ettercap之DNS欺骗--结合metasploit使用
ettercap支持在运行时加载模块。它们会自动地编译你的系统是否支持他们或者直到你指定位置的脚本---disable-plugins选项。一些老的插件(roper,banshee等)还没有新版本的移植。你可以通过使用新的过滤引擎实现相同的结果。
如果使用交互模式,大多插件需要使用它们之前“开始嗅探”。
命令行输入: etterap -P list
下面介绍可利用的插件列表:
- arp_cop
- 它通过被动的监测网络上活跃的arp请求与响应,尝试arp毒化,或简单的IP-conflicts或IP-changes。如果构建初始化主机列表插件将运行更准确。
- 例如:ettercap -TQP arp_cop
- autoadd
- 它会自动添加在中间人攻击时arp毒化的新的受害者。在局域网上它寻找arp请求,当检测到它将主机添加到列表中。
- chk_posion
- 它检查看看ettercap的arp毒化是成功的。它发送一个欺骗的ICMP echo数据包给所有中毒的攻击者冒充其他目标的每一个。如果我们能抓到一个ICMP响应中带着我们MAC地址,这意味着这两个目标之间的中毒是成功的。如果你在静默模式下仅指定一个目标,测试失败。不能再命令行运行这个插件,因为中毒还没有开始,必须从菜单正确的启动它。
- dns_spoof
- 这个插件拦截DNS查询并回复一个欺骗的结果。你需要修改IP地址来回应这查询通过修改etter.dns文件。插件将拦截A,PTR和MX请求。如果它是一个A请求,返回IP地址。如果是一个PTR请求,在文件中搜索ip并且这域名被返回(除了那些通配符)。MX请求需要一个精心准备一个特别的应答。主机通过一个虚假的主机'mail.host'来解决并且额外的记录包含的ip地址。返回一个地址或域名来匹配。要小心这顺序。
- dos_attack
- 这插件运行一个dos攻击来攻击受害者的IP地址。它首先“扫描”受害者来发现开放的端口,然后开始使用一个虚假的源IP地址来洪水攻击那些端口通过SYN包,然后使用虚假主机来拦截arp响应,当它接到来自受害者,SYN-ACK回复ack包创建一个建立连接。你必须使用一个免费的IP地址在你的子网创建虚假的主机IP地址(可以使用find_ip).不能运行这个插件在unoffensive模式。这个插件基于原始的Naptha DoS攻击。
- 例如:ettercap -TQP dos_attack
- dummy
- 用来演示如何编写一个插件。
- find_conn
- 非常简单的插件,监听所有主机arp请求。可以帮助自己找到在未知局域网的地址。
- ettercap -TQzP find_conn ettercap -TQu -i eth0 -P find_conn
- find_ettercap
- 尝试确定ettercap局域网数据包发送。它可能是有用的检测是否有人使用etercap
- find_ip
-
Find the first unused IP address in the range specified by the user in the target list. Some other plugins (such as gre_relay) need an unused IP address of the LAN to create a "fake" host. It can also be useful to obtain an IP address in an unknown LAN where there is no dhcp server. You can use find_conn to determine the IP addressing of the LAN, and then find_ip. You have to build host list to use this plugin so you can't use it in unoffensive mode. If you don't have an IP address for your interface, give it a bogus one (e.g. if the LAN is 192.168.0.0/24, use 10.0.0.1 to avoid conflicting IP), then launch this plugin specifying the subnet range. You can run it either from the command line or from the proper menu.
example :
ettercap -TQP find_ip //
ettercap -TQP find_ip /192.168.0.1-254/
10. finger_submit
使用这个插件来提交指纹到ettercap网页。如果你发现一个未知的指纹,但你确定目标的操作系统,可以提交到ettercap的数据库中。例如:ettercap -TzP finger_submit.
11、gre_reply
这个插件使用来嗅探GRE-redirected远程通信。基本思想是创建一个GRE隧道发送所有的通信在安装ettercap接口机器上的路由器上。插件将发回GRE数据包的路由器在ettercap“操纵”(使用smb_down ssh_decryption filters等重定向流量)......(翻译的太乱,看英文文档吧)
12、http://linux.die.net/man/8/ettercap_plugins (后面不翻译了,有时间在说吧)