Ettercap 详细参数

时间 2019-11-09

标签 ettercap 详细参数繁體版

原文原文链接

Ettercap最初设计为交换网上的sniffer，可是随着发展，它得到了愈来愈多的功能，成为一款有效的、灵活的中介攻击工具。它支持主动及被动的协议解析并包含了许多网络和主机特性（如OS指纹等）分析。php

Ettercap有5种sniffing工做方式：

IPBASED
- 在基于IP地址的sniffing方式下，Ettercap将根据源IP-PORT和目的IP-PORT来捕获数据包。
MACBASED
- 在基于MAC地址的方式下，Ettercap将根据源MAC和目的MAC来捕获数据包（在捕获经过网关的数据包时，这种方式颇有用）
ARPBASED
- 在基于ARP欺骗的方式下，Ettercap利用ARP欺骗在交换局域网内监听两个主机之间的通讯（全双工）。
SMARTARP
- 在SMARTARP方式下，Ettercap利用ARP欺骗，监听交换网上某台主机与全部已知的其余主机（存在于主机表中的主机）之间的通讯（全双工）。
PUBLICARP
- 在PUBLICARP 方式下，Ettercap利用ARP欺骗，监听交换网上某台主机与全部其它主机之间的通讯（半双工）。此方式以广播方式发送ARP响应，可是若是 Ettercap已经拥有了完整的主机地址表（或在Ettercap启动时已经对LAN上的主机进行了扫描），Ettercap会自动选取 SMARTARP方式，并且ARP响应会发送给被监听主机以外的全部主机，以免在Win2K上出现IP地址冲突的消息。

Ettercap中最经常使用的一些功能包括：

在已有链接中注入数据：你能够在维持原有链接不变的基础上向服务器或客户端注入数据，以达到模拟命令或响应的目的。
SSH1支持：你能够捕获SSH1链接上的User和PASS信息，甚至其余数据。Ettercap是第一个在全双工的条件下监听SSH链接的软件。
HTTPS支持：你能够监听http SSL链接上加密数据，甚至经过PROXY的链接。
监听经过GRE通道的远程通讯：你能够经过监听来自远程cisco路由器的GRE通道的数据流，并对它进行中间人攻击。
Plug-in支持：你能够经过Ettercap的API建立本身的Plug-in。
口令收集：你能够收集如下协议的口令信息，TELNET、FTP、POP、RLOGIN、SSH一、ICQ、SMB、MySQL、HTTP、 NNTP、 X十一、NAPSTER、IRC、RIP、BGP、SOCK五、IMAP四、VNC、LDAP、NFS、SNMP、HALFLIFE、QUAKE三、 MSNYMSG（不久还会有新的协议得到支持）。
数据包过滤和丢弃：你能够创建一个查找特定字符串（甚至包括十六近制数）的过滤链，根据这个过滤链对TCP/UDP数据包进行过滤并用本身的数据替换这些数据包，或丢弃整个数据包。
被动的OS指纹提取：你能够被动地（没必要主动发送数据包）获取局域网上计算机系统的详细信息，包括操做系统版本、运行的服务、打开的端口、IP地址、MAC地址和网卡的生产厂家等信息。
OS指纹：你能够提取被控主机的OS指纹以及它的网卡信息（利用Nmap Fyodor数据库）。
杀死一个链接：杀死当前链接表中的链接，甚至全部链接。
数据包生产：你能够建立和发送伪造的数据包。容许你伪造从以太报头到应用层的全部信息。
把捕获的数据流绑定到一个本地端口：你能够经过一个客户端软件链接到该端口上，进行进一步的协议解码或向其中注入数据（仅适用于基于 ARP的方式）。

Ettercap的优势在于：

它不须要libpcap、libnet等经常使用库的支持。
基于ARP欺骗的sniffing不须要把执行ettercap的主机的网卡设置为全收方式。
支持后台执行。
是否是很酷呀？！

