无线监听

今天了解一下ARP欺骗的概念，学习使用ettercap工具进行，学习使用driftnet、sslstrip等工具监听消息。

ARP欺骗与消息监听概述

什么是ARP（地址解析协议）

地址解析协议，即ARP（Address Resolution Protocol），是根据IP地址获取物理地址的一个TCP/IP协议。主机发送信息时将包含目标IP地址的ARP请求广播到网络上的所有主机，并接收返回消息，以此确定目标的物理地址；收到返回消息后将该IP地址和物理地址存入本机ARP缓存中并保留一定时间，下次请求时直接查询ARP缓存以节约资源。地址解析协议是建立在网络中各个主机互相信任的基础上的，网络上的主机可以自主发送ARP应答消息，其他主机收到应答报文时不会检测该报文的真实性就会将其记入本机ARP缓存；由此攻击者就可以向某一主机发送伪ARP应答报文，使其发送的信息无法到达预期的主机或到达错误的主机，这就构成了一个ARP欺骗。ARP命令可用于查询本机ARP缓存中IP地址和MAC地址的对应关系、添加或删除静态对应关系等。相关协议有RARP、代理ARP。NDP用于在IPv6中代替地址解析协议。

在无线网络环境中，ARP欺骗的对象是受攻击的设备以及无线网关。攻击者首先需要接入目标所在的无线网络，随后向受攻击设备冒充自己是无线网关，同时向无线网关冒充自己是发起请求的用户，开启攻击机上的IP转发功能，使自己成为整个通信过程中的中转站，从而能够监听到所有的通信数据，能够进一步篡改数据。

实战练习

1.使用ettercap工具进行ARP欺骗（无需开启监听模式）

1. 开启本机的ip转发功能。
   输入命令：
   echo 1 >/proc/sys/net/ipv4/ip_forward
2. 修改ettercap的配置文件
   输入命令：
   leafpad /etc/ettercap/etter.conf
   修改：
   [privs]
   ec_uid = 0 # nobody is the default
   ec_gid = 0 # nobody is the default
   找到iptables，将其注释删除。
3. 打开ettercap，选择菜单项Sniff->Unified sniffing,扫描当前网络中的设备，在弹出的窗口中选择接口，选择wlan0（无线网卡对应接口），单击OK。
4. 选择Hosts->Hosts list,进入终端列表。再选择Hosts->Scan for hosts,扫描当前网络中的设备。
5. 选择目标设备IP，单击Add to Target 1按钮，选择 网关的IP，单击Add to Target 2。
6. 单击菜单Mitm->ARP Poisoning,在弹出的对话框中选择Sniff remote connections。