请教ettercap这款软件的使用方法。谢谢

发个实验报告给你吧，希望能帮到你。

构建大型网络第五章-MST/HSRP

实验报告

实验时间

年/月/日 x时～ x时 // 实验完成所需的时间

实验人

伍永余

实验步骤

实验拓朴环境：

实验需求：

1. 客户机1.1拼不通服务器1.100

2. 当客户机1.1访问FTP服务器1.100,在输入密码时, 1.50能获取1.1的登陆密码及用户名.

3. 当客户机1.1访问HTTP服务器1.100,把服务器的网页换掉(就可以捆绑木马了).

实验步骤：

STEP1 配置Ip地址,并确保三台主机互通.并在主机1.50上安装ettercap(arp攻击软件)

案例1. 客户机1.1拼不通服务器1.100(断网攻击)

STEP1 .在1.1上长拼1.100

STEP2 在1.50上开启etteracp攻击软件,以实施断网攻击.

(1) 打开etteracp攻击软件,扫描出局域网内的其它主机,以便实施攻击

(2) 查看扫描结果,并将1.1加入目标1,将1.100加入目标2

(3) 实施断网攻击

(4) 查看效果,成功..1.1已不通拼通1.100

案例2 当客户机1.1访问FTP服务器1.100,在输入密码时, 1.50能获取1.1的登陆密码及用户名.(在服务器创建一个登陆用户

BENET,密码123456,呆会1.1就用这个用户和密码去访问服务器1.100)

STEP1 首先查看在没有实施ARP攻击之前,能否扫描到1.1的登陆用户及密码(结果不能)

(1) 开启捕获命令,进行扫描捕获

(2) 在1.1上登陆FTP服务器1.100

(3) 查看结果,没有捕捉到用户名及密码.

STEP2 先实施ARP攻击,再进行扫描1.1访问1.100服务器时的登陆用户名及密码.(先关掉捕捉密码用户命令)

(1) 开启捕获命令,进行扫描捕获(步骤一样,略)

(2) 查看结果,成功.可看到已捕捉到1.1的用户名用密码.

案例3 当客户机1.1访问HTTP服务器1.100,把服务器的网页换掉(就可以捆绑木马了).

STEP1 在攻击机1.50编写一个攻击脚本,实施攻击.

(1) 在程序etteracp里面写一个脚本文件aa.txt

(3) 运行ettercap里的命令窗口

(3) 把aa.txt文件生成ettercap执行文件( atterfilter.ext aa.txt –o aa.txt) o为字母)

(4) 查看生成后的aa.txt文件并执行该文件.(查看:type 执行:aa.txt )

STEP2 在客户机查看结果,与之前登陆的页面已不同.

案例4 防止ARP攻击的方法:

1. 静态绑定,而且是双向的.即在客户机绑定服务器1.100的IP地址及MAC地址,也在服务器上绑定客户机1.1的

IP地址及MAC地址.(但这个只适合小量的计算机)

Arp –s 192.168.1.100 00-01-ds-10-02-10 (绑定服务器,MAC地址是虚构的)

Arp –s 192.168.1.1 00-01-ds-47-98-25 (绑定客户机,MAC地址是虚构的)

2. 安装ARP防火墙,可动态大规模的防止ARP攻击

实验结果分析

// 包括实验中截图，以及对截图的描述和分析；

Linux下用什么方法或软件可以防止arp攻击

Ubuntu中文论坛的“BigSnake.NET“结合arpalert写了一个脚本来做arp防火墙，我感觉效果不错。（具体请看“参考资料”。）

我这里再稍加概括:

1)安装arpalert和Perl的ARP模块（在Ubuntu中叫libnet-arp-perl软件包）

2）按照参考资料中的说明得到arpdef.pl文件。

3）按照参考资料中的说明修改arpalert.conf。

注：一定要看原文，我这里仅是简单概括。

ARP攻击与IP攻击

三个建议和办法

1 下载ARP防火墙

安装前关闭杀毒软件,这个软件的好处在于可以直接看到攻击者的IP和MAC,

现在你可以做的就是叫上老师去找他吧,局域网内的每台电脑都要去找,对方改了IP也没用, 开始--运行--CMD--ipconfig/all 就能清楚的看到对方的mac地址，找到后让老师狠狠的骂他一顿，也让你有点成就感，呵呵

2.建立DHCP服务器(建议建在网关上，因为DHCP不占用多少CPU，而且ARP欺骗攻击一般总是先攻击网关，我们就是要让他先攻击网关，因为网关这里有监控程序的，网关地址建议选择192.168.10.2 ，把192.168.10.1留空，如果犯罪程序愚蠢的话让他去攻击空地址吧)，另外所有客户机的IP地址及其相关主机信息，只能由网关这里取得，网关这里开通DHCP服务，但是要给每个网卡，绑定固定唯一IP地址。一定要保持网内的机器IP/MAC一一对应的关系。这样客户机虽然是DHCP取地址，但每次开机的IP地址都是一样的。

3.建立MAC数据库，把网吧内所有网卡的MAC地址记录下来，每个MAC和IP、地理位置统统装入数据库，以便及时查询备案。

4.网关机器关闭ARP动态刷新的过程，使用静态路邮，这样的话，即使犯罪嫌疑人使用ARP欺骗攻击网关的话，这样对网关也是没有用的，确保主机安全。

网关建立静态IP/MAC捆绑的方法是：建立/etc/ethers文件，其中包含正确的IP/MAC对应关系，格式如下：

192.168.2.32 08:00:4E:B0:24:47

然后再/etc/rc.d/rc.local最后添加：

arp -f 生效即可

5.网关监听网络安全。网关上面使用TCPDUMP程序截取每个ARP程序包，弄一个脚本分析软件分析这些ARP协议。ARP欺骗攻击的包一般有以下两个特点，满足之一可视为攻击包报警：第一以太网数据包头的源地址、目标地址和ARP数据包的协议地址不匹配。或者，ARP数据包的发送和目标地址不在自己网络网卡MAC数据库内，或者与自己网络MAC数据库 MAC/IP 不匹配。这些统统第一时间报警，查这些数据包（以太网数据包）的源地址(也有可能伪造)，就大致知道那台机器在发起攻击了。

6.偷偷摸摸的走到那台机器，看看使用人是否故意，还是被任放了什么木马程序陷害的。如果后者，不声不响的找个借口支开他，拔掉网线(不关机,特别要看看Win98里的计划任务)，看看机器的当前使用记录和运行情况，确定是否是在攻击。

7:IP与系统有冲突

TCP/IP协议设置自动获取ip即可

这几点都比较实用，可以运用到实战，所以把这个原版拿来借鉴一下，呵呵