ettercap简介
Ettercap刚开始只是作为一个网络嗅探器,但在开发过程中,它获得了越来越多的功能,在中间的攻击人方面,是一个强大而又灵活的工具。它支持很多种协议(即使是加密的),包括网络和主机产品特征分析。
它主要有2个嗅探选项:
UNIFIED,这个模式可以嗅探到网络上的所有数据包,可以选择混杂模式(-p选项)。如果嗅探到的数据包不是ettercap主机的就自动用第3层路由转发。所以,你可以用不同的工具作中间人攻击(MITM)转发修改过的数据包。系统内核(kernel)的转发功能默认是被ettercap禁用 的,这样做的目的是为了防止一个数据包被转发两次,这是一种网关攻击行为,所以,我们推荐在geteways ONLY和UNOFFENSIVE MODE ENABLED的模式下使用ettercap。在ettercap开始监听一个网络接口之后,启用了网关攻击模式,数据包就不会由路由器转发到第二个接 口。
大概原理就是:ettercap欺骗主机A,让主机A把本应该发送给主机B的数据包发送到ettercap主机,再由 ettercap主机转发到主机B,同理也欺骗主机B,让主机B的数据包也经过ettercap主机。
BRIDGED,这个模式采用的是双网卡,嗅探其中一个网卡传输的数据并发送到另一个网卡。因为这种嗅探方式是在双网卡(或者多网卡)的机器下进行 的,所以网络上的设备不会找到攻击者是谁。
BRIDGED模式的原理就是在两块网卡中间嗅探两块网卡的数据
你可以在嗅探期间使用同样的中间人攻击,也可以选择你喜欢的MITM攻击。MITM攻击模块是独立于监听过程和过滤过程的,所以在进行攻击的时候, 你可以使用自己的攻击工具。关键的一点是,这些数据包必须到达ettercap的正确MAC地址和一个不同的IP地址(只有这些数据包才会被转发)
利用ettercap+driftnet截获目标主机的图片数据流
实验环境:两台处于同一局域网下的主机,并且都可连接网络
操作步骤:
下载ettercap与图片捕获工具driftnet
使用ettercap工具arp毒化eth0所在的网段
开启driftnet图片工具捕获目标主机访问的图片
目标主机浏览图片时,成功截获到目标主机的图片数据流
利用ettercap进行arp欺骗截获字节流
进入ettercap的GTK-UI模式
打开ettercap后,选择Sniff----Unified-sniffing,再选择网卡
点击Hosts---Scan forhosts---Hosts list,可以看到目标主机的IP(172.25.254.2)
选定目标主机B,点击add to target 1,将主机B添加到目标1;选定路由,点击add to target 2,将路由添加到目标2
点击mitm --- arpposoning ,勾选sniff remoteconnections
点击start --- startsniffing开始监听,再点击view --connections开始查看连接,双击链接查看详细信息
sslstrip简介
目前,在浏览器、电子邮件、即时通讯、VoIP、网络传真等应用程序中,广泛支持SSL/TLS协议。主要的网站,如Google、Facebook、 Twitter等也以SSL/TLS协议来创建安全连接,发送数据。SSL/TLS已成为互联网上保密通讯的工业标准。这很大一部分程度上杜绝了用户的隐 私信息的泄露。然而,HTTPS本身也并非无懈可击,随着对HTTPS的研究的不断深入,针对其的攻击方法也日渐增多,这些攻击不仅仅让用户的隐私受到威 胁,同时也阻碍了互联网安全的发展。其中最典型的一种攻击方式就是中间人攻击(MITM)。所谓中间人攻击,是指攻击者与通讯的两端分别创建独立的联系,并交换其所收到的数据,使通讯的两端认为他们正在通过一个私密的连接与对方直接对话,但事实上整个会话都被攻击者完全控制。在中间人攻击中,攻击者可以拦截通讯双方的通话并插入新的内容。目前,主流的攻击方式有SSL劫持攻击、 SSLStrip攻击以及漏洞攻击等。由于HTTPS所使用的证书颁发者必须是经过认证的对象,因此如果使用SSL劫持攻击则必须让用户信任攻击者自己签 发的证书,这使得该攻击的成功率大大降低。鉴于目前针对HTTPS的漏洞攻击尚不成熟,本文就着重来探讨SSLStrip的攻击实现方式
SSLStrip,是一种不针对任何程序错误,而是基于HTTPS体系实现的攻击方式。其原理为基于多数用户不会主动请求SSL协议来保护自己和服务器之间的通信,从而不会主动在浏览器中输入https访问域名。但是由于http跳转https往往是通过服务器端302重定 向实现,因此本攻击方式就抓住了这个特点,在用户端接受到跳转信息之前通过明文HTTP协议去除掉HTTPS跳转的过渡,从而使得原先本应被加密的信息都明文呈现在了攻击者的面前,使得攻击者能够自由获取需要的信息。
sslstrip实现原理:
- 攻击者利用ARP欺骗等方式成功监听客户端;
- 客户端向服务器端发送http请求,第三方攻击者如实转发请求;
- 服务器端回复https链接给客户端,攻击者收到请求并将该链接篡改为http链接回复给客户端;
- 客户再次发送http请求给服务器端,攻击者将其改为https发送至服务器端;
- 至此,客户端与攻击者就建立了一个http明文链接,攻击者与服务器端建立了https加密链接,客户端的所有信息都暴露在了攻击者的视野之下。
SSLStrip进行攻击
开启路由转发功能:echo "1">/proc/sys/net/ipv4/ip_forward
添加防火墙规则:iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 9999
-t:制定命令要操作的匹配包的表
-A:在选择的链末添加规则
-p:制定协议
--dport:制定端口
-j:目标跳转
开启SSLStrip:python sslstrip.py -a -l 9999 -w file
-a:记录所有来自服务器的ssl和Http数据流量内容;
-l:监听端口
-w:保存文件
开启arp欺骗:ettercap -Tqi eth0 -M arp:remote /172.25.254.2/172.25.254.66
受害机登陆网易邮箱,日志会在文件中显示