# **Ettercap封包竊聽** ## **ARP（Address Resolution Protocol）** ARP是一種用於將IP地址映射到MAC地址的一種通訊協定。當某一台電腦要傳送資料到某個 IP 位址時，會先傳送 ARP 封包詢問網路上哪台電腦的 MAC 位址對應到這個 IP 位址，當目的端的電腦接收到這個 ARP 封包之後，便會回應給來源電腦進行資料傳送。 ### **ARP污染** ARP污染是指攻擊者利用ARP協議的不安全性，對網絡進行操控，使其它設備將通信流量發送到攻擊者指定的錯誤MAC地址。攻擊者通常偽造ARP響應，向網絡中的其他設備發送虛假的ARP回答，將正確的MAC地址映射到惡意的IP地址，或者將多個IP地址映射到同一個MAC地址。 攻擊者成功進行ARP污染後，可以實現以下攻擊： 1. 中間人攻擊（Man-in-the-Middle，MitM）： 攻擊者截取通信流量，能夠讀取或修改通信數據。 2. 流量監聽： 攻擊者可以監聽通信流量，無需被檢測到。 3. 拒絕服務（Denial of Service，DoS）： 攻擊者可以將通信流量引導到無效的地址，導致設備無法正常通信。 4. 入侵擴散： 攻擊者可以更容易地入侵網絡，因為他們能夠控制通信流量。 ### **防範ARP污染** 為了防範ARP污染攻擊，可以考慮以下措施： 1. 靜態ARP表： 在網絡中配置靜態ARP表，使得每個IP地址與相應的MAC地址固定關聯，減少動態ARP請求的使用。 2. ARP監視和檢測： 使用ARP監視工具來檢測異常ARP活動，例如檢測到同一IP地址對應多個MAC地址的情況。 3. 防火牆和入侵檢測系統（IDS）： 使用防火牆來限制不必要的ARP流量，並設置入侵檢測系統以監控異常活動。 4. 加密通信： 使用加密通信協議，例如HTTPS，以防止中間人攻擊。 5. 定期檢查和更新： 定期檢查網絡設備的ARP表，並及時更新。 ## **Ettercap使用** 在kali中搜尋Ettercap，開啟時需輸入密碼，使用預設設定後在host中點選Scan host開始掃描，選擇Host list即可看到同一網段上的裝置。  選擇View->Connection即可看到各Host的連線狀態，點兩下即可查看連線封包內容。