⑴ ettercap没有这个配制文件文件怎么办
咱能简单明了不装x么?你直接说你用的bt5得了,绕一圈还linux内核系统弄得哥们一愣一愣,好像你能把win核换lin核一样,安装拜托你读下readme好不,内有教程,基本上你执行./install就行,注意大小写,与文件夹内一致
⑵ ettercap嗅探时提示SEND L3 ERROER ...(No route to host)
首先介绍一下Ettercap的使用方法,英文比较简单,这里就不翻译了,直接列出它的帮助说明:
Usage: ettercap [OPTIONS] [TARGET1] [TARGET2]
TARGET is in the format MAC/IP/PORTs (see the man for further detail)
Sniffing and Attack options:
-M, --mitm <METHOD:ARGS> perform a mitm attack
-o, --only-mitm don't sniff, only perform the mitm attack
-b, --broadcast sniff packets destined to broadcast
-B, --bridge <IFACE> use bridged sniff (needs 2 ifaces)
-p, --nopromisc do not put the iface in promisc mode
-S, --nosslmitm do not forge SSL certificates
-u, --unoffensive do not forward packets
-r, --read <file> read data from pcapfile <file>
-f, --pcapfilter <string> set the pcap filter <string>
-R, --reversed use reversed TARGET matching
-t, --proto <proto> sniff only this proto (default is all)
--certificate <file> certificate file to use for SSL MiTM
--private-key <file> private key file to use for SSL MiTM
User Interface Type:
-T, --text use text only GUI
-q, --quiet do not display packet contents
-s, --script <CMD> issue these commands to the GUI
-C, --curses use curses GUI
-D, --daemon daemonize ettercap (no GUI)
-G, --gtk use GTK+ GUI
Logging options:
-w, --write <file> write sniffed data to pcapfile <file>
-L, --log <logfile> log all the traffic to this <logfile>
-l, --log-info <logfile> log only passive infos to this <logfile>
-m, --log-msg <logfile> log all the messages to this <logfile>
-c, --compress use gzip compression on log files
Visualization options:
-d, --dns resolves ip addresses into hostnames
-V, --visual <format> set the visualization format
-e, --regex <regex> visualize only packets matching this regex
-E, --ext-headers print extended header for every pck
-Q, --superquiet do not display user and password
General options:
-i, --iface <iface> use this network interface
-I, --liface show all the network interfaces
-Y, --secondary <ifaces> list of secondary network interfaces
-n, --netmask <netmask> force this <netmask> on iface
-A, --address <address> force this local <address> on iface
-P, --plugin <plugin> launch this <plugin>
-F, --filter <file> load the filter <file> (content filter)
-z, --silent do not perform the initial ARP scan
-j, --load-hosts <file> load the hosts list from <file>
-k, --save-hosts <file> save the hosts list to <file>
-W, --wifi-key <wkey> use this key to decrypt wifi packets (wep or wpa)
-a, --config <config> use the alterative config file <config>
Standard options:
-v, --version prints the version and exit
-h, --help
ARP欺骗之会话劫持:
ettercap -i eth0 -T -M arp:remote /10.0.0.1/ // 欺骗局域网内所有主机
ettercap -i eth0 -T -M arp:remote /10.0.0.1/ /10.0.0.12/ 欺骗IP为10.0.0.12的主机
同时使用tcpmp抓包(当然也可以使用wireshark实时抓包并显示,但对本机压力比较大,建议使用tcpmp抓包,完成后再用wireshark显示):
tcpmp -i eth0
经过一段时间的抓包之后就可以停止了。打开wireshark分析捕获到的数据包分析,使用过滤语法,找出含有cookies的数据包:
复制出cookies的值,并在浏览器中利用,这里推荐一款好用的cooikes利用工具cookie-injecting-tools(地址:https://github.com/lfzark/cookie-injecting-tools)。利用成功后,刷新页面,就可以进入到被人的主页和网盘了
⑶ 为什么不能运行ettercap-NG-0.7.3 win32
试试加个packet.dll文件到windows->system32里
⑷ ettercap怎么修改网站ip
IP地址是可以通过工具来改变原来的显示的,比如双鱼IP转换器上面有北京 ,上海等全国和国外多个城市的IP地址,通过服务器中转,你就可以显示这些IP.步骤很简便,登陆 选您需要的地区 然后连接 ,成功之后IP就会显示成您选择的地区
⑸ packet.cap 抓包得到的文件,应该用什么程序打开啊
用常用的包分析软件,如tcpmp,sniffer,winmp,ettercap等都可以打开
⑹ 求一linux系统,能破解无线网络密码,在虚拟机中安装的ISO镜像文件,界面如图
backtrack
说明:
http://ke..com/view/1627379.htm
下载:
http://www.backtrack-linux.org/
BackTrack是一套专业的计算机安全检测的Linux操作系统,简称BT。目前最新与最好用版本是BT5。
它破解WEP,WPA/WPA2加密方式的无线网络也不在话下,当然前提是需要有足够强大的密码字典文件。
如果你仅仅用来破解WIFI,那么就大材小用了,集成了众多安全工具的BT不仅仅在破解WIFI上功能强悍,还有如弱点扫描工具Nessus,渗透平台MSF,Sniff工具Wireshark , ettercap,VOIP检测工具。
.......
