Ettercap 詳細參數

Ettercap最初設計爲交換網上的sniffer，可是隨着發展，它得到了愈來愈多的功能，成爲一款有效的、靈活的中介攻擊工具。它支持主動及被動的協議解析幷包含了許多網絡和主機特性（如OS指紋等）分析。

Ettercap有5種sniffing工做方式：

1. IPBASED
   • 在基於IP地址的sniffing方式下，Ettercap將根據源IP-PORT和目的IP-PORT來捕獲數據包。
2. MACBASED
   • 在基於MAC地址的方式下，Ettercap將根據源MAC和目的MAC來捕獲數據包（在捕獲經過網關的數據包時，這種方式頗有用）
3. ARPBASED
   • 在基於ARP欺騙的方式下，Ettercap利用ARP欺騙在交換局域網內監聽兩個主機之間的通訊（全雙工）。
4. SMARTARP
   • 在SMARTARP方式下，Ettercap利用ARP欺騙，監聽交換網上某臺主機與全部已知的其餘主機（存在於主機表中的主機）之間的通訊（全雙工）。
5. PUBLICARP
   • 在PUBLICARP 方式下，Ettercap利用ARP欺騙，監聽交換網上某臺主機與全部其它主機之間的通訊（半雙工）。此方式以廣播方式發送ARP響應，可是若是 Ettercap已經擁有了完整的主機地址表（或在Ettercap啓動時已經對LAN上的主機進行了掃描），Ettercap會自動選取 SMARTARP方式，並且ARP響應會發送給被監聽主機以外的全部主機，以免在Win2K上出現IP地址衝突的消息。

Ettercap中最經常使用的一些功能包括：

1. 在已有鏈接中注入數據：你能夠在維持原有鏈接不變的基礎上向服務器或客戶端注入數據，以達到模擬命令或響應的目的。
2. SSH1支持：你能夠捕獲SSH1鏈接上的User和PASS信息，甚至其餘數據。Ettercap是第一個在全雙工的條件下監聽SSH鏈接的軟件。
3. HTTPS支持：你能夠監聽http SSL鏈接上加密數據，甚至經過PROXY的鏈接。
4. 監聽經過GRE通道的遠程通訊：你能夠經過監聽來自遠程cisco路由器的GRE通道的數據流，並對它進行中間人攻擊。
5. Plug-in支持：你能夠經過Ettercap的API建立本身的Plug-in。
6. 口令收集：你能夠收集如下協議的口令信息，TELNET、FTP、POP、RLOGIN、SSH一、ICQ、SMB、MySQL、HTTP、 NNTP、 X十一、NAPSTER、IRC、RIP、BGP、SOCK五、IMAP四、VNC、LDAP、NFS、SNMP、HALFLIFE、QUAKE三、 MSNYMSG（不久還會有新的協議得到支持）。
7. 數據包過濾和丟棄：你能夠創建一個查找特定字符串（甚至包括十六近制數）的過濾鏈，根據這個過濾鏈對TCP/UDP數據包進行過濾並用本身的數據替換這些數據包，或丟棄整個數據包。
8. 被動的OS指紋提取：你能夠被動地（沒必要主動發送數據包）獲取局域網上計算機系統的詳細信息，包括操做系統版本、運行的服務、打開的端口、IP地址、MAC地址和網卡的生產廠家等信息。
9. OS指紋：你能夠提取被控主機的OS指紋以及它的網卡信息（利用Nmap Fyodor數據庫）。
10. 殺死一個鏈接：殺死當前鏈接表中的鏈接，甚至全部鏈接。
11. 數據包生產：你能夠建立和發送僞造的數據包。容許你僞造從以太報頭到應用層的全部信息。
12. 把捕獲的數據流綁定到一個本地端口：你能夠經過一個客戶端軟件鏈接到該端口上，進行進一步的協議解碼或向其中注入數據（僅適用於基於 ARP的方式）。

