當(dāng)前位置 : 首頁(yè)>軟件學(xué)院>網(wǎng)絡(luò)技術(shù)>網(wǎng)絡(luò)安全>正文

為局域網(wǎng)提供更安全的保護(hù)

http://m.yibo1263.com　2011/1/15 9:25:57 　來(lái)源:東北IT網(wǎng) 　編輯:葉子

　　【原理基礎(chǔ)】

　　1. 軟件簡(jiǎn)介

　　Ettercap是一款基于終端的以太網(wǎng)絡(luò)局域網(wǎng)嗅探器/攔截器/日志器。它支持主動(dòng)和被動(dòng)的多種協(xié)議解析（甚至是ssh和https這種加密過(guò)的）。還可以進(jìn)行已建立連接的數(shù)據(jù)注入和實(shí)時(shí)過(guò)濾，保持連接同步。大部分嗅探模式都是強(qiáng)大且全面的嗅探組合。支持插件。能夠識(shí)別你是否出在交換式局域網(wǎng)中，通過(guò)使用操作系統(tǒng)指紋（主動(dòng)或被動(dòng)）技術(shù)可以得出局域網(wǎng)結(jié)構(gòu)。

　　Ettercap最初設(shè)計(jì)為交換網(wǎng)上的sniffer，但是隨著發(fā)展，它獲得了越來(lái)越多的功能，成為一款有效的、靈活的中介攻擊工具。它支持主動(dòng)及被動(dòng)的協(xié)議解析并包含了許多網(wǎng)絡(luò)和主機(jī)特性（如OS指紋等）分析。

　　2. Ettercap的5種工作方式

　　1）IPBASED

　　在基于IP地址的sniffing方式下，Ettercap將根據(jù)源IP-PORT和目的IP-PORT來(lái)捕獲數(shù)據(jù)包。

　　2）MACBASED

　　在基于MAC地址的方式下，Ettercap將根據(jù)源MAC和目的MAC來(lái)捕獲數(shù)據(jù)包（在捕獲通過(guò)網(wǎng)關(guān)的數(shù)據(jù)包時(shí)，這種方式很有用）

　　3）ARPBASED

　　在基于ARP欺騙的方式下，Ettercap利用ARP欺騙在交換局域網(wǎng)內(nèi)監(jiān)聽(tīng)兩個(gè)主機(jī)之間的通信（全雙工）。

　　4）SMARTARP

　　在SMARTARP方式下，Ettercap利用ARP欺騙，監(jiān)聽(tīng)交換網(wǎng)上某臺(tái)主機(jī)與所有已知的其他主機(jī)（存在于主機(jī)表中的主機(jī)）之間的通信（全雙工）。

　　5）PUBLICARP

　　在PUBLICARP方式下，Ettercap利用ARP欺騙，監(jiān)聽(tīng)交換網(wǎng)上某臺(tái)主機(jī)與所有其它主機(jī)之間的通信（半雙工）。此方式以廣播方式發(fā)送ARP響應(yīng)，但是如果Ettercap已經(jīng)擁有了完整的主機(jī)地址表（或在Ettercap啟動(dòng)時(shí)已經(jīng)對(duì)LAN上的主機(jī)進(jìn)行了掃描），Ettercap會(huì)自動(dòng)選取SMARTARP方式，而且ARP響應(yīng)會(huì)發(fā)送給被監(jiān)聽(tīng)主機(jī)之外的所有主機(jī)，以避免在Win2K上出現(xiàn)IP地址沖突的消息。

　　3. Ettercap的功能

　　1）在已有連接中注入數(shù)據(jù)：你可以在維持原有連接不變的基礎(chǔ)上向服務(wù)器或客戶端注入數(shù)據(jù)，以達(dá)到模擬命令或響應(yīng)的目的。

