ettercap for windows(强大的arp欺骗工具)

ettercap是一款专门为windows系统打造的系统安全黑客软件，软件操作需要一定的技巧，功能非常的强大！请合法使用该软件！欢迎来到IT猫扑网下载！

ettercap安装说明

1. arp毒化的中间人攻击

arp毒化的原理简单的说就是伪造MAC地址与IP的对应关系，导致数据包由中间人转手出去。详细介绍请看：

https://www.2cto.com/Article/201207/144532.html

arp毒化有双向（remote）和单向（oneway）两种方式。

双向方式将对两个目标的ARP缓存都进行毒化，对两者之间的通信进行监听。单向方式只会监听从第一个目标到第二个目标的单向通信内容。一般来说，我们会选择使用双向欺骗的方式来获取所有的数据包进行嗅探分析。

例如：-M arp:remote /10.0.0.2/ // 表示对10.0.0.2的所有端口的通信进行嗅探，包括发出的数据包和收到的数据包。

若目标主机开启了ARP防火墙怎么办？直接欺骗会引发报警且无效果。这时就是单向ARP毒化大显神威的时候了。只要路由器没有对IP和MAC进行绑定，我们就可以只欺骗路由器，使从路由器发给目标主机的数据包经过中间人，完成我们的攻击。

2. icmp欺骗

icmp欺骗即基于重定向（redirect）的路由欺骗技术。其基本原理是欺骗其他的主机，本机才是最近的路由，因此其他主机会将数据包发送到本机，然后本机再重新将其转发到真正的路由器上。于是，我们便可以对这些数据包进行监听。

icmp欺骗不适用于在交换机下的环境。若本机在交换机的环境下，则最好选择arp毒化的方式来进行攻击。

icmp欺骗方式的参数是真实路由器的MAC和IP。参数形式为(MAC/IP)。举例如下：

-M icmp:00:11:22:33:44:55/10.0.0.1

3. DHCP spoofing

DHCP spoofing的基本原理是本机伪装成DHCP服务器，代替真实的DHCP服务器给新接入网络的主机动态分配ip。这样的缺点是可能会与真实的DHCP服务器重复分配ip，造成冲突，而且只能针对新接入的主机，不影响到之前的主机。

DHCP spoofing方式的参数是可以分配出去的ip地址池，子网掩码和DNS。参数形式为(ip_pool/netmask/dns)。举例如下：

-M dhcp:192.168.0.30,35,50-60/255.255.255.0/192.168.0.1

对应的含义为将分配192.168.0.30,35,50-60之中的地址，子网掩码为255.255.255.0，DNS服务器为192.168.0.1。

4. Port Stealing

此攻击方式适用的环境是在交换机下，且路由器中ip和mac绑定无法进行arp欺骗。其基本思想是，既然无法欺骗路由器的IP和MAC对应关系，那么就欺骗交换机的吧。这样，原本应该通过交换机某一个端口到达目标主机的数据包被传入了攻击者的端口。（此部分小编理解的不算好，恳请大牛补充纠正！）

由于本方法只能用于交换机环境，且会产生大量的数据包，严重影响网络状况，用之前须三思。

小编只实际测试了1和4两种攻击方式。其中1方式攻击结果完全符合预期，而用4方式时产生了如下错误：

1.ERROR : 90, Message too long

2.[ec_send.c:send_to_L2:213]

3.

4.libnet_write 1586 (-1): libnet_write_link(): only -1 bytes written (Message too long)

复制代码

此外，如果只想用ettercap做一个中间人而用其他软件嗅探数据的话，应加入参数-o (only-mitm)。

注意点：

Ettercap并不会转发数据包，转发数据包的是操作系统，因此，在中间人攻击时需要启用操作系统的数据包转发功能。

Ettercap说明

Ettercap是一款Linux上强大的arp欺骗工具，当然，现在也有windows版本。通过它你能够用飞一般的速度创建和发送伪造的包，并发送从网络适配器到应用软件各种级别的包。只要其成功运行，黑客们就可以对目标使用多种不同的攻击方式，对中间人攻击非常有帮助。