Ettercap的选项说明：

监听方式：

-a,–arpsniff
基于ARP的sniffing。
指定监听交换网的方式，若是你想要采用中间人技术进行攻击，必须选用这个选项。若是这个参数与静音方式（-z选项）连用，你必须为ARPBASED方式指定两对IP-MAC地址（全双工），或者为PUBLICARP方式指定一个IP-MAC地址（半双工）。在PUBLICARP方式下，ARP响应是以广播方式发送的，可是，若是Ettercap拥有了完整的主机表（在启动时对局域网进行了扫描），Etercap会自动选择SMARTARP方式，ARP响应会发送给处被控主机之外的全部主机，并创建一个哈希表，以便之后在全双工条件下的中间人攻击中能够将数据包从监听主机发送给以这种方式截获的客户。
注释：若是你采用 SMARTARP方式的ARP欺骗，要在配置文件中设置网关的IP地址（GWIP选项），并经过-e选项加载这个文件。不然这个客户将没法链接到远程主机。须要进行包替换或包丢弃的数据包过滤功能仅仅能够在ARPBASED方式下使用，由于为了保持链接必须调整数据包的TCP序列号。
-s,–sniff
基于IP的监听。
这是最先的监听方式。它适用与HUB环境，可是在交换网下就没有做用了。你能够仅仅指定源或目的IP地址，能够指定也能够不指定端口，或者干脆什么也不指定，这样意味着监听网上的全部主机。能够用“ANY”来表示IP地址，它的意思是来自或去往每个主机。
-m,-macsniff
基于MAC的监听
适用于监听远程的TCP通讯。在HUB环境下，若是你想要监听经过网关的链接，仅仅指定欲监视主机的IP和网关的IP是不行的，由于数据包是从外部主机发送的，而不是从网关发送的，因此你不能采起指定IP地址的方法。为了达到监视内外通讯的目的，你只要指定被监视主机的MAC地址和网关的MAC地址，这样就能够监视被监听主机的全部Internet通讯。
脱机sniffing：-T,–readpcapfile
脱机sniffing。
若是使能了这个参数，Ettercap将监听一个pcap兼容文件中存储的网络数据包，而不是直接监听网络上的数据包。若是你有tcpdump或etereal转储的数据文件，并想对这些文件进行分析的时候，这个选项很是合适。
-Y,–writepcapfile
把数据包转储到一个pcap格式的文件中。
若是你必需要在一个交换的局域网上使用主动sniffing（经过ARP欺骗）方式监听，可是又但愿利用tcpdump或etereal对截获的数据包进行分析，能够选用这个选项。你能够利用这个选项把监听到的数据包转储在一个文件中，而后加载到适当的应用程序中进行分析。
通用选项 -N,–simple
非交互方式。
若是你但愿从一个脚本提交Ettercap，或者你已经了解一些目标信息，或者你想要在后台提交Ettercap，让它收集数据或口令信息（与 -quite 选项连用）的时候，能够采用这个选项。在这种工做方式下，Ettercap的某些功能没法实现，如字符注入等须要交互式处理的功能。但其余功能仍获得全面支持，如过滤功能。因此可让Ettercap对两个主机进行ARP欺骗（一台被监视主机和它的网关），并过滤它的全部在80端口的链接，并用一些字符串进行替换，那么它到Internet的全部通讯都会按照你的要求而改变。
-z,–silent
以静音方式启动（在启动时没有ARP风暴）。
若是你但愿以非攻击方式启动Ettercap（某些NIDS检测到过多的ARP请求时会产生报警信息）。若要选用这个选项，你必须了解有关目标系统的全部必要的信息。例如，若是你要求欺骗两台主机，你须要知道这两台主机的IP地址和MAC地址。若是你选择了IP监听或MAC监听，会自动选择这个选项，由于你不须要知道局域网上的主机列表。若是你想要了解所有主机信息，使用“ettercao -Nl”选项，须要注意的是，这是带有攻击性的方式。
-O,–passive
以被动方式收集信息。
这种方式不会向网上发送任何数据包，它会将网卡置于全收方式，并查看流经的数据包。它将分析每个需关注的数据包（SYN和SYN + ACK），并利用这些信息创建完整的局域网主机映射图。所收集的信息包括：主机的IP和MAC地址、网卡生产厂家、操做系统类型（被动OS指纹）和运行的服务等。在这个列表中还会包含其余一些信息，如：“GW”，若是该主机是一个网关的话，“NL”，若是这个IP不属于本网段，以及“RT”，若是该主机发挥了路由器的功能。若是你须要经过被动方式创建一个完整的主机列表的时候，能够选择这个选项。当你对所收集的信息感到满意的时候，能够经过按下“C”键，把收集的信息转换为主机列表，而后按照一般的方式工做。在下一节中将解释在sample方式下，本选项的做用。
-b,–broadping
在启动时利用广播ping，而不是ARP风暴来得到网络主机信息。
这种方法的可靠性差，准确性也低。有些主机不会响应广播ping（如windows），所在这种方式下，这些主机是不可见的。若是你想要扫描局域网上的 Linux主机，这个选项是很是有用的。一般你能够把这个选项–list选项连用以便得到主机列表“ettercap -Nlb”
-D,–delay
若是你选择了ARP欺骗方式，能够利用这个选项来控制ARP响应之间的延迟秒数。若是你但愿这种欺骗数据流不要过于集中，这个选项是颇有帮助的。在大多数OS中，缺省的arp缓存有效时间间隔超过一分钟（在FreeBSD系统中为1200秒）。缺省的延迟为30秒。
-Z,–stormdelay
指定在arp风暴开始后arp请求之间的延迟微秒数。若是你但愿扫描不要过于集中可使用这个选项。许多IDS 对于过于大量的arp请求会产生报警信息，可是若是你用低一些的速率发送arp数据包，IDS将不会报告任何异常事件。缺省的延迟时间为1500微秒。
-S,–spoof
若是你想欺骗IDS，能够利用一个伪造的IP来进行局域网arp扫描。可是咱们不能伪造源MAC地址，由于良好配置的交换机会阻断你的请求包。
-H,–hosts
指定在启动是仅扫描这些主机。
若是你但愿仅对某些IP进行arp扫描的时候，能够选用这个选项。这样，你既能够从arp扫描中得到好处，又能够尽可能保持低攻击性。甚至在你但愿采用 PUBLIC ARP方式，但又想仅仅欺骗某几个主机的时候，这个选项也是颇有用的。因为在拥有主机列表的状况下PUBLIC ARP方式会自动转换为SMARTARP方式，只有这些主机被欺骗，能够保持其余主机的arp缓存不受影响。IP地址表的表示法为：点分制表示的IP地址，地址之间用分号分隔（在它们之间没有空格），还能够用中横线表示一个IP地址范围或一个IP地址表（使用逗号）。
例：