　　2）SSH1支持：你可以捕獲SSH1連接上的User和PASS信息，甚至其他數(shù)據(jù)。Ettercap是第一個(gè)在全雙工的條件下監(jiān)聽(tīng)SSH連接的軟件。

　　3）HTTPS支持：你可以監(jiān)聽(tīng)http SSL連接上加密數(shù)據(jù)，甚至通過(guò)PROXY的連接。

　　4）監(jiān)聽(tīng)通過(guò)GRE通道的遠(yuǎn)程通信：你可以通過(guò)監(jiān)聽(tīng)來(lái)自遠(yuǎn)程cisco路由器的GRE通道的數(shù)據(jù)流，并對(duì)它進(jìn)行中間人攻擊。

　　5）Plug-in支持：你可以通過(guò)Ettercap的API創(chuàng)建自己的Plug-in。

　　6）口令收集：你可以收集以下協(xié)議的口令信息，TELNET、FTP、POP、RLOGIN、SSH1、ICQ、SMB、MySQL、HTTP、NNTP、X11、NAPSTER、IRC、RIP、BGP、SOCK5、IMAP4、VNC、LDAP、NFS、SNMP、HALFLIFE、QUAKE3、MSNYMSG（不久還會(huì)有新的協(xié)議獲得支持）。

　　7）數(shù)據(jù)包過(guò)濾和丟棄：你可以建立一個(gè)查找特定字符串（甚至包括十六近制數(shù)）的過(guò)濾鏈，根據(jù)這個(gè)過(guò)濾鏈對(duì)TCP/UDP數(shù)據(jù)包進(jìn)行過(guò)濾并用自己的數(shù)據(jù)替換這些數(shù)據(jù)包，或丟棄整個(gè)數(shù)據(jù)包。

　　8）被動(dòng)的OS指紋提�。耗憧梢员粍�(dòng)地（不必主動(dòng)發(fā)送數(shù)據(jù)包）獲取局域網(wǎng)上計(jì)算機(jī)系統(tǒng)的詳細(xì)信息，包括操作系統(tǒng)版本、運(yùn)行的服務(wù)、打開(kāi)的端口、IP地址、MAC地址和網(wǎng)卡的生產(chǎn)廠家等信息。

　　9）OS指紋：你可以提取被控主機(jī)的OS指紋以及它的網(wǎng)卡信息（利用NMAP Fyodor數(shù)據(jù)庫(kù)）。

　　10）殺死一個(gè)連接：殺死當(dāng)前連接表中的連接，甚至所有連接。

　　11）數(shù)據(jù)包生產(chǎn)：你可以創(chuàng)建和發(fā)送偽造的數(shù)據(jù)包。允許你偽造從以太報(bào)頭到應(yīng)用層的所有信息。

　　12）把捕獲的數(shù)據(jù)流綁定到一個(gè)本地端口：你可以通過(guò)一個(gè)客戶端軟件連接到該端口上，進(jìn)行進(jìn)一步的協(xié)議解碼或向其中注入數(shù)據(jù)（僅適用于基于 ARP的方式）。

