【网络安全】ettercap详细使用

ettercap劫持
一、什么是ettercap
（1）Ettercap是一款用户用于远方控制的黑客工具，是非常主流的工具之一，简单的来说一下原理吧----所有的物理机执行命令都是通过命令发送给DNS解析，DNS解析命令后，发送给服务器，服务器再发给主机进行响应。
在这里插入图片描述图片来源：
https://image.so.com/view?q=dns%E8%A7%A3%E6%9E%90%E8%BF%87%E7%A8%8B&src=tab_www&correct=dns%E8%A7%A3%E6%9E%90%E8%BF%87%E7%A8%8B&ancestor=list&cmsid=bc9fbf53f421da8ff360d9bb252c9e7d&cmras=6&cn=0&gn=0&kn=0&crn=0&bxn=0&fsn=60&cuben=0&pornn=0&manun=0&adstar=0&clw=269#id=0da0041d87ab53b8095f6fce8aebd940&currsn=0&ps=57&pc=57
（这里比较难理解，举个例子吧----你访问百度的时候，输入了域名https;//www.baidu.com, 这个时候你相当于给浏览器一个命令，浏览器会把这个命令发给DNS解析系统，转换为服务器可以识别的命令，然后再由服务器发给网站，这就是你登陆百度的时候，看不见的过程。平时大家登录百度很快的就得进入页面了，这也说明，后部处理的速度是很快的。）
（2）预想效果
1.2.1，劫持对方DNS，网页显示代码雨
今天我们要做的就是登录靶机的主页并且，在靶机进行上网时，自动跳转出我们提前准备好的代码雨（就是我们经常在电影、电视剧中所看到的非常酷炫的黑客入侵电脑时候的画面，在真实的生活中，也是可以做到的。，当然这里也包含了一些有关web前端的知识，本次就不介绍了）
在这里插入图片描述

1.2.2监控对方浏览网页足迹
可以在我们的电脑上可以远程看到靶机电脑在浏览器中看了什么内容画面。
二、ARP欺骗
1.什么是ARP欺骗
ARP:是根据IP地址获取物理地址的一个TCP/IP协议。主机发送信息时将包含目标IP地址的ARP请求广播到局域网络上的所有主机，并接收返回消息，以此确定目标的物理地址；收到返回消息后将该IP地址和物理地址存入本机ARP缓存中并保留一定时间，下次请求时直接查询ARP缓存以节约资源。地址解析协议是建立在网络中各个主机互相信任的基础上的，局域网络上的主机可以自主发送ARP应答消息，其他主机收到应答报文时不会检测该报文的真实性就会将其记入本机ARP缓存；由此攻击者就可以向某一主机发送伪ARP应答报文，使其发送的信息无法到达预期的主机或到达错误的主机，这就构成了一个ARP欺骗。ARP命令可用于查询本机ARP缓存中IP地址和MAC地址的对应关系、添加或删除静态对应关系等。相关协议有RARP、代理ARP。NDP用于在IPv6中代替地址解析协议（百度解释）。

2.ARP欺骗
ARP欺骗就是给DNS发送错误的指令，达到预想效果。
三、DNS劫持
DNS:域名系统（英文：Domain Name System，缩写：DNS）是互联网的一项服务。它作为将域名和IP地址相互映射的一个分布式数据库，能够使人更方便地访问互联网。DNS使用UDP端口53。当前，对于每一级域名长度的限制是63个字符，域名总长度则不能超过253个字符。

四、实际操作
1.DNS劫持实验原理
DNS劫持并且对DNS经行ARP欺骗，使得对方登录任何网页时自动显示代码雨。
（1）将准备好的代码雨文件放入指定文件下，注意代码雨文件需要命名为index.html，否则系统是无法检测。
切换地址，查看文件
命令；cd /var/www/html
命令；ls
在这里插入图片描述