找回密码
立即注册
搜索
热搜: Java Python Linux Go
云栈社区»论坛 技术文档「 Note & Doc 」 Kali Linux网络嗅探与欺骗实训指南:TcpDump、Wireshark与Etterc ...
发回帖 发新帖
小温柔

322

积分

0

好友

40

主题

Kali Linux网络嗅探与欺骗实训指南:TcpDump、Wireshark与Ettercap实战

发表于 6 天前 | 查看: 13| 回复: 0

网络数据的嗅探与欺骗是网络安全与渗透测试领域的核心实践技能。本指南基于Kali Linux系统,结合TcpDumpWiresharkEttercap三款核心工具,详解数据包捕获分析与ARP欺骗的实施流程,适用于授权实训环境下的学习与验证。

一、实验准备

1. 实验环境
  • 操作系统:Kali Linux(攻击者主机,IP示例:192.168.124.148
  • 目标设备:被欺骗主机(IP示例:192.168.124.150)、默认网关(IP示例:192.168.124.149
  • 网络要求:所有设备处于同一局域网,网络连通性正常。
2. 核心工具
工具 功能 适用场景
TcpDump 命令行数据包捕获 快速实时抓包、无GUI环境
Wireshark 可视化协议分析 深度数据包解析、离线分析
Ettercap 局域网欺骗攻击 ARP欺骗、中间人攻击

二、网络嗅探实验:数据包捕获与分析

网络嗅探的核心在于捕获并解析网络中的原始数据流,以提取关键信息。

1. TcpDump:命令行抓包实操

TcpDump是Kali内置的轻量级命令行工具,无需图形界面即可快速捕获数据。

  • 实时捕获(不存储)
    执行以下命令,默认监听所有网卡,实时输出数据包的源IP、目标IP、协议类型等信息:

    tcpdump

    若需指定网卡(如eth0)并显示详细信息,可使用:

    tcpdump -v -i eth0

    Ctrl+C 停止捕获。

  • 捕获并存储到文件
    将数据包保存为pcap格式,便于后续用Wireshark进行深度分析:

    tcpdump -w capture.pcap -i eth0

    其中,-w指定存储文件,capture.pcap为自定义文件名。

2. Wireshark:可视化协议分析

Wireshark是功能强大的图形化协议分析工具,支持数百种协议解析。

(1)启动Wireshark
  • 命令行启动
    sudo wireshark
  • 菜单启动:Kali菜单栏 → 09-Sniffing&SpoofingWireshark
(2)网卡配置与抓包
  1. 点击CaptureOptions,在Capture Interfaces中选择目标网卡(如eth0)。
  2. 点击Start开始捕获数据包,点击Stop即可停止。
(3)使用显示过滤器

Wireshark的显示过滤器能精准筛选目标数据包,提升分析效率。

过滤条件 功能
icmp 仅显示ICMP协议(ping相关)数据包
arp 仅显示ARP协议数据包
ip.src==192.168.124.148 仅显示指定源IP的数据包
tcp.srcport!=80 排除源端口为80(HTTP)的TCP数据包

三、网络欺骗实验:Ettercap实现ARP欺骗

ARP欺骗利用ARP协议的无状态特性,通过伪造ARP响应包篡改目标主机的ARP缓存,从而实现中间人攻击。这需要对网络协议原理有清晰的理解。

1. Ettercap启动与配置

Ettercap支持图形化和命令行模式,实训环境推荐使用图形化界面。

  • 启动工具
    • 命令行启动:ettercap -G
    • 菜单启动:Kali菜单栏 → 网络攻击Ettercap
  • 基础配置
    1. 取消勾选Bridged sniffing,选择中间人攻击模式。
    2. 选择监听网卡(如eth0),点击OK
    3. 点击HostsScan for hosts,扫描局域网内在线主机。
2. 目标选择与欺骗实施
  1. 添加目标
    扫描完成后,点击HostsHosts list,将网关IP添加为Target 1,将被欺骗主机IP添加为Target 2
  2. 启动ARP欺骗
    点击MitmARP poisoning,勾选Sniff remote connections,点击OK
    此时,Ettercap会持续发送伪造的ARP响应包,目标主机的ARP缓存表将被篡改,其网络流量将经由攻击者主机转发。
3. 结果验证与停止欺骗
  • 验证欺骗效果:在被欺骗主机上执行arp -a命令,查看网关对应的MAC地址是否已变为攻击者主机的MAC地址。
  • 停止欺骗
    1. 在Ettercap界面点击MitmStop ARP poisoning
    2. 在目标主机上执行arp -d 网关IP命令,清除错误的ARP缓存记录。

四、实验注意事项

  1. 合法边界:本实验内容仅适用于实训环境或获得明确授权的测试场景。未经授权的网络嗅探与欺骗属于违法行为。
  2. 网络环境:确保所有实验设备在同一局域网内。若目标主机开启了ARP防火墙,需先关闭,否则会拦截欺骗数据包。
  3. 数据还原:实验结束后务必停止ARP欺骗,并恢复目标主机的ARP缓存,以免影响正常的网络通信。



上一篇:SQLite命令行导出CSV全攻略:Linux下解决中文乱码与自定义分隔符
下一篇:nftables防火墙深度解析:从设计哲学、内核实现到实战配置
KaliLinux, TcpDump, Wireshark, Ettercap, ARP欺骗

相关帖子
返回列表
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

手机版|小黑屋|网站地图|云栈社区 ( 苏ICP备2022046150号-2 )

GMT+8, 2025-12-24 19:22 , Processed in 0.311519 second(s), 40 queries , Gzip On.

Powered by Discuz! X3.5

© 2025-2025 云栈社区.

快速回复 返回顶部 返回列表