Ettercap的優勢在於：

1. 它不須要libpcap、libnet等經常使用庫的支持。
2. 基於ARP欺騙的sniffing不須要把執行ettercap的主機的網卡設置爲全收方式。
3. 支持後臺執行。
4. 是否是很酷呀？！

Ettercap的選項說明：

監聽方式：

• -a,–arpsniff
• 基於ARP的sniffing。
  指定監聽交換網的方式，若是你想要採用中間人技術進行攻擊，必須選用這個選項。若是這個參數與靜音方式（-z選項）連用，你必須爲ARPBASED方式指 定兩對IP-MAC地址（全雙工），或者爲PUBLICARP方式指定一個IP-MAC地址（半雙工）。在PUBLICARP方式下，ARP響應是以廣播 方式發送的，可是，若是Ettercap擁有了完整的主機表（在啓動時對局域網進行了掃描），Etercap會自動選擇SMARTARP方式，ARP響應 會發送給處被控主機之外的全部主機，並創建一個哈希表，以便之後在全雙工條件下的中間人攻擊中能夠將數據包從監聽主機發送給以這種方式截獲的客戶。
  註釋：若是你採用 SMARTARP方式的ARP欺騙，要在配置文件中設置網關的IP地址（GWIP選項），並經過-e選項加載這個文件。不然這個客戶將沒法鏈接到遠程主 機。須要進行包替換或包丟棄的數據包過濾功能僅僅能夠在ARPBASED方式下使用，由於爲了保持鏈接必須調整數據包的TCP序列號。
• -s,–sniff
  基於IP的監聽。
  這是最先的監聽方式。它適用與HUB環境，可是在交換網下就沒有做用了。你能夠僅僅指定源或目的IP地址，能夠指定也能夠不指定端口，或者乾脆什麼也不指定，這樣意味着監聽網上的全部主機。能夠用「ANY」來表示IP地址，它的意思是來自或去往每個主機。
• -m,-macsniff
  基於MAC的監聽
  適用於監聽遠程的TCP通訊。在HUB環境下，若是你想要監聽經過網關的鏈接，僅僅指定欲監視主機的IP和網關的IP是不行的，由於數據包是從外部主機發 送的，而不是從網關發送的，因此你不能採起指定IP地址的方法。爲了達到監視內外通訊的目的，你只要指定被監視主機的MAC地址和網關的MAC地址，這樣 就能夠監視被監聽主機的全部Internet通訊。
• 脫機sniffing：-T,–readpcapfile
  脫機sniffing。
  若是使能了這個參數，Ettercap將監聽一個pcap兼容文件中存儲的網絡數據包，而不是直接監聽網絡上的數據包。若是你有tcpdump或etereal轉儲的數據文件，並想對這些文件進行分析的時候，這個選項很是合適。
• -Y,–writepcapfile
  把數據包轉儲到一個pcap格式的文件中。
  若是你必需要在一個交換的局域網上使用主動sniffing（經過ARP欺騙）方式監聽，可是又但願利用tcpdump或etereal對截獲的數據包進 行分析，能夠選用這個選項。你能夠利用這個選項把監聽到的數據包轉儲在一個文件中，而後加載到適當的應用程序中進行分析。
• 通用選項 -N,–simple
  非交互方式。
  若是你但願從一個腳本提交Ettercap，或者你已經瞭解一些目標信息，或者你想要在後臺提交Ettercap，讓它收集數據或口令信息（與 -quite 選項連用）的時候，能夠採用這個選項。在這種工做方式下，Ettercap的某些功能沒法實現，如字符注入等須要交互式處理的功能。但其餘功能仍獲得全面 支持，如過濾功能。因此可讓Ettercap對兩個主機進行ARP欺騙（一臺被監視主機和它的網關），並過濾它的全部在80端口的鏈接，並用一些字符串 進行替換，那麼它到Internet的全部通訊都會按照你的要求而改變。
• -z,–silent
  以靜音方式啓動（在啓動時沒有ARP風暴）。