　　4. Ettercap的優(yōu)點(diǎn)

　　1、它不需要libpcap、libnet等常用庫(kù)的支持。

　　2、基于ARP欺騙的sniffing不需要把執(zhí)行ettercap的主機(jī)的網(wǎng)卡設(shè)置為全收方式。

　　3、支持后臺(tái)執(zhí)行。

　　【使用說(shuō)明】

　　<1> 監(jiān)聽(tīng)方式：

　　-a,--arpsniff

　　基于ARP的sniffing。指定監(jiān)聽(tīng)交換網(wǎng)的方式，如果你想要采用中間人技術(shù)進(jìn)行攻擊，必須選用這個(gè)選項(xiàng)。如果這個(gè)參數(shù)與靜音方式（-z選項(xiàng)）連用，你必須為ARPBASED方式指定兩對(duì)IP-MAC地址（全雙工），或者為PUBLICARP方式指定一個(gè)IP-MAC地址（半雙工）。在PUBLICARP方式下，ARP響應(yīng)是以廣播方式發(fā)送的，但是，如果Ettercap擁有了完整的主機(jī)表（在啟動(dòng)時(shí)對(duì)局域網(wǎng)進(jìn)行了掃描），Etercap會(huì)自動(dòng)選擇SMARTARP方式，ARP響應(yīng)會(huì)發(fā)送給處被控主機(jī)以外的所有主機(jī)，并建立一個(gè)哈希表，以便以后在全雙工條件下的中間人攻擊中可以將數(shù)據(jù)包從監(jiān)聽(tīng)主機(jī)發(fā)送給以這種方式截獲的客戶。（注：如果你采用 SMARTARP方式的ARP欺騙，要在配置文件中設(shè)置網(wǎng)關(guān)的IP地址（GWIP選項(xiàng)），并通過(guò)-e選項(xiàng)加載這個(gè)文件。否則這個(gè)客戶將無(wú)法連接到遠(yuǎn)程主機(jī)。需要進(jìn)行包替換或包丟棄的數(shù)據(jù)包過(guò)濾功能僅僅可以在ARPBASED方式下使用，因?yàn)闉榱吮３诌B接必須調(diào)整數(shù)據(jù)包的TCP序列號(hào)。

　　-s,--sniff

　　基于IP的監(jiān)聽(tīng)。這是最早的監(jiān)聽(tīng)方式。它適用與HUB環(huán)境，但是在交換網(wǎng)下就沒(méi)有作用了。你可以僅僅指定源或目的IP地址，可以指定也可以不指定端口，或者干脆什么也不指定，這樣意味著監(jiān)聽(tīng)網(wǎng)上的所有主機(jī)。可以用“ANY”來(lái)表示IP地址，它的意思是來(lái)自或去往每一個(gè)主機(jī)。

　　-m,-macsniff

　　基于MAC的監(jiān)聽(tīng)，適用于監(jiān)聽(tīng)遠(yuǎn)程的TCP通信。在HUB環(huán)境下，如果你想要監(jiān)聽(tīng)通過(guò)網(wǎng)關(guān)的連接，僅僅指定欲監(jiān)視主機(jī)的IP和網(wǎng)關(guān)的IP是不行的，因?yàn)閿?shù)據(jù)包是從外部主機(jī)發(fā)送的，而不是從網(wǎng)關(guān)發(fā)送的，所以你不能采取指定IP地址的方法。為了達(dá)到監(jiān)視內(nèi)外通信的目的，你只要指定被監(jiān)視主機(jī)的MAC地址和網(wǎng)關(guān)的MAC地址，這樣就可以監(jiān)視被監(jiān)聽(tīng)主機(jī)的所有Internet通信。

本新聞共4頁(yè),當(dāng)前在第1頁(yè) 1 2 3 4

【收藏】【打印】【進(jìn)入論壇】

相關(guān)文章：

·巧設(shè)路由阻斷局域網(wǎng)病毒傳播路徑

·衡量局域網(wǎng)交換機(jī)功耗的測(cè)試

·企業(yè)局域網(wǎng)內(nèi)DHCP服務(wù)器的安全設(shè)計(jì)

·辦公室局域網(wǎng)打印機(jī)共享輕松設(shè)置

·三方面控制好你的局域網(wǎng)網(wǎng)速

·解決局域網(wǎng)常掉線問(wèn)題

·無(wú)線局域網(wǎng)秘訣：因地制宜靈活布置

·無(wú)線局域網(wǎng)協(xié)議及基本用語(yǔ)全解析

·網(wǎng)管組建有線/無(wú)線局域網(wǎng)必看方案

·組建安全高效無(wú)線局域網(wǎng)

·家庭無(wú)線局域網(wǎng)優(yōu)劣取決于無(wú)線信號(hào)

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费