基于KALI2.0的Ettercap工具實(shí)現(xiàn)中間人攻擊實(shí)驗(yàn)綜述報(bào)告

張小林 羅漢云

摘要：網(wǎng)絡(luò)安全攻防實(shí)驗(yàn)室網(wǎng)絡(luò)安全方向的實(shí)驗(yàn)教學(xué)的重要組成部分之一。該實(shí)驗(yàn)設(shè)計(jì)基于KALI linux這款專業(yè)的滲透測(cè)試系統(tǒng)，通過Ettercap工具實(shí)～EARP地址欺騙的中間人攻擊。使學(xué)生更加深刻理解中間人攻擊的原理以及ARP地址欺騙方法。

關(guān)鍵詞：網(wǎng)絡(luò)安全;中間人攻擊;ARP地址欺騙

中圖分類號(hào)：TP393.09 文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1009-3044（2020）10-0044-02

1概述

隨著國家對(duì)網(wǎng)絡(luò)安全越來越重視，沒有網(wǎng)絡(luò)安全就沒有國家安全。國家對(duì)網(wǎng)絡(luò)安全人才的需求非常迫切，通過開展網(wǎng)絡(luò)安全相關(guān)的專業(yè)課程以及實(shí)驗(yàn)提高學(xué)生的理論知識(shí)和攻防技能。KALI linux是一個(gè)永久免費(fèi)的，面向?qū)I(yè)的滲透測(cè)試和安全審計(jì)對(duì)的系統(tǒng)，KaliLinux預(yù)裝了許多滲透測(cè)試軟件，包括nmap、Wireshark、John the Ripper，以及Aircrack-ng等。Etter-cap是Linux下一個(gè)強(qiáng)大的欺騙工具，KALI linux系統(tǒng)已經(jīng)預(yù)裝了Etercap軟件。

2Ettercap實(shí)現(xiàn)中間人攻擊的原理

中間人攻擊（Man-in-theMiddleAttack）簡稱“M1TM攻擊”，主要是通過攔截正常的網(wǎng)絡(luò)通信數(shù)據(jù)，進(jìn)行數(shù)據(jù)篡改和嗅探，而通信的雙方無法感知。這種攻擊方式由來已久，目前仍然有著廣泛的發(fā)展空間，如SMB會(huì)話劫持、DNS欺騙和ARP欺騙等攻擊都是典型的MITM攻擊。

通過Ettercap工具，能快速的創(chuàng)建偽造的包，實(shí)現(xiàn)從網(wǎng)絡(luò)適配器到應(yīng)用軟件各種級(jí)別的包，綁定監(jiān)聽數(shù)據(jù)到一個(gè)本地端口等。用戶通過使用ettercap工具實(shí)施中間人攻擊，從而捕獲到目標(biāo)系統(tǒng)的信息，幫助用戶創(chuàng)建密碼字典。

ARP欺騙并不是使網(wǎng)絡(luò)無法正常通信，而是通過冒充網(wǎng)關(guān)或其他主機(jī)使得到達(dá)網(wǎng)關(guān)或主機(jī)的數(shù)據(jù)流通過攻擊主機(jī)進(jìn)行轉(zhuǎn)發(fā)。通過轉(zhuǎn)發(fā)流量可以對(duì)流量進(jìn)行控制和查看，從而控制流量或得到機(jī)密信息。

實(shí)現(xiàn)中間人攻擊分為兩個(gè)階段。第一是通過某種手段去攻擊一臺(tái)計(jì)算機(jī);第二是欺騙主機(jī)。第一階段：主機(jī)B（攻擊者）通過ARP注入攻擊的方法以實(shí)現(xiàn)ARP欺騙，通過ARP欺騙的方法控制主機(jī)A（被攻擊者）與其他主機(jī)間的流量及機(jī)密信息。第二階段：在第一階段攻擊成功后，主機(jī)B就可以在這個(gè)網(wǎng)絡(luò)中使用中間人的身份，轉(zhuǎn)發(fā)或查看主機(jī)A和其他主機(jī)間的數(shù)據(jù)流。

3實(shí)驗(yàn)?zāi)康?/p>

（1）學(xué)習(xí)并掌握Ettercap工具的使用;

（2）學(xué)會(huì)使用Ettercap進(jìn)行arp欺騙。

4實(shí)驗(yàn)內(nèi)容

4.1實(shí)驗(yàn)環(huán)境

（1）實(shí)驗(yàn)機(jī)環(huán)境：KALI2.0操作系統(tǒng);

（2）目標(biāo)機(jī)環(huán)境：windows7系統(tǒng);

（3）實(shí)驗(yàn)拓?fù)洌?/p>

4.2Ettercap的配置

啟動(dòng)kali linxu系統(tǒng)。進(jìn)入系統(tǒng)后，用locate命令查找etter.conf這個(gè)文件，對(duì)etter.conf進(jìn)行編輯。輸入命令vi/etc/ettercap/etter.conf，使用Vim編輯器對(duì)該配置文件進(jìn)行編輯。如圖1所示，進(jìn)入編輯模式，將該文件中的ec_uid和ec_gid配置項(xiàng)值改為0，將Linux部分中。

#if you llse iptables：

#redir_command_off=”iptables-t”這一行的“#”注釋去掉。修改完成保存退出后，輸入命令ettercap-G，打開Ettercap圖形界面。

4.3利用Ettercap進(jìn)行ARP欺騙

主要步驟如下：

（1）進(jìn)入Ettereap圖形化界面，選擇Sniff菜單，出現(xiàn)以下三個(gè)選項(xiàng)：Unified sniffing、Bridged sniffing、Set pcap filter。Unified是中間人模式，即兩臺(tái)終端間進(jìn)行欺騙，參數(shù)-M;Bridged模式是雙網(wǎng)卡之間進(jìn)行欺騙，參數(shù)-B。本次實(shí)驗(yàn)選擇unifiedsniffing模式，選擇后再選擇網(wǎng)卡etho，點(diǎn)擊“確定”按鈕，啟動(dòng)該接口。下一步，掃描主機(jī)。

（2）在Hosts菜單中選擇Scan for hosts，最終會(huì)將顯示掃描的主機(jī)的IP和MAC地址。如圖2所示。

（3）登錄到目標(biāo)機(jī)中，通過ipconfig命令查看本機(jī)的IP。如圖3所示。

（4）返回Ettercap界面，選擇192.168.122.175，然后單擊Add to Targetl按鈕，添加目標(biāo)系統(tǒng)。如圖4所示。

（5）選擇Mitm菜單中的ARPpoisoning選項(xiàng)，啟動(dòng)ARP注入攻擊。如圖5所示。

（6）選擇sniff remote connettiongs，此時(shí)使用主機(jī)192.168.122.175時(shí)，它的敏感信息會(huì)被傳遞給攻擊者。在實(shí)際中還可以結(jié)合抓包工具wireshark配合使用。如圖6所示。

5結(jié)束語

通過本次實(shí)驗(yàn)項(xiàng)目的理論和實(shí)踐操作，學(xué)生對(duì)中間人攻擊、有哪些攻擊方式有了基本的了解。具體的通過本次實(shí)驗(yàn)重點(diǎn)理解ARP地址欺騙攻擊以及掌握了對(duì)Ettercap這款經(jīng)典的中間人攻擊工具基本使用和攻擊原理。在實(shí)驗(yàn)中學(xué)生不僅要熟悉windows系統(tǒng)，也要熟悉linux系統(tǒng)下常用的使用命令，也提升了學(xué)生對(duì)網(wǎng)絡(luò)的基本知識(shí)的學(xué)習(xí)。