  若是你但願以非攻擊方式啓動Ettercap（某些NIDS檢測到過多的ARP請求時會產生報警信息）。若要選用這個選項，你必須瞭解有關目標系統的全部 必要的信息。例如，若是你要求欺騙兩臺主機，你須要知道這兩臺主機的IP地址和MAC地址。若是你選擇了IP監聽或MAC監聽，會自動選擇這個選項，由於 你不須要知道局域網上的主機列表。若是你想要了解所有主機信息，使用「ettercao -Nl」選項，須要注意的是，這是帶有攻擊性的方式。
• -O,–passive
  以被動方式收集信息。
  這種方式不會向網上發送任何數據包，它會將網卡置於全收方式，並查看流經的數據包。它將分析每個需關注的數據包（SYN和SYN + ACK），並利用這些信息創建完整的局域網主機映射圖。所收集的信息包括：主機的IP和MAC地址、網卡生產廠家、操做系統類型（被動OS指紋）和運行的 服務等。在這個列表中還會包含其餘一些信息，如：「GW」，若是該主機是一個網關的話，「NL」，若是這個IP不屬於本網段，以及「RT」，若是該主機發 揮了路由器的功能。若是你須要經過被動方式創建一個完整的主機列表的時候，能夠選擇這個選項。當你對所收集的信息感到滿意的時候，能夠經過按下「C」鍵， 把收集的信息轉換爲主機列表，而後按照一般的方式工做。在下一節中將解釋在sample方式下，本選項的做用。
• -b,–broadping
  在啓動時利用廣播ping，而不是ARP風暴來得到網絡主機信息。
  這種方法的可靠性差，準確性也低。有些主機不會響應廣播ping（如windows），所在這種方式下，這些主機是不可見的。若是你想要掃描局域網上的 Linux主機，這個選項是很是有用的。一般你能夠把這個選項–list選項連用以便得到主機列表「ettercap -Nlb」
• -D,–delay
  若是你選擇了ARP欺騙方式，能夠利用這個選項來控制ARP響應之間的延遲秒數。若是你但願這種欺騙數據流不要過於集中，這個選項是頗有幫助的。在大多數OS中，缺省的arp緩存有效時間間隔超過一分鐘（在FreeBSD系統中爲1200秒）。缺省的延遲爲30秒。
• -Z,–stormdelay
  指定在arp風暴開始後arp請求之間的延遲微秒數。若是你但願掃描不要過於集中可使用這個選項。許多IDS 對於過於大量的arp請求會產生報警信息，可是若是你用低一些的速率發送arp數據包，IDS將不會報告任何異常事件。缺省的延遲時間爲1500微秒。
• -S,–spoof
  若是你想欺騙IDS，能夠利用一個僞造的IP來進行局域網arp掃描。可是咱們不能僞造源MAC地址，由於良好配置的交換機會阻斷你的請求包。
• -H,–hosts
  指定在啓動是僅掃描這些主機。
  若是你但願僅對某些IP進行arp掃描的時候，能夠選用這個選項。這樣，你既能夠從arp掃描中得到好處，又能夠儘可能保持低攻擊性。甚至在你但願採用 PUBLIC ARP方式，但又想僅僅欺騙某幾個主機的時候，這個選項也是頗有用的。因爲在擁有主機列表的狀況下PUBLIC ARP方式會自動轉換爲SMARTARP方式，只有這些主機被欺騙，能夠保持其餘主機的arp緩存不受影響。IP地址表的表示法爲：點分製表示的IP地 址，地址之間用分號分隔（在它們之間沒有空格），還能夠用中橫線表示一個IP地址範圍或一個IP地址表（使用逗號）。
  例：

192.168.0.2-25 ：從2到25
192.168.0.1,3,5 ：主機一、3和5。
192.168.0.-3.1-10;192.168.4,5,7 ：將要在子網192.168.0，192.168.1，192.168.2，192.168.3中掃描主機1到10，以及在子網192.168.4中掃描主機5和7。

