macos或类linux 系统安装ettercap + gtk3 抓取并分析邻居数据包
最近邻居夜生活猖獗,打游戏“砸键盘”、搞直播弹琴唱歌以及各种与人视频聊天,每天半夜十二点以后,笑声、骂声、弹琴声、唱歌声轮番上阵,先前公用路由是我控制的,密码只有我一人知道,还能限个速。这两天这哥们找个了人把路由器初始化,然后自己设置了管理密码,更疯狂的猖獗的闹腾了。好吧,你有张良计,我有过墙梯。
"Ettercap是一款强大的可以被称为神器的工具,同类型软件中的佼佼者。Ettercap是开源企且跨平台 的,Ettercap在某些方面和dsniff有相似之处,同样可以很方便的工作在交换机环境下,当然,Ettercap最初的设计初衷和定位,就是一款 基于交换网上的sniffer,但随着版本更迭,它具备越来越多的功能,成为一款强大的、有效的、灵活的软件。它支持主动及被动的协议解析并包含了许多网 络和主机特性分析。"
----摘自网络
一、平台与软件工具
工具:mbp一台,i7+8G+256Gssd
需要安装的软件:
1、homebrew Mac OSX上的软件包管理工具,类似于centos上的yum,ubuntu上的apt-get。
2、Xcode 运行在操作系统Mac OS X上的集成开发工具(IDE)。
3、libtiff tiff是一种灵活的位图格式,主要用来存储包括照片和艺术图在内的图像,libtiff是tiff的标准实现,有了libtiff才可以安装gtk+3,有了gtk,ettercap才可以以窗口形式展示。
4、gtk+3 是一套源码以LGPL许可协议分发、跨平台的图形工具包
5、ettercap 上文介绍了,是一款强大的可以被称为神器的工具。
二、安装软件
1、homebrew 安装
homebrew的安装非常简单,打开终端执行一下命令:
~ ruby -e "$(curl -fsSL https://raw.githubusercontent.com/Homebrew/install/master/install)"
已经安装过homebrew的需要执行:
~ sudo brew update/brew update
旧版homebrew是需要sudo的,而新版。。。具体我也不知道在哪一版,取消了sudo,可以先不加sudo更新,如果失败再加上。更新后安装软件可能会报错,需要检查/Users/$(whoami)/Library/Logs/Homebrew和/Users/$(whoami)/Library/Logs/Homebrew两目录权限是否是root,如果目录和文件权限是root,需要执行以下命令修改权限,否则使用sudo执行会报权限太大,不使用sudo又报权限不足。
2、Xcode在app store中可以搜索到,免费安装。
3、安装libtiff
安装libtiff有两种方法,但不保证哪种能成功,一个是brew install 一个是编译安装,编译安装会有make all的报错,brew 很大可能会被墙掉,brew可以多试试或者找vpn连一下,实在不行就研究一下编译安装。
~ brew install libtiff
或者
~ wget ~ tar xvzf tiff-4.0.6.tar.gz ~ cd tiff-4.0.6 ~ ./configure --prefix=/usr/local ~ make ~ make clean
4、安装gtk+3
~ brew install gtk+3
5、安装ettercap
~ brew install ettercap --with-gtk+
不加--with-gtk+ 就不能以ettercap -G形式启动,也就是不能以窗口图形化形式启动,只能使用指令行或者伪图形界面(例如下图:)
三、
安装完后以ettercap -G形式启动(!!!记得加sudo):
sudo ettercap -G
上面的步骤是:
1、选择unified sniffing (统一嗅探器??) 。
2、在弹出的窗口选择网卡,一般是连wifi那张,可以在终端使用ifconfig查看。
3、选择后可看到上面的信息,正在程序就开始监听选定的网卡了。
4、选择scan for hosts 即可列出除本机外的所有局域网内所有客户端的ip地址。
5、再次点击hosts选择hosts list即可查看此列表。
6、点击想要监控的ip地址,点击Add to Target 添加到Target 1,可添加多个。
7、点击网关地址,再点击Add to Target2添加到target2,需要根据实际情况来,可使用如下指令查看:
netstat -rn | grep default | grep -e ‘[0-9]\{1,3\}.[0-9]\{1,3\}.‘
我们其实就是要插入到target1和target2,做一个转发工作,并把数据包拷贝一份记录到本机。
也可以点击targets选项卡,点击current targets,在弹出框中设置,例如想要的ip一直刷不出来。
但是就是确定有这个ip。
8、选择日志文件,填上文件名,程序会自动创建,我一般就选/tmp 目录,因为很多目录都没有权限,我也没研究这个。。。总之很坑,没权限就直接退出。
9、点击Mitm下的ARP poisoning。如此,就开始ARP欺骗了,不不。。是代理网关。。但是如果你自己做测试,你会发现受监控的机器是不能上网的,这是因为mac没有打开路由转发功能。
打开:
sudo sysctl -w net.inet.ip.forwarding=1
关闭:
sudo sysctl -w net.inet.ip.forwarding=0
也就是这个功能,可以做个定时任务,五分钟关闭一次,过半分钟再打开。呵呵,,我让你半宿直播。。。
10、tail -f 查看日志的更新情况
此时查看的是乱码,这个日志后缀名是.ecp ,我刚才设置了/tmp/test.log,那他就是/tmp/test.log.ecp。对于这种日志格式,ettercap有自己的查看工具:etterlog。
etterlog test.log.ecp
如上两张图,第一张是抓到的http的header信息,通过访问改hostdoman+url可以下载到一个视频,原来是我的手机查看的微博视频。其他的一些获取header、session、url、host甚至是一些加密的数据包还是需要各自努力实现吧,chrome的EditThisCookie和postman也是很不过的工具哦。
本文出自 “11403817” 博客,请务必保留此出处http://11413817.blog.51cto.com/11403817/1953668