0x00 开篇
对 于内网环境和域环境安全,各种新旧攻击技巧和手法一直为人津津乐道,嗅探、基于ARP毒化、DNS欺骗等的各种类型的中间人攻击,都极具威力。以ARP Spoof(ARP毒化)为例,ARP毒化也被称为ARP缓存中毒或者ARP欺骗攻击,这是在内网环境中的中间人攻击,通过ARP协议的缺陷,达到对整个 网络进行欺骗。众所周知,市面上有许多知名的工具可以实现ARP欺骗,比如Cain&abel、Ettercap、ARPoison、Dsniff、Parasite、ARPspoof等等。
本 文是关于Ettercap的,Ettercap是一款强大的可以被称为神器的工具,同类型软件中的佼佼者。Ettercap是开源企且跨平台 的,Ettercap在某些方面和dsniff有相似之处,同样可以很方便的工作在交换机环境下,当然,Ettercap最初的设计初衷和定位,就是一款 基于交换网上的sniffer,但随着版本更迭,它具备越来越多的功能,成为一款强大的、有效的、灵活的软件。它支持主动及被动的协议解析并包含了许多网 络和主机特性分析。
0x01 Ettercap安装
官方网站:http://ettercap.github.io/ettercap/
官方文档参考:http://linux.die.net/man/8/ettercap
Ettercap download:http://ettercap.sourceforge.net/ (Ettercap下载)
Platform:(平台)
Linux 2.0.x
Linux 2.2.x
Linux 2.4.x
Linux 2.6.x FreeBSD 4.x 5.x
OpenBSD 2.[789] 3.x
NetBSD 1.5 Mac OS X (darwin 6.x 7.x)
Windows 2000/XP/2003
Solaris 2.x
Required Libraries:(依存包)
libpcap >= 0.8.1
libnet >= 1.1.2.1
libpthread
zlib
应指出的是,在一系列知名的渗透测试环境套件中,Ettercap已经被默认包含其中,如BackTrack、Kali、nodezero、backbox等等。收集整理了网上前辈的们的一些经验,在支持包的安装过程中,可能会遇到下面的问题:
make: yacc: Command not found
make: *** [y.tab.c] Error 127 要安装install bison install flex
libnet >= 1.1.2.1
可尝试
# yum install curl-devel gtk2-devel boost-devel
安装libpcap可能出现错误
configure: error: Your operating system’s lex is insufficient to compile
libpcap. flex is a lex replacement that has many advantages, including
being able to compile libpcap. For more information, see
http://www.gnu.org/software/flex/flex.html.
可尝试
# yum -y install flex
libcap make时候可能会出现错误
make: yacc: Command not found make: *** [grammar.c] Error 127
# yum search yacc
(操作基于CentOS下)
在确定libpcap和libnet包安装完后,可编译安装Ettercap
正常情况下,某些发行版的源可能带有软件包,则可以直接执行apt-get install ettercap
或者通过官网下载软件包后解压手工安装,下载Ettercap后:
#tar zxpvf ettercap-0.x.tar.gz
#cd ettercap-0.x
#./configure&&make&&make install
#make plug-ins
#make plug-ins_install
当然,对于现成的渗透测试环境或者套件,则可以省去安装过程,直接使用。
安装完成后就可以先在命令行下尝试基本的指令和参数,熟悉这款工具,
基本的命令格式如下:
ettercap [option] [host:port] [host:port] [mac] [mac]
0x02
to be continued.