作業系統為MAC OS

一、安裝

1.安裝wireshark

https://www.wireshark.org/#download

2.安裝nmap

brew install nmap

3.下載gunzip

如果出現了壓縮包，需要使用gunzip以解壓wireshark抓包內容的gzip部分

https://github.com/kizzx2/wireshark-http-gunzip

4.安裝Ettercap

1.安裝homebrew

ruby -e "$(curl -fsSL https://raw.githubusercontent.com/Homebrew/install/master/install)"

以前安裝過的輸入：

sudo brew update/brew update

2.安裝Xcode

3.安裝libtiff

第一種方法：brew install libtiff，我這邊已經安裝過，所以是更新

第二種方法

tar xvzf tiff-4.0.6.tar.gz 

cd tiff-4.0.6

./configure --prefix=/usr/local

make

make clean

4.安裝gtk+3以開啟ettercap的圖形介面

 brew install gtk+3

中間可能會斷掉，重新執行指令就好，因為會下好多包，重新執行指令會下載未下的部分。

5.安裝ettercap

二、綜合使用工具進行arp欺騙

1.使用nmap尋找統一區域網環境下的裝置IP和名稱

nmap -sP 10.162.118.0/24

10.162.118是主機所在網段

2.使用Ettercap進行arp欺騙與會話劫持

sudo ettercap -G

選擇嗅探模式：Unified sniffing，設定好要嗅探的網絡卡（一般都是eth0），點選確定，開始嗅探。

接著Hosts裡面，scan for hosts,列出除本機外的所有區域網內所有客戶端的ip地址。

列出區域網內的所有存活主機，依次點選Hosts---Hosts list。

找好目標裝置和xxx.xxx.xxx.1路由器裝置，將目標裝置設為Target1，路由器裝置設為Target2.

選擇Mitm->ARP poisoning

此時，被侵入的目標裝置會認為我們是閘道器，而閘道器（路由器）會認為我們是被侵入的目標裝置，我們扮演了一箇中間人的角色。而Ettercap會自動將包轉發給正確的目標，在目標看來我們彷彿並不存在。因為ARP的原理，欺騙的有效性並不能保證100%，大家可以多試幾次。使用WireShark可以抓到包，即代表成功。

3.使用WireShark進行抓包
開啟混雜模式

開始抓包

輸入ip.src==10.162.118.34 過濾目標裝置ip地址

追蹤TCP流

檢視TCP流中的內容，被gzip壓縮過，所以需要進行解壓縮處理。

4.使用gunzip解壓wireshark資料包的gzip內容

選擇原始資料將TCP抓包內容儲存為本地檔案test.zip

定位到http-gunzip.rb ruby檔案所在目錄，輸入ruby http-gunzip.rb < dump 檢視gzip壓縮內容。

這樣下來，可以說已經成功完成任務了。

下次，我會去圖書館、教學樓再弄一下。