中間人攻擊(MITM)往往被用於竊聽資訊或串改資訊
而ettercap可以實現區域網路中的MITM
以下範例為實現竊聽功能
實驗環境為linux ubuntu與windows xp為共同區網
網段為192.168.91.0/24
預設閘道為192.168.91.2
於ubuntu終端機鍵入sudo ettercap -G開啟圖形化介面ettercap
點選Sniff→Unified sniffing來選擇介面卡
選擇eth0網路介面卡
接著利用Hosts→Scan for hosts來掃描同網段當中的所有主機
掃描完成後利用Hosts→Hosts list來列出主機清單
列出主機清單
預設閘道為192.168.91.2,目標主機為192.168.91.131
將預設閘道add to Target1
目標主機add to Target2
點選Start→Start sniffing
點選Mitm→Arp poisoning來進行攻擊
利用View→Connections來觀看目標所連線之網路情形
舉例情形如上,目標電腦開啟www.yahoo.com.tw
則切聽者可利用連線資訊當中的清單點選兩下左鍵
觀看到目標主機所連線的封包內容
以下利用telnet傳輸為明碼來做範例
利用cmd來開啟telnet ptt.cc連入BBS
鍵入帳號密碼後
攻擊者即可看到目標主機出現23port的telnet連線,點選打開後
則竊聽到明文之帳號密碼內容,紅色為密碼區塊
Mitm→Stop mitm attack(s)關閉MITM攻擊
Start Stop sniffing關閉sniffer
1.以上攻擊方式能夠觀看到目標主機之傳輸封包,但目前大多數網站都有做ssl加密,所以竊聽到的封包有多數皆為亂碼。
2僅限於對外網能監聽,內網無法得到訊息,因為內網訊息無透過預設閘道傳輸。
3.如果指定錯誤預設閘道,則會造成目標主機網路癱瘓。
留言列表