黑客玩具入门——6、网络嗅探

1、网络嗅探:使用TCPDump分析网络数据

TCPDump是一款资深网络工作人员必备的工具。TCPDump是一款小巧的纯命令行工具,正是因为它的体积小巧,所以这款工具可以完美的运行在大多数路由器,防火墙以及Linux系统中。而且TCPDump现在有了Windows版本。

TCPDump的使用:

tcpdump -v -i eht0

  1. -v:以verbose mode,详细模式显示。
  2. -i:表示指定要监听的网卡。

CTRL+C结束监听。

将监听的数据保存下来:

tcpdump -v -i eth0 -w XXX.pcap

可以使用wireshark打开。

2、使用 Wireshark进行网络分析

  1. 打开Wireshark的密码,就是你的开机密码。
  2. 进入后,双击eth0,就可以看到该网卡下的网络链接信息。

3、Driftnet:图片捕获工具

Driftnet是一款简单且实用的图片捕获工具,可以很方便的在网络数据包中抓取图片。

  1. sudo driftnet -i eth0
    • -b:捕获到新的图片时发出嘟嘟嘟的声音。
    • -i:interface,选择监听接口。
    • -f:file,读取一个指定pcap数据包中的图片。
    • -p:不让所监听的端口使用混杂模式。
    • -a:后台模式,将捕获的图片保存到目录中,不会显示在屏幕上。
    • -m:number,指定保存图片数的数目。
    • -d:directory,指定保存图片的路径。
    • -x:prefix,指定保存图片的前缀名。

4、使用Arpspoof:进行Arp欺骗

利用arp协议漏洞,我们可以监听网络上的流量。

实验靶机:Windows7。

Windows上的流量都会流经网关,所以我们把kali伪造成网关,那么就可以截取流量信息。并读取其中内容。

  1. sudo arpspoof -i [网卡] -t [要拦截流量的主机ip] [要伪装的主机ip]
  2. 开启网卡转发:为了流经kali后,转发出去,正常上网。
    1. sudo su
    2. echo 1 > /proc/sys/net/ipv4/ip_forward

使用arpspoof完成对目标主机的欺骗任务后,我们就可以截获到目标主机发往网关的数据包了。下面我们看下与driftnet配合,查看流量中的图片。

就是在arpspoof监听流量的时候,打开上面学过的driftnet,设置对应的参数即可。

5、使用Ettercap进行网络嗅探

Ettercap刚开始只是一个网络嗅探器,但在开发过程中,它获得了越来越多的功能,在中间人攻击方面,是一个强大而又灵活的工具。

中间人攻击(Man in the MiddleAttack,简称MITM攻击):

  1. 打开方式:sudo ettercap -G。

它有两个主要的嗅探选项:

  1. unified:以中间人方式嗅探,最常用到的模式。
  2. bridged:在双网卡的情况下,嗅探两块网卡之间的数据包。

看上面的图,点"对勾"就可以开始嗅探了。左边的放大镜就是开始扫描。

实验靶机:Windows7->模拟用户、Metasploitable2->模拟服务器。

  1. 右键扫描出来的ip,分别加到target1和target2中。然后,我们可以通过右侧的三个点查看

  2. 然后这里点击ARP欺骗,然后弹出来的框点OK就可以了。

  3. 然后,在你的Windows中输入Metasploitable的ip地址。

  4. 然后选择DVWA。随便输入用户名密码,回到kali,发现我们可以获取到。

配合driftnet使用获取流量中的图片:

实验靶机:windows7。

很简单哈,就是组合之前的几个步骤就可以了:

  1. 开启网卡转发:
    1. sudo su
    2. echo 1 > /proc/sys/net/ipv4/ip_forward
  2. ettercap开启arp欺骗。参照前一节。
  3. 开启driftnet:sudo driftnet -i eth0 -a -d /home/zakingwong/driftnet/。
  4. 大功告成!
posted @ 2023-12-01 09:38  Zaking  阅读(1036)  评论(0编辑  收藏  举报