⑺ Kali Linux 的ettercap怎么用
咱能简单明了不装x么?你直接说你用的bt5得了,绕一圈还linux内核系统弄得哥们一愣一愣,好像你能把win核换lin核一样,安装拜托你读下readme好不,内有教程,基本上你执行./install就行,注意大小写,与文件夹内一致
⑻ 请教ettercap这款软件的使用方法。谢谢
发个实验报告给你吧,希望能帮到你。
构建大型网络第五章-MST/HSRP
实验报告
实验时间
年/月/日 x时~ x时 // 实验完成所需的时间
实验人
伍永余
实验步骤
实验拓朴环境:
实验需求:
1. 客户机1.1拼不通服务器1.100
2. 当客户机1.1访问FTP服务器1.100,在输入密码时, 1.50能获取1.1的登陆密码及用户名.
3. 当客户机1.1访问HTTP服务器1.100,把服务器的网页换掉(就可以捆绑木马了).
实验步骤:
STEP1 配置Ip地址,并确保三台主机互通.并在主机1.50上安装ettercap(arp攻击软件)
案例1. 客户机1.1拼不通服务器1.100(断网攻击)
STEP1 .在1.1上长拼1.100
STEP2 在1.50上开启etteracp攻击软件,以实施断网攻击.
(1) 打开etteracp攻击软件,扫描出局域网内的其它主机,以便实施攻击
(2) 查看扫描结果,并将1.1加入目标1,将1.100加入目标2
(3) 实施断网攻击
(4) 查看效果,成功..1.1已不通拼通1.100
案例2 当客户机1.1访问FTP服务器1.100,在输入密码时, 1.50能获取1.1的登陆密码及用户名.(在服务器创建一个登陆用户
BENET,密码123456,呆会1.1就用这个用户和密码去访问服务器1.100)
STEP1 首先查看在没有实施ARP攻击之前,能否扫描到1.1的登陆用户及密码(结果不能)
(1) 开启捕获命令,进行扫描捕获
(2) 在1.1上登陆FTP服务器1.100
(3) 查看结果,没有捕捉到用户名及密码.
STEP2 先实施ARP攻击,再进行扫描1.1访问1.100服务器时的登陆用户名及密码.(先关掉捕捉密码用户命令)
(1) 开启捕获命令,进行扫描捕获(步骤一样,略)
(2) 查看结果,成功.可看到已捕捉到1.1的用户名用密码.
案例3 当客户机1.1访问HTTP服务器1.100,把服务器的网页换掉(就可以捆绑木马了).
STEP1 在攻击机1.50编写一个攻击脚本,实施攻击.
(1) 在程序etteracp里面写一个脚本文件aa.txt
(3) 运行ettercap里的命令窗口
(3) 把aa.txt文件生成ettercap执行文件( atterfilter.ext aa.txt –o aa.txt) o为字母)
(4) 查看生成后的aa.txt文件并执行该文件.(查看:type 执行:aa.txt )
STEP2 在客户机查看结果,与之前登陆的页面已不同.