192.168.0.2-25 ：从2到25
192.168.0.1,3,5 ：主机一、3和5。
192.168.0.-3.1-10;192.168.4,5,7 ：将要在子网192.168.0，192.168.1，192.168.2，192.168.3中扫描主机1到10，以及在子网192.168.4中扫描主机5和7。

-d,–dontresolve
在启动时不解决IP。
若是你在启动程序时遭遇疯狂的“Resolving n hostnames…”消息时，这个选项会有所帮助。这种状况是因为你的网络中的DNS很是慢而形成的。
-I,–iface
用于全部操做所针对的网络接口。
你甚至能够指定一个网络别名，以便扫描与你的当前IP不一样的子网。
-n,–netmask
用于扫描局域网络的网络掩码（以点分制表示）。
缺省的网络掩码为当前ifconfig中定义的掩码。可是，若是你的掩码为，好比255.255.0.0，那么若是你要在启动时进行arp扫描的话，鼓励你另外指定一个限制更强的掩码。
-e,–etterconf
使用配置文件，而不是命令行参数。
在软件的tar包中有一个etter.conf文件，其中包含一些配置范例，参考这些范例来了解如何编写配置文件，在这些例子中给出了全部的指导信息。通过配置文件，你能够选择性地禁止某个协议分析或把它转移到另外一个端口。命令行选项和配置文件能够很是灵活地混合使用，须要记住的是配置文件中的选项压倒命令行选项，因此，若是在etter.conf指定了IFACE:eth0，而且你在启动程序的时候指定了“ettercap -i eth1 -e etter.conf”，那么最终的选择结果是eth0。
注意：“-e etter.conf”选项必须在全部选项的后面出现，也就是说它必须是最后一个选项。
-g,–linktype
这个标志有两个补充功能，所以要注意它。
若是这个标志用于交互式方式，它不检查局域网的类型。另外一方面，若是与命令行方式(-N)连用，它要对局域网进行检查，以了解它是不是一个交换网。有时，若是在局域网内只有两台主机，这种发现方法有可能失败。
-j,–loadhosts
用于从指定的文件中加载主机表，该文件是经过-k选项建立的。
-k,–savehosts
把主机列表保存到文件中。
当目标网络中有不少主机，而且你不但愿在每一次启动的时候都作一次arp风暴的时候，这个选项是颇有帮助的。你只要指定这个选项，并把列表转储到一个文件中。而后加载这个利用-j选项从文件中加载这些信息。文件名的形式为：“netaddress_neymask.etl”
-v,–version
检查最新的ettercap版本。
全部的操做都在你的控制之下。每个步骤都须要用户确认。利用这个选项ettercap将链接到 http://ettercap.sourceforge.net:80 web站点，并请求/latest.php，而后分析查询结果并与你的当前版本进行比较。若是有一个更新的版本可用，ettercap将询问你是否要须要 wget（必须在路径中）。若是你想要对全部的问题自动回答yes，增长选项-y。
-h,–help
在屏幕上显示帮助信息，对每个选项都有一个简短的描述。
静音方式选项（仅能够和-N选项连用）
-t,-proto
仅监听协议PROTO的数据包（缺省为TCP+UDP）。
这个选项仅在simple方式下有用，若是你以交互式方式启动ettercap，TCP和UDP数据包都将被监听。PROTO能够是tcp或udp或all。
-J,–onlypoison
这个选项使ettercap不监放任何数据流，但仅仅对目标进行欺骗。若是你须要利用ettercap进行欺骗，而用其余的软件tcpdump或ethereal进行监听时，能够利用这个选项（注意在这种方式下要使能IP_forwarding）。
另一种用法是多目标监听。正如你所了解的，你能够利用ettercap监听两个目标之间的链接信息（ARPBASED）,或某一个目标的进出信息（SMART ARP）。利用这个选项，你能够同时监听若干目标（由于同时启动了多个程序）。启动第一个程序时选用SMART ARP，并用-H选项限制smart功能仅针对你想要欺骗的主机进行（记住若是在欺骗中涉及了网关，必须在以smart方式运行的实例中指定它）。而后在启动其余的“ettercap -J”。
-R,–reverse
