簡介

安全測試工具可能含有攻擊性，請謹慎適用於安全教學及學習用途，禁止非法利用！

EvilFoca是Windows環境下基於.NET FrameWork的一款輕量級的劫持測試工具。與BackTrack和Kali_Linux下復雜的命令相比，EvilFoca更加小巧，輕便，簡單，但其效果更加顯著高效。

準備工作

Logo:

Logo有點賣萌……

官網：http://www.informatica64.com/evilfoca/
下載：http://www.informatica64.com/evilfoca/download.aspx （需要填寫郵箱，下載鏈接會發至郵箱），NET FrameWork必不可少
下載地址：http://www.microsoft.com/zh-cn/download/details.aspx?id=21

開始

根據官對Evil Foca（Alpha版本）的介紹

1.    在iPv4環境下，通過ARP欺騙和DHCP ACK註入進行中間人攻擊
2.    在iPv6環境下，通過鄰網欺騙，SLAAC攻擊，偽造DHCPv6進行中間人攻擊
3.    iPv4下，通過ARP欺騙進行Dos攻擊
4.    iPv6下，通過SLLAAC攻擊進行Dos
5.    DNS劫持

無疑在iPv6網絡環境下劫持是最大亮點。
因為網絡環境，我們只能在iPv4下進行演示了>_<。

將具體演示局域網內DNS劫持和cookie劫持。

這是新版EvilFoca的界面，窗口化帶來的是方便，簡潔，隨之而來的就是因為傻瓜式被噴。

通過菜單Configuration下interface 選擇連接類型，以太網或者wlan。

這時會自動掃描出局域網內所有的機器ip地址和網關，當然你也可以添加ip，這裏我們以10.18.43.209這臺機器作為受害者。

以10.18.43.209作為受害者，10.18.43.208作為攻擊者，10.18.43.254是網關，10.18.43.204為本地Dangerous Page。

在MITM iPv4目錄下分別填寫網關GateWay10.18.43.254和目標10.18.43.209，點擊start,確定ARPspoofing為活動狀態。

在DNS HiJacking菜單下，填寫索要劫持的域名baidu.com，和轉向的ip10.18.43.204既是Dangerous Page，Wildcard表示劫持所有域名。

此時受害者的機器百度頁面已經轉向 Dangerous Page，ping指向10.18.43.204。

同樣我們也可以只進行arp欺騙,通過wireshark進行抓包分析,劫持cookie。以上是劫持qq 數據。

DHCP ACK汙染，可以偽造DNS和網關，以本地作為整個局域網網關，需要開啟ip路由，點擊start，將會截獲整個局域網的包，整個局域網將在控制內。

至於Dos，只要選擇攻擊的ip即可，所以我們只能呵呵而過。

關於在iPv6下測試，作者在2013年Defcon大會上有所演示

視頻：https://www.youtube.com/watch?v=327mt5igHVQ

總結

EvilFoca雖然圖形化操作簡單方便，相比較Linux下命令式操作，更加適合於初學者，但我們並不局限於單純的使用，只有配合多種工具才能發揮其最大價值，比如說sslstrip，wireshark，hamster……..

而對於局域網內防禦來說，怎麽樣才能避免被劫持？謹慎連接不安全的局域網，對ssl證書多加留意，修改正確的hosts也可以避免。

Windows 平臺下局域網劫持測試工具 – EvilFoca