在 Ettercap 中进行 ARP 欺骗

简介

在本次实验中，你将学习如何使用 Ettercap（一款用于中间人攻击的综合工具套件）进行 ARP 欺骗攻击。你将使用 arp-scan 和 nmap 探索网络设备发现，然后通过 ARP 投毒练习拦截目标之间的流量。

本练习提供了在可控环境中执行和监控 ARP 欺骗攻击的实践经验。你将学习每个攻击阶段的基本命令，同时了解现实世界中的安全影响和缓解技术。

Skills Graph

%%%%{init: {'theme':'neutral'}}%%%% flowchart RL nmap(("Nmap")) -.-> nmap/NmapGroup(["Nmap"]) wireshark(("Wireshark")) -.-> wireshark/WiresharkGroup(["Wireshark"]) hydra(("Hydra")) -.-> hydra/HydraGroup(["Hydra"]) nmap/NmapGroup -.-> nmap/installation("Installation and Setup") nmap/NmapGroup -.-> nmap/host_discovery("Host Discovery Techniques") nmap/NmapGroup -.-> nmap/service_detection("Service Detection") wireshark/WiresharkGroup -.-> wireshark/installation("Installation and Setup") wireshark/WiresharkGroup -.-> wireshark/packet_capture("Packet Capture") wireshark/WiresharkGroup -.-> wireshark/packet_analysis("Packet Analysis") hydra/HydraGroup -.-> hydra/installation("Installation and Setup") subgraph Lab Skills nmap/installation -.-> lab-549950{{"在 Ettercap 中进行 ARP 欺骗"}} nmap/host_discovery -.-> lab-549950{{"在 Ettercap 中进行 ARP 欺骗"}} nmap/service_detection -.-> lab-549950{{"在 Ettercap 中进行 ARP 欺骗"}} wireshark/installation -.-> lab-549950{{"在 Ettercap 中进行 ARP 欺骗"}} wireshark/packet_capture -.-> lab-549950{{"在 Ettercap 中进行 ARP 欺骗"}} wireshark/packet_analysis -.-> lab-549950{{"在 Ettercap 中进行 ARP 欺骗"}} hydra/installation -.-> lab-549950{{"在 Ettercap 中进行 ARP 欺骗"}} end

安装 Ettercap

在这一步中，你将安装 Ettercap，这是一款强大的网络安全工具，用于在局域网（LAN）上进行中间人攻击。在开始之前，让我们先了解一下 Ettercap 的功能：它允许你拦截、分析和修改同一网络中设备之间的网络流量。其功能包括 ARP 投毒（我们将在本次实验中使用）、实时连接嗅探以及各种网络分析功能。

首先，你需要更新 Linux 系统上的软件包列表。这能确保你安装的是最新版本的 Ettercap：

sudo apt update

sudo 命令会赋予你管理员权限，而 apt update 会刷新系统中可用软件包的列表。

接下来，使用以下命令安装 Ettercap：

sudo apt install -y ettercap-text

下面是该命令的具体解释：

sudo apt install 是在 Debian/Ubuntu 系统上安装软件的标准方法
-y 标志会自动对安装过程中的所有提示回答“yes”
我们特别安装 ettercap-text（纯文本版本），原因如下：
1. 它在命令行环境中更加稳定
2. 与图形版本相比，它占用的系统资源更少
3. 它更适合远程连接和自动化任务

安装完成后，通过检查已安装的版本来验证一切是否正常：

ettercap --version

你应该会看到显示版本号和构建信息的输出，类似于：

Ettercap 0.8.3.1 (built on ...)

这确认了 Ettercap 已正确安装并可以使用。在整个实验过程中，我们将使用 Ettercap 的文本界面，原因如下：

它在 LabEx 虚拟机环境中更可靠
它提供了进行 ARP 欺骗所需的所有功能
它能帮助你熟悉命令行网络工具

识别目标设备

在发起 ARP 欺骗攻击之前，我们首先需要识别本地网络中的潜在目标。ARP 欺骗的原理是欺骗设备，让它们误以为我们是网络中的其他设备，因此我们需要知道实际存在哪些设备。我们将使用两个重要的网络扫描工具：arp-scan 用于快速发现设备，nmap 用于获取更详细的信息。

首先，确保你已经安装了所需的工具。运行以下命令来安装这两个工具：

sudo apt install -y arp-scan nmap

接下来，你需要确定哪个网络接口将你连接到本地网络。在大多数情况下，尤其是在 LabEx 虚拟机中，这个接口通常是 eth0。要查看可用的接口并找到正确的接口，请执行以下命令：

ip a

查找已分配实际 IP 地址的接口（不是回环地址 127.0.0.1）。这就是我们将用于扫描的接口。现在，你可以扫描本地网络以发现所有连接的设备：

sudo arp-scan --interface=eth0 --localnet

此命令会向子网中的所有可能 IP 地址发送 ARP 请求，并监听响应。你将看到列出所有活动设备、它们的 IP 地址、MAC 地址，有时还有制造商信息的输出：

192.168.1.1   00:11:22:33:44:55   Router Manufacturer
192.168.1.2   aa:bb:cc:dd:ee:ff   Target Device

要更详细地检查特定目标，你可以使用 nmap。这对于了解目标设备上运行的服务特别有用：

sudo nmap -sV 192.168.1.2

-sV 标志告诉 nmap 探测开放端口并确定服务/版本信息。从扫描结果中选择一个设备作为 ARP 欺骗攻击的目标（在学习练习中，最好避免将路由器或网关等网络基础设施作为目标）。

