登录论坛 | 注册会员 设为首页 | 收藏本站
当前位置 : 首页>软件学院>网络技术>网络安全>正文
 
为局域网提供更安全的保护

http://www.dbit.cn 2011/1/15 9:25:57  来源:东北IT网  编辑:叶子
 
  【原理基础】

  1. 软件简介

  Ettercap是一款基于终端的以太网络局域网嗅探器/拦截器/日志器。它支持主动和被动的多种协议解析(甚至是ssh和https这种加密过的)。还可以进行已建立连接的数据注入和实时过滤,保持连接同步。大部分嗅探模式都是强大且全面的嗅探组合。支持插件。能够识别你是否出在交换式局域网中,通过使用操作系统指纹(主动或被动)技术可以得出局域网结构。

  Ettercap最初设计为交换网上的sniffer,但是随着发展,它获得了越来越多的功能,成为一款有效的、灵活的中介攻击工具。它支持主动及被动的协议解析并包含了许多网络和主机特性(如OS指纹等)分析。

  2. Ettercap的5种工作方式

  1)IPBASED

  在基于IP地址的sniffing方式下,Ettercap将根据源IP-PORT和目的IP-PORT来捕获数据包。

  2)MACBASED

  在基于MAC地址的方式下,Ettercap将根据源MAC和目的MAC来捕获数据包(在捕获通过网关的数据包时,这种方式很有用)

  3)ARPBASED

  在基于ARP欺骗的方式下,Ettercap利用ARP欺骗在交换局域网内监听两个主机之间的通信(全双工)。

  4)SMARTARP

  在SMARTARP方式下,Ettercap利用ARP欺骗,监听交换网上某台主机与所有已知的其他主机(存在于主机表中的主机)之间的通信(全双工)。

  5)PUBLICARP

  在PUBLICARP方式下,Ettercap利用ARP欺骗,监听交换网上某台主机与所有其它主机之间的通信(半双工)。此方式以广播方式发送ARP响应,但是如果Ettercap已经拥有了完整的主机地址表(或在Ettercap启动时已经对LAN上的主机进行了扫描),Ettercap会自动选取SMARTARP方式,而且ARP响应会发送给被监听主机之外的所有主机,以避免在Win2K上出现IP地址冲突的消息。

  3. Ettercap的功能

  1)在已有连接中注入数据:你可以在维持原有连接不变的基础上向服务器或客户端注入数据,以达到模拟命令或响应的目的。

  2)SSH1支持:你可以捕获SSH1连接上的User和PASS信息,甚至其他数据。Ettercap是第一个在全双工的条件下监听SSH连接的软件。

  3)HTTPS支持:你可以监听http SSL连接上加密数据,甚至通过PROXY的连接。

  4)监听通过GRE通道的远程通信:你可以通过监听来自远程cisco路由器的GRE通道的数据流,并对它进行中间人攻击。

  5)Plug-in支持:你可以通过Ettercap的API创建自己的Plug-in。

  6)口令收集:你可以收集以下协议的口令信息,TELNET、FTP、POP、RLOGIN、SSH1、ICQ、SMB、MySQL、HTTP、NNTP、X11、NAPSTER、IRC、RIP、BGP、SOCK5、IMAP4、VNC、LDAP、NFS、SNMP、HALFLIFE、QUAKE3、MSNYMSG(不久还会有新的协议获得支持)。

  7)数据包过滤和丢弃:你可以建立一个查找特定字符串(甚至包括十六近制数)的过滤链,根据这个过滤链对TCP/UDP数据包进行过滤并用自己的数据替换这些数据包,或丢弃整个数据包。

  8)被动的OS指纹提取:你可以被动地(不必主动发送数据包)获取局域网上计算机系统的详细信息,包括操作系统版本、运行的服务、打开的端口、IP地址、MAC地址和网卡的生产厂家等信息。

  9)OS指纹:你可以提取被控主机的OS指纹以及它的网卡信息(利用NMAP Fyodor数据库)。

  10)杀死一个连接:杀死当前连接表中的连接,甚至所有连接。

  11)数据包生产:你可以创建和发送伪造的数据包。允许你伪造从以太报头到应用层的所有信息。

  12)把捕获的数据流绑定到一个本地端口:你可以通过一个客户端软件连接到该端口上,进行进一步的协议解码或向其中注入数据(仅适用于基于 ARP的方式)。

  4. Ettercap的优点

  1、它不需要libpcap、libnet等常用库的支持。

  2、基于ARP欺骗的sniffing不需要把执行ettercap的主机的网卡设置为全收方式。

  3、支持后台执行。

  【使用说明】

  <1> 监听方式:

  -a,--arpsniff

  基于ARP的sniffing。 指定监听交换网的方式,如果你想要采用中间人技术进行攻击,必须选用这个选项。如果这个参数与静音方式(-z选项)连用,你必须为ARPBASED方式指定两对IP-MAC地址(全双工),或者为PUBLICARP方式指定一个IP-MAC地址(半双工)。在PUBLICARP方式下,ARP响应是以广播方式发送的,但是,如果Ettercap拥有了完整的主机表(在启动时对局域网进行了扫描),Etercap会自动选择SMARTARP方式,ARP响应会发送给处被控主机以外的所有主机,并建立一个哈希表,以便以后在全双工条件下的中间人攻击中可以将数据包从监听主机发送给以这种方式截获的客户。(注:如果你采用 SMARTARP方式的ARP欺骗,要在配置文件中设置网关的IP地址(GWIP选项),并通过-e选项加载这个文件。否则这个客户将无法连接到远程主机。需要进行包替换或包丢弃的数据包过滤功能仅仅可以在ARPBASED方式下使用,因为为了保持连接必须调整数据包的TCP序列号。

  -s,--sniff

  基于IP的监听。这是最早的监听方式。它适用与HUB环境,但是在交换网下就没有作用了。你可以仅仅指定源或目的IP地址,可以指定也可以不指定端口,或者干脆什么也不指定,这样意味着监听网上的所有主机。可以用“ANY”来表示IP地址,它的意思是来自或去往每一个主机。

  -m,-macsniff

  基于MAC的监听,适用于监听远程的TCP通信。在HUB环境下,如果你想要监听通过网关的连接,仅仅指定欲监视主机的IP和网关的IP是不行的,因为数据包是从外部主机发送的,而不是从网关发送的,所以你不能采取指定IP地址的方法。为了达到监视内外通信的目的,你只要指定被监视主机的MAC地址和网关的MAC地址,这样就可以监视被监听主机的所有Internet通信。

本新闻共4页,当前在第1页  1  2  3  4  

收藏】【打印】【进入论坛
  相关文章:

·巧设路由 阻断局域网病毒传播路径 
·衡量局域网交换机功耗的测试
·企业局域网内DHCP服务器的安全设计 
·办公室局域网打印机共享轻松设置 
·三方面控制好你的局域网网速 
·解决局域网常掉线问题
·无线局域网秘诀:因地制宜灵活布置
·无线局域网协议及基本用语全解析
·网管组建有线/无线局域网必看方案 
·组建安全高效无线局域网
·家庭无线局域网优劣取决于无线信号

 
 
 
最新文章

抢先苹果,消息称英特尔芯片采用台积电
三星揭晓业内首款单条 512GB DDR5 内存
vivo 高端新机爆料:120Hz 曲面屏 + 天
vivo Y21 在印度正式上市:Helio P35 芯
微星推出 GeForce RTX 3080 Sea Hawk X
消息称三星 Galaxy Tab S8 系列平板将放
机械革命推出 F6 轻薄本:16 英寸全面屏
英特尔 12 代 Alder Lake CPU 600 系列
雷军:向小米手机 1 首批用户每人赠送价
小米李明谈用户被踢出 MIUI 测试版:大

推荐文章
1
2
3
4
5
6
7
8
9
10
叛逆嫩模性感写真
宫如敏不雅照疯传 看张馨予韩一菲兽兽谁
不惧孔子抢位 阿凡达游戏影音配置推荐
2015第十七届“东北安博会”火爆招商
第十六届东北国际公共安全防范产品博览
2016年第五届中国国际商业信息化博览会
2016年第五届中国国际POS机及相关设备展
互联网电视熟了吗 2013最火电视深解析
桑达获邀出席2015中国(广州)国际POS机
宝获利报名参加“2015年度中国POS机行业
八卦图解 More>>
叛逆嫩模性感写真 宫如敏不雅照疯传 看张馨予韩一菲
周伟童魔鬼身材日本性感写真图  联想V360笔记本模特写真