• -d,–dontresolve
  在啓動時不解決IP。
  若是你在啓動程序時遭遇瘋狂的「Resolving n hostnames…」消息時，這個選項會有所幫助。這種狀況是因爲你的網絡中的DNS很是慢而形成的。
• -I,–iface
  用於全部操做所針對的網絡接口。
  你甚至能夠指定一個網絡別名，以便掃描與你的當前IP不一樣的子網。
• -n,–netmask
  用於掃描局域網絡的網絡掩碼（以點分製表示）。
  缺省的網絡掩碼爲當前ifconfig中定義的掩碼。可是，若是你的掩碼爲，好比255.255.0.0，那麼若是你要在啓動時進行arp掃描的話，鼓勵你另外指定一個限制更強的掩碼。
• -e,–etterconf
  使用配置文件，而不是命令行參數。
  在軟件的tar包中有一個etter.conf文件，其中包含一些配置範例，參考這些範例來了解如何編寫配置文件，在這些例子中給出了全部的指導信息。通 過配置文件，你能夠選擇性地禁止某個協議分析或把它轉移到另外一個端口。命令行選項和配置文件能夠很是靈活地混合使用，須要記住的是配置文件中的選項壓倒命 令行選項，因此，若是在etter.conf指定了IFACE:eth0，而且你在啓動程序的時候指定了「ettercap -i eth1 -e etter.conf」，那麼最終的選擇結果是eth0。
  注意：「-e etter.conf」選項必須在全部選項的後面出現，也就是說它必須是最後一個選項。
• -g,–linktype
  這個標誌有兩個補充功能，所以要注意它。
  若是這個標誌用於交互式方式，它不檢查局域網的類型。另外一方面，若是與命令行方式(-N)連用，它要對局域網進行檢查，以瞭解它是不是一個交換網。有時，若是在局域網內只有兩臺主機，這種發現方法有可能失敗。
• -j,–loadhosts
  用於從指定的文件中加載主機表，該文件是經過-k選項建立的。
• -k,–savehosts
  把主機列表保存到文件中。
  當目標網絡中有不少主機，而且你不但願在每一次啓動的時候都作一次arp風暴的時候，這個選項是頗有幫助的。你只要指定這個選項，並把列表轉儲到一個文件 中。而後加載這個利用-j選項從文件中加載這些信息。文件名的形式爲：「netaddress_neymask.etl」
• -v,–version
  檢查最新的ettercap版本。
  全部的操做都在你的控制之下。每個步驟都須要用戶確認。利用這個選項ettercap將鏈接到 http://ettercap.sourceforge.net:80 web站點，並請求/latest.php，而後分析查詢結果並與你的當前版本進行比較。若是有一個更新的版本可用，ettercap將詢問你是否要須要 wget（必須在路徑中）。若是你想要對全部的問題自動回答yes，增長選項-y。
• -h,–help
  在屏幕上顯示幫助信息，對每個選項都有一個簡短的描述。
  靜音方式選項（僅能夠和-N選項連用）
• -t,-proto
  僅監聽協議PROTO的數據包（缺省爲TCP+UDP）。
  這個選項僅在simple方式下有用，若是你以交互式方式啓動ettercap，TCP和UDP數據包都將被監聽。PROTO能夠是tcp或udp或all。
• -J,–onlypoison
  這個選項使ettercap不監放任何數據流，但僅僅對目標進行欺騙。若是你須要利用ettercap進行欺騙，而用其餘的軟件tcpdump或ethereal進行監聽時，能夠利用這個選項（注意在這種方式下要使能IP_forwarding）。
  另一種用法是多目標監聽。正如你所瞭解的，你能夠利用ettercap監聽兩個目標之間的鏈接信息（ARPBASED）,或某一個目標的進出信息 （SMART ARP）。利用這個選項，你能夠同時監聽若干目標（由於同時啓動了多個程序）。啓動第一個程序時選用SMART ARP，並用-H選項限制smart功能僅針對你想要欺騙的主機進行（記住若是在欺騙中涉及了網關，必須在以smart方式運行的實例中指定它）。而後在 啓動其餘的「ettercap -J」。
• -R,–reverse
  監聽除選擇的鏈接之外的全部鏈接。若是你在一個遠程主機上使用ettercap，而且要求監聽除了你本身的從本地到遠程的鏈接之外的全部其餘鏈接時，能夠選擇這個選項。由於若是包含了這樣的鏈接將會使ettercap監聽本身的輸出，並不斷迭加上去。
