Ettercap使用记录之一

0x00　　开篇

对 于内网环境和域环境安全，各种新旧攻击技巧和手法一直为人津津乐道，嗅探、基于ARP毒化、DNS欺骗等的各种类型的中间人攻击，都极具威力。以ARP Spoof（ARP毒化）为例，ARP毒化也被称为ARP缓存中毒或者ARP欺骗攻击，这是在内网环境中的中间人攻击，通过ARP协议的缺陷，达到对整个 网络进行欺骗。众所周知，市面上有许多知名的工具可以实现ARP欺骗，比如Cain&abel、Ettercap、ARPoison、Dsniff、Parasite、ARPspoof等等。

本 文是关于Ettercap的，Ettercap是一款强大的可以被称为神器的工具，同类型软件中的佼佼者。Ettercap是开源企且跨平台 的，Ettercap在某些方面和dsniff有相似之处，同样可以很方便的工作在交换机环境下，当然，Ettercap最初的设计初衷和定位，就是一款 基于交换网上的sniffer，但随着版本更迭，它具备越来越多的功能，成为一款强大的、有效的、灵活的软件。它支持主动及被动的协议解析并包含了许多网 络和主机特性分析。

 

0x01　　Ettercap安装

官方网站：http://ettercap.github.io/ettercap/

官方文档参考：http://linux.die.net/man/8/ettercap

Ettercap download：http://ettercap.sourceforge.net/　　（Ettercap下载）

 

Platform:（平台）

Linux 2.0.x
Linux 2.2.x
Linux 2.4.x
Linux 2.6.x FreeBSD 4.x 5.x
OpenBSD 2.[789] 3.x
NetBSD 1.5 Mac OS X (darwin 6.x 7.x)
Windows 2000/XP/2003
Solaris 2.x

 

Required Libraries:（依存包）

libpcap >= 0.8.1
libnet >= 1.1.2.1
libpthread
zlib

 

应指出的是，在一系列知名的渗透测试环境套件中，Ettercap已经被默认包含其中，如BackTrack、Kali、nodezero、backbox等等。收集整理了网上前辈的们的一些经验，在支持包的安装过程中，可能会遇到下面的问题：
make: yacc: Command not found
make: *** [y.tab.c] Error 127 要安装install bison install flex
libnet >= 1.1.2.1

可尝试
# yum install curl-devel gtk2-devel boost-devel

安装libpcap可能出现错误
configure: error: Your operating system’s lex is insufficient to compile
libpcap. flex is a lex replacement that has many advantages, including
being able to compile libpcap. For more information, see

http://www.gnu.org/software/flex/flex.html.

可尝试
# yum -y install flex

libcap make时候可能会出现错误
make: yacc: Command not found make: *** [grammar.c] Error 127

# yum search yacc
（操作基于CentOS下）

在确定libpcap和libnet包安装完后，可编译安装Ettercap

 

正常情况下，某些发行版的源可能带有软件包，则可以直接执行apt-get install ettercap

或者通过官网下载软件包后解压手工安装，下载Ettercap后：

#tar zxpvf ettercap-0.x.tar.gz
#cd ettercap-0.x
#./configure&&make&&make install
#make plug-ins
#make plug-ins_install

 

当然，对于现成的渗透测试环境或者套件，则可以省去安装过程，直接使用。

安装完成后就可以先在命令行下尝试基本的指令和参数，熟悉这款工具，

基本的命令格式如下：
ettercap [option] [host:port] [host:port] [mac] [mac]

 

 

0x02

to be continued.