大和毒性。今天的程序是一种在软件工程师努力创建更强大程序和用户更简单使用程序之间的竞赛,就像上帝在试着努力创造更强大的人和更蠢的白痴之间的竞争,到目前为止,上帝是领先的。