监听除选择的链接之外的全部链接。若是你在一个远程主机上使用ettercap，而且要求监听除了你本身的从本地到远程的链接之外的全部其余链接时，能够选择这个选项。由于若是包含了这样的链接将会使ettercap监听本身的输出，并不断迭加上去。
-O,passive
以被动的方式收集信息。在simple方式下，咱们能够在许多方式中选择这个选项。“ettercap -NO”将以半交互的方式启动ettercap，输入“h”来得到帮助信息。你能够查看收集的信息，也能够把它们记录到日志文件中，或简单地浏览分析的数据包。“ettercap -NOL”与上面的方式相相似，不过它会自动地把数据记录到文件中，记录的时间间隔是5分钟。“ettercap -NOLq”使ettercap每5分钟把日志写到文件中。你能够走开，抽支香烟，返回时就会有一个有关局域网的完整报告在等待着你…J
-p,–plugin
运行外部插件“NAME”
大多数插件须要一个目标主机，这只要在插件的名字后面指定目标主机就能够了。事实上，命令行上的主机解析中，第一个主机为DEST，SOURCE也一样。为了得到可用的外部插件列表，使用“list”(不包括引号)做为插件的名字。因为ettercap 0.6.2提供了钩子插件系统，因此一些插件并非做为独立的程序运行，它们能够和ettercap交互，能够经过接口或配置文件使能或禁止。有关插件的详细信息以及如何编写本身的插件，能够在README.PLUGING文件中找到。
-l,–list
列出局域网中的全部主机，报告每个MAC地址。
一般与-b(ping广播)选项和-d（不解决主机名）选项连用。
-C,–collect
收集在命令行上指定的那些主机的全部用户和口令信息。
在配置文件（etter.conf）中配置口令收集器，若是须要的话，能够有选择性地禁止它们，或者把它们转移到另外一个端口。若是你不但愿收集SSH链接信息，但收集其余全部协议的数据的时候，这个选项颇有用。若是你已知某一台主机在端口4567上提供telnet服务，只要把telnet解码移动到 4567/tcp就能够了。
-f,–fingerprint
对主机进行OS指纹收集。
这个选项利用与nmap所使用的相同的方法和数据库：Fyodor fyodor@insecure.org，因此引用一段其man手册页中的一段：
这个选项经过TCP/IP指纹来标识远程主机。换句话说，它经过一套技术来检测被扫描主机的网络协议栈的特征。它利用这些信息创建一个指纹，这个指纹将同已知OS指纹库相比较，从而肯定所扫描主机的系统类型。
-f选项甚至能够向你提供被扫描主机所用的网络适配器的生产厂家。这些信息被存放在mac-fingerprints数据库中。
-x,–hexview
以十六进制数方式转储数据。
提示：在监听的时候，能够改变显示效果，只要按”x”或”h”键就能够实现按16进制数显示或按Ascii字符显示。
-L,–logtofile
若是这个参数单独使用的话，会把全部的数据保存到特定的文件中。它会为每个链接创建一个单独的文件，在UNIX系统下文件名为YYYYMMDD-P-IP:PORT-IP:PORT.log，
在Windows环境下的文件名为P-IP[PORT]-IP[PORT].log。若是与C参数连用，它会建立一个名为YYYYMMDD-collected-pass.log文件，其中记录了全部监听到的口令信息。
-q,–quiet
魔鬼化ettercap。
若是你但愿之后台工做方式记录全部的数据，可使用这个选项。这个选项将使ettercap脱离当前的tty，并把它设置为一个daemon。这个选项必须与-NL(或-NCL)选项联合使用，不然的话没有任何做用。显然，还须要指定一种监听方式，所以这个选项还要和一个表示监听方式的选项相配合。
-w,–newcert
为HTTPS中介攻击方式建立一个新的cert文件。
若是你想要利用社会工程方式得到的信息建立一个cert文件，可使用这个选项。新建立的文件保存在当前工做目录下。为了长期替换缺省的cert文件（etter.ssl.crt），必须改写/usr.local/share/etter.ssl.crt。
-F,–filter
从文件FILENAME中加载过滤链。
过滤链文件是用伪XML格式编写的。你能够经过手工改写文件或经过ettercap的用户界面来让ettercap建立这个文件（在链接表界面中按’F’键）。若是你很熟悉XML语言分析，能够写本身的程序来创建过滤链文件。