案例4 防止ARP攻击的方法:
1. 静态绑定,而且是双向的.即在客户机绑定服务器1.100的IP地址及MAC地址,也在服务器上绑定客户机1.1的
IP地址及MAC地址.(但这个只适合小量的计算机)
Arp –s 192.168.1.100 00-01-ds-10-02-10 (绑定服务器,MAC地址是虚构的)
Arp –s 192.168.1.1 00-01-ds-47-98-25 (绑定客户机,MAC地址是虚构的)
2. 安装ARP防火墙,可动态大规模的防止ARP攻击
实验结果分析
// 包括实验中截图,以及对截图的描述和分析;
⑼ 关于网络嗅探软件
1、WireShark WireShark是一个开源免费的高性能网络协议分析软件,它的前身就是非常著名的网络分析软件Ethereal。你可以使用它来解决网络疑难问题,进行网络协议分析,以及作为软件或通信协议的开发参考,同时也可以用来作为学习各种网络协议的教学工具等等。WireShark支持现在已经出现了绝大多数的以太网网卡,以及主流的无线网卡。WireShark具有如下所示的特点:(1) 支持多种操作系统平台,可以运行于Windows、Linux、Mac OS X10.5.5、Solaris和FreeBSD等操作系统上;(2) 支持超过上千种的网络协议,并且还会不断的增加对新协议的支持;(3) 支持实时捕捉,然后可在离线状态下进行分析;(4) 支持对VOIP数据包进行分析;(5) 支持对通过IPsec、ISAKMP、Kerberos、SNMPv3、SSL/TLS、WEP和WPA/WPA2等协议加密了的数据包解密;(6) 可以实时获取来自以太网、IEEE 802.11、PPP/HDLC、ATM、蓝牙、令牌环和FDDI(光纤)等网络中的数据包;(7) 支持读取和分析许多其它网络嗅探软件保存的文件格式,包括Tcpmp、Sniffer pro、EtherPeek、Microsoft Network Monitor和CISCO Secure IDS 等软件;(8) 支持以各种过滤条件进行捕捉,支持通过设置显示过滤来显示指定的内容,并能以不同的颜色来显示过滤后的报文;(9) 具有网络报文数据统计功能;(10) 可以将它捕捉到的数据导出为XML、PostScript、CSV及普通文本文件的格式。运行WireShark所需的文件:现在WireShark的最终版本是1.0.5,我们可以到www.wireshark.org/download/上下载它。如果WireShark要在Windows系统下运行时,还需要一个名为Winpcap的驱动库,现在它的稳定版本是WinPcap 4.0.2,最新的测试版本是WinPcap 4.1 beta3,我们可以从 http://www.winpcap.org上下载。如果是在Linux系统下使用时,就应当使用Libpcap驱动库,它现在的版本是Libpcap1.0.0,我们可以从www.tcpmp.org上下载。2、Tcpmp和WinmpTcpmp是一个老牌的使用最频繁的网络协议分析软件之一,它是一个基于命令行的工具。Tcpmp通过使用基本的命令表达式,来过滤网络接口卡上要捕捉的流量。它支持现在已经出现了绝大多数的以太网适配器。Tcpmp是一个工作在被动模式下的网络嗅探器。我们可以用它来在Linux系统下捕获网络中进出某台主机接口卡中的数据包,或者整个网络段中的数据包,然后对这些捕获到的网络协议(如TCP、ARP)数据包进行分析和输出,来发现网络中正在发生的各种状况。例如当出现网络连通性故障时,通过对TCP三次握手过程进行分析,可以得出问题出现在哪个步骤。而许多网络或安全专家,都喜欢用它来发现网络中是否存在ARP地址欺骗。我们也可以将它捕获到的数据包先写入到一个文件当中,然后用WireShark等有图形界面的嗅探器读取 它的命令格式为:tcpmp [ -adeflnNOpqStvx ] [ -c 数量 ] [ -F 文件名 ][ -i 网络接口 ] [ -r 文件名][ -s snaplen] [ -T 类型 ] [ -w 文件名 ] [表达式 ]我们可以使用-i参数来指定要捕捉的网络接口卡,用-r来读取已经存在的捕捉文件,用-w来将捕捉到的数据写入到一个文件中。