发起 ARP 欺骗

在这一步中，你将使用 Ettercap 在目标设备和路由器之间执行 ARP 欺骗。ARP 欺骗是一种攻击技术，攻击者通过发送伪造的 ARP 消息，将自己的 MAC 地址与其他设备的 IP 地址关联起来。通过这种攻击，你可以让目标设备和路由器之间的通信经过你的机器，从而拦截它们之间的网络流量。

在开始之前，你需要确定三个关键信息：

你的网络接口名称（在 LabEx 虚拟机中通常为 eth0）
路由器/网关的 IP 地址（例如，192.168.1.1）
目标设备的 IP 地址（例如，192.168.1.2）

要发起攻击，请打开终端并使用以下命令以文本模式运行 Ettercap：

sudo ettercap -T -i eth0 -M arp:remote /192.168.1.1// /192.168.1.2//

下面来详细解释这个命令的各个部分：

sudo：以 root 权限运行命令（网络操作需要此权限）
-T：启用文本模式界面（而非图形界面）
-i eth0：指定要使用的网络接口
-M arp:remote：激活 ARP 投毒模块
最后两个参数以 /IP// 的格式指定路由器和目标设备的 IP 地址（请将这些 IP 地址替换为你实际使用的 IP 地址）

当攻击成功启动后，Ettercap 会显示输出，展示被投毒的设备及其 MAC 地址：

ARP poisoning victims:
 GROUP 1 : 192.168.1.1 00:11:22:33:44:55
 GROUP 2 : 192.168.1.2 AA:BB:CC:DD:EE:FF

要确认攻击是否生效，你可以使用以下命令检查你机器的 ARP 表：

arp -a

如果攻击成功，你会看到路由器和目标设备的 ARP 表项现在显示的是你机器的 MAC 地址，而不是它们实际的 MAC 地址。这意味着它们之间的所有流量都正在通过你的系统进行路由。

捕获被欺骗的流量

在这一步中，你将使用 Wireshark 和 tcpdump 捕获并分析目标设备与路由器之间流动的网络流量。这将证明你的 ARP 欺骗攻击的有效性。当 ARP 欺骗成功时，目标设备和路由器之间的所有流量都将通过你的机器，这样你就可以对其进行检查。

首先，让我们以命令行模式安装 Wireshark。Wireshark 是一款强大的网络协议分析器，而 tshark 是它的命令行版本：

sudo apt install -y wireshark-common tshark

在捕获流量之前，创建一个专门的目录来存放捕获文件是个不错的做法。这有助于保持项目的组织性，方便后续查找文件：

mkdir -p ~/project/captures

现在，我们将使用 tcpdump 来捕获实际的网络流量。为这个命令打开一个新的终端窗口，因为它会持续运行，直到你手动停止。-i eth0 标志指定了网络接口，-w 则将输出保存到一个文件中：

sudo tcpdump -i eth0 -w ~/project/captures/spoofed_traffic.pcap

让这个命令运行几分钟，以捕获有意义的流量。在此期间，目标设备和路由器之间的正常网络活动将被记录下来。准备好后，按 Ctrl+C 停止捕获。

为了分析捕获的流量，我们将使用 tshark。这个命令会读取捕获文件，并显示所有捕获数据包的摘要：

tshark -r ~/project/captures/spoofed_traffic.pcap

为了进行更有针对性的分析，我们可以专门过滤 HTTP 流量。这对于检查网页请求和响应很有用：

tshark -r ~/project/captures/spoofed_traffic.pcap -Y "http"

特别重要的是检查 POST 请求，因为这些请求通常包含登录凭据等敏感数据。这个命令会过滤出这些请求：

tshark -r ~/project/captures/spoofed_traffic.pcap -Y "http.request.method == POST"

结束攻击

在这一步中，你将正确终止 ARP 欺骗攻击，并恢复正常的网络操作。这是确保安全测试后网络完整性的关键步骤。ARP 欺骗会使网络处于异常状态，因此我们需要小心地撤销这些更改。

首先，停止 Ettercap 进程。如果你仍在 Ettercap 终端窗口中，按 q 键优雅地退出。这会向 Ettercap 发送一个正确的终止信号。如果你已经关闭了终端，就需要手动查找并终止该进程：

sudo pkill -f ettercap

接下来，你需要清除你机器上的 ARP 缓存，以移除任何被投毒的条目。ARP 缓存存储着 IP 地址到 MAC 地址的映射，在攻击期间这些映射被修改了。以下命令可以彻底清除所有邻居/ARP 条目：

sudo ip -s -s neigh flush all

让我们验证 ARP 缓存是否已被正确清除。这个命令会显示当前的 ARP 表条目：

arp -a

输出现在应该显示你网络中设备的正确 MAC 地址，与它们的实际硬件地址相匹配。为确保完全清理，我们将重启网络接口。这会重置所有网络配置：

sudo ifconfig eth0 down && sudo ifconfig eth0 up

最后，通过 ping 你的网关来验证网络连接是否已完全恢复。这可以确认正常的网络操作已经恢复：

ping -c 4 192.168.1.1

你应该会看到正常的 ping 响应，没有丢包现象，这表明网络再次正常运行。如果你遇到问题，可能需要重启网络服务或重启受影响的设备。

总结

在本次实验中，你学习了如何使用 Ettercap 的命令行界面执行 ARP 欺骗攻击。本练习引导你完成了 Ettercap-text 的安装、使用 arp-scan 和 nmap 识别网络目标，以及通过投毒 ARP 缓存来发起中间人（MITM）攻击。

你练习了拦截被欺骗设备之间的网络流量，并正确终止攻击以恢复正常操作。本次实验展示了基本的 ARP 投毒技术，同时强调了网络侦察在网络安全评估中的重要性。