• -O,passive
  以被動的方式收集信息。在simple方式下，咱們能夠在許多方式中選擇這個選項。「ettercap -NO」將以半交互的方式啓動ettercap，輸入「h」來得到幫助信息。你能夠查看收集的信息，也能夠把它們記錄到日誌文件中，或簡單地瀏覽分析的數 據包。「ettercap -NOL」與上面的方式相相似，不過它會自動地把數據記錄到文件中，記錄的時間間隔是5分鐘。「ettercap -NOLq」使ettercap每5分鐘把日誌寫到文件中。你能夠走開，抽支香菸，返回時就會有一個有關局域網的完整報告在等待着你…J
• -p,–plugin
  運行外部插件「NAME」
  大多數插件須要一個目標主機，這隻要在插件的名字後面指定目標主機就能夠了。事實上，命令行上的主機解析中，第一個主機爲DEST，SOURCE也一樣。 爲了得到可用的外部插件列表，使用「list」(不包括引號)做爲插件的名字。因爲ettercap 0.6.2提供了鉤子插件系統，因此一些插件並非做爲獨立的程序運行，它們能夠和ettercap交互，能夠經過接口或配置文件使能或禁止。有關插件的 詳細信息以及如何編寫本身的插件，能夠在README.PLUGING文件中找到。
• -l,–list
  列出局域網中的全部主機，報告每個MAC地址。
  一般與-b(ping廣播)選項和-d（不解決主機名）選項連用。
• -C,–collect
  收集在命令行上指定的那些主機的全部用戶和口令信息。
  在配置文件（etter.conf）中配置口令收集器，若是須要的話，能夠有選擇性地禁止它們，或者把它們轉移到另外一個端口。若是你不但願收集SSH鏈接 信息，但收集其餘全部協議的數據的時候，這個選項頗有用。若是你已知某一臺主機在端口4567上提供telnet服務，只要把telnet解碼移動到 4567/tcp就能夠了。
• -f,–fingerprint
  對主機進行OS指紋收集。
  這個選項利用與nmap所使用的相同的方法和數據庫：Fyodor fyodor@insecure.org，因此引用一段其man手冊頁中的一段：
  這個選項經過TCP/IP指紋來標識遠程主機。換句話說，它經過一套技術來檢測被掃描主機的網絡協議棧的特徵。它利用這些信息創建一個指紋，這個指紋將同已知OS指紋庫相比較，從而肯定所掃描主機的系統類型。
  -f選項甚至能夠向你提供被掃描主機所用的網絡適配器的生產廠家。這些信息被存放在mac-fingerprints數據庫中。
• -x,–hexview
  以十六進制數方式轉儲數據。
  提示：在監聽的時候，能夠改變顯示效果，只要按」x」或」h」鍵就能夠實現按16進制數顯示或按Ascii字符顯示。
• -L,–logtofile
  若是這個參數單獨使用的話，會把全部的數據保存到特定的文件中。它會爲每個鏈接創建一個單獨的文件，在UNIX系統下文件名爲YYYYMMDD-P-IP:PORT-IP:PORT.log，
  在Windows環境下的文件名爲P-IP[PORT]-IP[PORT].log。若是與C參數連用，它會建立一個名爲YYYYMMDD-collected-pass.log文件，其中記錄了全部監聽到的口令信息。
• -q,–quiet
  魔鬼化ettercap。
  若是你但願之後臺工做方式記錄全部的數據，可使用這個選項。這個選項將使ettercap脫離當前的tty，並把它設置爲一個daemon。這個選項必 須與-NL(或-NCL)選項聯合使用，不然的話沒有任何做用。顯然，還須要指定一種監聽方式，所以這個選項還要和一個表示監聽方式的選項相配合。
• -w,–newcert
  爲HTTPS中介攻擊方式建立一個新的cert文件。
  若是你想要利用社會工程方式得到的信息建立一個cert文件，可使用這個選項。新建立的文件保存在當前工做目錄下。爲了長期替換缺省的cert文件（etter.ssl.crt），必須改寫/usr.local/share/etter.ssl.crt。
• -F,–filter
  從文件FILENAME中加載過濾鏈。
  過濾鏈文件是用僞XML格式編寫的。你能夠經過手工改寫文件或經過ettercap的用戶界面來讓ettercap建立這個文件（在鏈接表界面中按’F’鍵）。若是你很熟悉XML語言分析，能夠寫本身的程序來創建過濾鏈文件。