至于其它的参数,我们可以从它的man文档中得到详细的说明,或者通过输入“tcpmp –-help”来到它的帮助信息。Tcpm有一个非常重要的特点就是可以使用正则表达式来作为过滤网络报文的条件,这使得它的使用变得非常灵活。我们可以通过它内建的各种关键字来指定想要过滤的条件,一旦一个网络数据包满足表达式的条件,则这个数据包就会被捕获。如果我们没有给出任何条件,那么所有通过指定网络接口卡中的网络报文都会被捕获。 Tcpmp使用以下三种类型的关键字:(1)、用于表式类型的关键字,主要有Host、Net和Port。它们分别用来指定主机的IP地址、指定网络地址和指定端口。如果你没有指定关键字,它就会使用缺省的Host类型。(2)、用于表式传输方向的关键字,主要有Src、Dst。分别用来指定要捕捉的源IP地址是什么或目的IP地址是什么的包。(3)、用来表式捕捉什么协议的关键字,主要有ip,arp,tcp,udp等。这些关键字之间可以使用逻辑运算关键字来连接,以便于我们指定某个范围或排除某个主机等。这些逻辑运算关键字也有三个,分别是取非运算“not”,或者可以用“!”符号表示;与运算“and”,可以用“&&” 符号表示;或运算“or”,可以用“||”符号表示。Tcpmp的关键字还有很多,我就不在此全部列出。其它的可以通过它的帮助文档来得到它们的详细说明。运行Tcpmp需要的文件:Tcpmp可以很好地运行在UNIX、Linux和Mac OSX操作系统上,它现在的最新版本是TCPDUMP 4.0.0,我们可以从www.tcpmp.org上下载它的二进制包。同时,要运行它,也需要系统中安装有Libpcap1.0.0这个驱动库。 3、 DSniffDSniff是一个非常强大的网络嗅探软件套件,它是最先将传统的被动嗅探方式向主动方式改进的网络嗅探软件之一。DSniff软件套件中包含了许多具有特殊功能的网络嗅探软件,这些特殊的网络嗅探软件可以使用一系列的主动攻击方法,将网络流量重新定向到网络嗅探器主机,使得网络嗅探器有机会捕获到网络中某台主机或整个网络的流量。这样一来,我们就可以将DSniff在交换或路由的网络环境中,以及Cable modem拔号上网的环境中使用。甚至,当安装有DSniff的网络嗅探器不直接连接到目标网络当中,它依然可以通过运程的方式捕获到目标网络中的网络报文。DSniff支持Telnet 、Ftp、Smtp、P0P3、HTTP,以及其它的一些高层网络应用协议。它的套件当中,有一些网络嗅探软件具有特殊的窃取密码的方法,可以用来支持对SSL和SSH加密了的数据进行捕获和解密。DSniff支持现在已经出现了的绝大多数的以太网网卡。 4、 EttercapEttercap也是一个高级网络嗅探软件,它可以在使用交换机的网络环境中使用。Ettercap能够对大多数的网络协议数据包进行解码,不论这个数据包是不是加密过了的。它也支持现在已经出现了的绝大多数以太网网卡。Ettercap还拥有一些独特的方法,用来捕获主机或整个网络的流量,并对这些流量进行相应的分析 5、NetStumblerNetStumbler是一个用来寻找使用IEEE802.11a/b/g标准的无线局域网工具。它支持 包括PCMCIA 无线适配器在内的绝大多数主流无线适配器,同时,还加入了对全球 GPS 卫星定位系统的支持
⑽ 如何用Ettercap实现“中间人攻击”
针对两种不同的下载方式,分别确定劫持替换思路。
(1)直接下载过程
定位“200 OK”服务器响应数据包,将其修改成302 Moved Temporarily,并添加Location属性,重定向至攻击者指定的程序地址 ,完成下载劫持。
(2)间接下载过程
定位302 Moved Temporarily数据包,替换Location属性的下载程序地址 ,完成下载劫持。
3、定制过滤规则
依照劫持替换思路制定如下过滤规则