ettercap的嗅探小实验

ettercap是Kali下的网络嗅探工具，可以监视局域网内的数据通信，更可以做中间人攻击。 近来由于Windows update频繁占用2Mb小水管的VPN带宽，不得不研究对策解决问题。要么是自己架双线双拨的路由，自己设置路由规则；要么就是找出Windows update的对方服务器，将其从VPN列表里踢出去。VPN供应商说，他们所用的思科设备无法通过域名的方式白名单，只能一个个加IP。怒骂WTF，也只好自己解决。 之前Dr. Z的电脑占用带宽自己重装后解决，现在Dr. F的电脑又出现了同样的问题。总不能让老板也重装电脑吧，可问题不出现在我的电脑，也不能给所有人电脑装wireshark等待抓包。于是思来想去，走点邪道，嗅探吧。 VNC状态下无法使用ettercap图形版，必须本地虚拟机

1. 打开ettercap，选择sniff - unified sniffing，选好网卡口。此处注意，网卡须处于桥接态，即直接接入局域网。

   
2. 

3. 这里只能看到广播的包，无法通过看到目标IP与路由器的直接通信，于是只能假扮路由，截获数据。通过Mitm - ARP poisoning，one-way或remote方式均可，开始ARP下毒，即将目标IP通往路由的数据包都转向自己的电脑。这个过程不宜过长，一是自己的电脑作为中转压力可能非常大，二是对方会明显感觉到网速变慢，三是为了抓个更新服务器的IP也没必要。

4. 在Connections中很快就能看到目标IP（本应）丢给路由的包的内容，即更新服务器的IP地址。

细想一下，接入公共WiFi，被ARP下毒，其实是件很简单但很可怕的事。