1. 程式人生 > >區域網攻擊ettercap 詳解(dns 欺詐)

區域網攻擊ettercap 詳解(dns 欺詐)

ettercap是一個基於ARP地址欺騙方式的網路嗅探工具,主要適用於交換區域網絡。藉助於EtterCap嗅探軟體,滲透測試人員可以檢測網路內明文資料通訊的安全性,及時採取措施,避免敏感的使用者名稱/密碼等資料以明文的方式進行傳輸。ettercap幾乎是每個滲透測試人員必備的工具之一。 ettercap是一款現有流行的網路抓包軟體,它利用計算機在區域網內進行通訊的ARP協議的缺陷進行攻擊,在目標與伺服器之間充當中間人,嗅探兩者之間的資料流量,從中竊取使用者的資料資料。ettercap 在kali Linux 是自帶的一個工具,它也有圖形化的介面,不過熟練之後你會發現在終端以命令列的形式操作會更加方便。下面講的就是ettercap的DNS欺詐和arp攻擊,通過ettercap讓目標主機只能瀏覽你所指定的網路,比如你指定了Baidu.com他就上不了QQ.com,這就是在區域網環境下對其他主機的欺騙。

在這裡先簡單的說一下ARP協議,ARP(Address Resolution Protocol)就是地址解析協議,是一種將IP地址轉化成實體地址的協議。在區域網的環境中主機之間的通訊地址是通過Mac地址的,如果主機A(ip為192.168.1.1)想和主機B(ip為192.168.1.2)進行通訊,首先主機A會在本地的ARP快取列表裡面找主機B的Mac地址,如果能找到,則兩個主機會直接進行通訊。如果沒有找到arp快取,主機A會廣播一個報文,這個報文裡面有兩個內容:一個是主機A的ip,一個是主機A的Mac地址。這個報文會在整個網路中傳送,但主機A只想和B連通,所以這個報文的請求地址就是B的ip地址,B會發現有主機請求自己,就會迴應這個請求,此時,A主機得到B的迴應就會發現B所在的Mac地址,然後更新自己的arp快取,接著使用這個新的Mac地址和B進行通訊。其實arp中間人欺詐玩的就是區域網的mac地址。

下面開始Kali Linux 的操作了

(1)開啟Apache2 服務,這個服務是幹啥的?Apache是世界使用排名第一的Web伺服器軟體它可以執行在幾乎所有廣泛使用的計算機平臺上,由於其跨平臺和安全性被廣泛使用,是最流行的Web伺服器端軟體之一。想要深入瞭解自己去查查,你知道這是一個伺服器就行了。命令 service apache2 start 然後檢視是否開啟成功  service apache2 status  如圖

(2)修改ettercap的配置檔案 leafpad /etc/ettercap/etter.conf 將uid和gid改成  0 然後儲存   如下:

(3)leafpad /etc/ettercap/etter.dns   修改rederect (重定向網站(ip))  (自己搭的站或者病毒網站的ip)如下圖指定百度

我在這裡讓目標主機只能上baidu.com,它的伺服器ip也很好得到,ping一下就能看到。至於指定的ip你可以自己改,還有哪種域名的格式只能上哪個網這你都可以自己改。

(4)啟用ettercap 發動攻擊    ettercap -i eth0 -T -q -P dns_spoof /// ///     i是指定網絡卡,如果你的連線是wlan0的話就改成wlan0,T(text)是僅使用文字GUI,q(quite)不顯示資料內容 P使用外掛 在這裡就是dns_spoof 這個外掛。/// /// 是區域網的所有主機,這個勁兒比較大,你也可以指定主機。 如下

在這裡說明一下,有的時候可能由於網路模式或者其他一些未知錯誤,上面的攻擊命令起不到作用無法進行DNS流量轉發攻擊,因此還有一種對應的命令 即  ettercap -i eth0 -Tq -P dns_spoof -M arp:remote /// ///  即加上arp中間人攻擊就可以了,要是想知道為什麼就多多思考吧!

被攻擊後的頁面如下,主機想進qq.com首先被攔截,然後跳轉到我們之前指定的伺服器地址baidu.com上。

我用的谷歌瀏覽器自身也發現了問題,即這個區域網內的熱點出現了安全問題。如下圖:

相應的我們這邊的攻擊介面上也會顯示這個過程,把對方要進入的網站欺騙轉接到ip為 183.232.231.173 百度的伺服器地址

手機連線的網路也會出現問題,有關手機用ettercap攻擊不了的問題,在這裡我大概說一下(1)手機自身帶有防止DNS攻擊的某種手段或者手機安裝了某些安全軟體,所以一時半會是不行的(2)ettercap的版本問題,沒有及時更新以至於手機廠商修復了這些漏洞,而你還停留在玩歷史bug的樂趣中(3)已經攻擊成功了,但是沒有達到你想要的效果,所以你認為沒有這個方法用。其實不然,這個攻擊是在整個區域網下進行的,所以區域網內的所有主機都會或多或少的有網路卡頓或者延遲,手機的系統和電腦不一樣,ettercap團隊做的主要是針對電腦的,所以對手機而言就顯得力不從心了,我在測試時就發現了這個問題,但是攻擊前後的網速有明顯的不同,雖然說手機的效果沒有達到和電腦一樣的效果,但是有八成的流量流失了,卡的一批。而且手機上網時進的伺服器也會在攻擊介面顯示手機登入的伺服器地址,並且會有過程記錄,還會得到手機的些許資訊如下:我的vivox6d 和手機的作業系統都會被嗅探到。

dns劫持還有另外一種玩法,我就簡單說一說吧

(1)cd /var/www/html  

(2)leafpad index.html  修改裡面的檔案為下圖所示內容

你要是會點HTML的話更好。你不放心的話現將原有的內容備份,以免出現問題。

(3)  leafpad /etc/ettercap/etter.dns   修改rederect 為本機的IP地址(kali的ip)

(4)執行攻擊命令  ettercap -i eth0 -TqP dns_spoof  /// /// 然後登陸某一個網站,就會按照你之前改的redirect檔案來執行。

如下兩個例子就足以顯示這個效果,但是手機上是沒有的,ettercap的這個軟體主要是針對電腦的,所以手機的大多數東西是不行的。

這個就是將自己的KaliLinux當做一臺伺服器,讓區域網被攻擊者回到你所編寫的HTML頁面。

好了,到這裡就差不多結束了,自己多試試,多思考,就會有新的驚喜和發現!