? ? 年前給兒子買了個(gè)天貓精靈，廣告說(shuō)這是智能音箱提供海量音樂(lè)！有很多音樂(lè)不假，但是為什么還附帶一堆的兒歌？每次回家想聽(tīng)音樂(lè)，兒子就會(huì)強(qiáng)行播放兒歌。遙想起：

When I was a boy，跟我媽搶遙控器，搶贏了，下圖你們熟悉嗎？搶輸了，陪著看TVB媽媽劇。

When I was a young man，跟老婆搶筆記本，搶贏了會(huì)吵架；搶輸了要陪著看掉智商的韓劇。

And now，跟兒子搶音箱，搶贏了，兒子會(huì)跟他爺爺打報(bào)告；搶輸了，忍受兒歌洗腦循環(huán)。哎，縱觀這些年，我怎么一直是弱勢(shì)群體？正當(dāng)我感嘆人生時(shí)發(fā)現(xiàn)，雖然天貓精靈號(hào)稱是智能音箱，沒(méi)網(wǎng)絡(luò)時(shí)還不如個(gè)收音機(jī)----徹底啞了！哼哼，作為全家的網(wǎng)管，我首先想到的是登上路由器把天貓精靈踢進(jìn)黑名單，世界不就安靜了？奈何家里用的是電信光貓，路由管理賬號(hào)忘了，方案1失敗！

? ? 雖然路由器上不去，家里其他設(shè)備都跟天貓精靈連在同一個(gè)無(wú)線網(wǎng)內(nèi)，能不能實(shí)施中間人欺騙？趁兒子睡覺(jué)，我試了一下，Arpspoof果然能對(duì)天貓精靈進(jìn)行斷網(wǎng)攻擊。（其實(shí)多數(shù)光貓為了節(jié)省成本，沒(méi)有任何安全措施，連基本的ARP欺騙防御都省了，插上網(wǎng)線就能跑。如果，光貓安置在一戶人家中，問(wèn)題不大；但是也有例外，但是，光貓安置在小區(qū)機(jī)房或者合租房?jī)?nèi)，這種情況風(fēng)險(xiǎn)很大。）很好么，不用登路由器也能掐斷兒子的網(wǎng)了。

? ? 故事結(jié)束了？并沒(méi)有！偶爾一天，我想看看天貓精靈聯(lián)網(wǎng)再干啥，別偷偷把我家有金礦的事傳出去了！于是我又開(kāi)啟ettercap和wireshark開(kāi)始抓包。192.168.0.176是天貓精靈的IP，雖然我沒(méi)法登陸路由，但是，用arpscan結(jié)合排除法還是確定了它的IP地址！

不出所料，天貓精靈忙著收發(fā)各種數(shù)據(jù)包。一般而言，這些設(shè)備會(huì)跟某臺(tái)服務(wù)器通信。那勢(shì)必會(huì)用域名解析協(xié)議來(lái)定位服務(wù)器IP，果然，wireshark里看到不少dns請(qǐng)求/應(yīng)答，其中有請(qǐng)求阿里云的IP地址：

嗯，天貓精靈是阿里旗下的產(chǎn)品，用到阿里云做服務(wù)器也挺正常。用這些DNS應(yīng)答中出現(xiàn)的aliyun作為關(guān)鍵字，在wireshark顯示過(guò)濾器中輸入，碰碰運(yùn)氣：

frame contains "aliyun"

我居然發(fā)現(xiàn)了大量的HTTP請(qǐng)求！請(qǐng)注意，是HTTP請(qǐng)求，不是HTTPS！沒(méi)有加密！再確認(rèn)一下aliyun服務(wù)器(IP:47.97.242.7)是不是真的發(fā)了很多HTTP請(qǐng)求：(注，此時(shí)我還沒(méi)有開(kāi)啟"TCP assembly subdissection"選項(xiàng))

天貓精靈接收了這么多HTTP應(yīng)答，難道他閑著沒(méi)事看網(wǎng)頁(yè)？太智能了吧！我啟用"TCP assembly subdissection"選項(xiàng)的同時(shí)，以HTTP作為顯示過(guò)濾器，看看天貓精靈在干啥：

嗯？請(qǐng)求MP3？原來(lái)你是在線播放器？我仔細(xì)觀察了一下，每次播放一首歌曲，天貓精靈會(huì)發(fā)出2-3個(gè)GET請(qǐng)求和2-3個(gè)POST請(qǐng)求，雖然請(qǐng)求中看不出他請(qǐng)求的MP3的名字(部分英文歌曲可以看到歌曲名和演唱者名)。再次改變顯示過(guò)濾器，可以將規(guī)律放到放大鏡下：

我讓天貓精靈播放了4-5首某女歌星的歌曲，得到上面的顯示結(jié)果。在"Pack detail"面板中點(diǎn)開(kāi)其中一項(xiàng)HTTP請(qǐng)求，可以看到天貓精靈下載音樂(lè)通過(guò)HTTP媒體協(xié)議。另外，天貓精靈下載完一首歌曲后會(huì)短暫的停止下載，所以，會(huì)暫時(shí)和aliyun斷開(kāi)鏈接，可以從TCP的RST包中看到這個(gè)現(xiàn)象。下圖是我選取其中一個(gè)HTTP響應(yīng)，右鍵-Follow TCP Stream得到的結(jié)果：

嗯，已經(jīng)收集了足夠的信息，現(xiàn)在可以讓天貓精靈閉嘴了，寫(xiě)個(gè)ettercap過(guò)濾器，過(guò)濾特定IP和端口：

//過(guò)濾器以普通文本形式保存即可，我的過(guò)濾器文件名為etter.filter if (ip.dst == '192.168.0.176' && ip.proto == TCP) {if (tcp.src == 80) { //過(guò)濾HTTP包msg("data stream detect.\n");drop(); //設(shè)置ettercap不轉(zhuǎn)發(fā)這個(gè)包kill(); //同時(shí)切斷鏈接msg("disconnection"); //日志} }

編譯過(guò)濾器:

etterfilter etter.filter -o etter.ef

最后通過(guò)命令:應(yīng)用該過(guò)濾器

ettercap -Tq -i wlan0 -M arp:remote /192.168.0.176// /192.168.0.1// -F etter.ef #-F參數(shù)指定過(guò)濾器的路徑

應(yīng)用過(guò)濾器后，在跟天貓精靈語(yǔ)言，雖然它還能回答，但是已經(jīng)無(wú)法播放音樂(lè)（畢竟下載音樂(lè)是以HTTP協(xié)議作為載體，而載體已經(jīng)被砍斷），同時(shí)，可以看到ettercap有大量的攔截輸出，而我們的wireshark卻一片祥和：

?

總結(jié)

以上是生活随笔為你收集整理的Ettercap系列IV:闭嘴吧天猫精灵----ettercap过滤器的应用 [Ettercap系列完结撒花]的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。