過濾規則很簡單：

• 若是 協議 源端口 目的端口 數據流 與規則匹配，在過濾器完成了它的響應 以後，跳轉到在 域中定義的過濾器id，不然它跳轉到。若是這些域是空的，鏈就中斷了。若是源端口和目的端口爲0，意味着任意端口。在查找串中可一使用通配符（細節見 README）。

• 注意：這個選項使能了過濾器，若是須要禁止它，在監聽過程當中按「S」（源）或「D」（目的）。

• 注意：在命令行上，對主機的解析爲：ettercap –F etter.filter DEST SOURCE。因此第一個主機被綁定到目的鏈，第二個主機被綁定到源鏈。

• 重要注意事項：源鏈規則應用到從源發出的數據上，而不是發送到源的數據上，千萬牢記！！！對於目的地址也是一樣。

• -c,–check
  檢查你是否被局域網上特定目標中的其餘欺騙者所欺騙。
  對命令行上的目標主機的解析是反向的。第一個主機是DEST，第二個主機是SOURCE。若是你在基於IP的方式下監聽，這個順序沒有關係，由於源和目的都被忽略了。可是若是你在對鏈接進行過濾，這個順序對於綁定到相關的過濾鏈就很重要了。
  這個反向的順序是因爲與插件的更加靈活接口。由於有些插件須要指定目標主機，那麼ettercap –Np ooze victim這種形式要比ettercap –Np ooze NOONE victim簡單一些。
  能夠用點分制的格式來輸入目標（192.168.0.1）或者以域名的格式來輸入目標（victim.mynet.org）。只有在-H選項中可使用通配符。

交互模式

若是啓動ettercap的時候沒有指定-N選項，那麼就自動選取了交互模式。若是在某些狀況下不知到能夠作什麼，只要鍵入‘H’就能夠彈出幫助畫面。在那裏能夠看到可執行命令的消息列表。

脫機工做

若是你想要分析由tcpdump或ethereal保存的libpcap格式文件，可使用Script插件。能夠用它來重構鏈接列表，進行口令收 集工做或被動OS指紋收集。要實現這些只要指定-T選項，而後以與收集網絡數據一樣的方式使用ettercap。爲了保存tcpdump文件以便進行進一 步的分析，使用-Y選項。
遊客，若是您要查看本帖隱藏內容請回復

Platform:

Linux 2.0.x
Linux 2.2.x
Linux 2.4.x
Linux 2.6.x FreeBSD 4.x 5.x
OpenBSD 2.[789] 3.x
NetBSD 1.5 Mac OS X (darwin 6.x 7.x)
Windows 2000/XP/2003
Solaris 2.x

Required Libraries:

libpcap >= 0.8.1
libnet >= 1.1.2.1
libpthread
zlib