过滤规则很简单：

若是协议源端口目的端口数据流与规则匹配，在过滤器完成了它的响应以后，跳转到在域中定义的过滤器id，不然它跳转到。若是这些域是空的，链就中断了。若是源端口和目的端口为0，意味着任意端口。在查找串中可一使用通配符（细节见 README）。web
注意：这个选项使能了过滤器，若是须要禁止它，在监听过程当中按“S”（源）或“D”（目的）。shell
注意：在命令行上，对主机的解析为：ettercap –F etter.filter DEST SOURCE。因此第一个主机被绑定到目的链，第二个主机被绑定到源链。数据库
重要注意事项：源链规则应用到从源发出的数据上，而不是发送到源的数据上，千万牢记！！！对于目的地址也是一样。windows
-c,–check
检查你是否被局域网上特定目标中的其余欺骗者所欺骗。
对命令行上的目标主机的解析是反向的。第一个主机是DEST，第二个主机是SOURCE。若是你在基于IP的方式下监听，这个顺序没有关系，由于源和目的都被忽略了。可是若是你在对链接进行过滤，这个顺序对于绑定到相关的过滤链就很重要了。
这个反向的顺序是因为与插件的更加灵活接口。由于有些插件须要指定目标主机，那么ettercap –Np ooze victim这种形式要比ettercap –Np ooze NOONE victim简单一些。
能够用点分制的格式来输入目标（192.168.0.1）或者以域名的格式来输入目标（victim.mynet.org）。只有在-H选项中可使用通配符。缓存

交互模式

若是启动ettercap的时候没有指定-N选项，那么就自动选取了交互模式。若是在某些状况下不知到能够作什么，只要键入‘H’就能够弹出帮助画面。在那里能够看到可执行命令的消息列表。服务器

脱机工做

若是你想要分析由tcpdump或ethereal保存的libpcap格式文件，可使用Script插件。能够用它来重构链接列表，进行口令收集工做或被动OS指纹收集。要实现这些只要指定-T选项，而后以与收集网络数据一样的方式使用ettercap。为了保存tcpdump文件以便进行进一步的分析，使用-Y选项。
游客，若是您要查看本帖隐藏内容请回复网络

Platform:

Linux 2.0.x
Linux 2.2.x
Linux 2.4.x
Linux 2.6.x FreeBSD 4.x 5.x
OpenBSD 2.[789] 3.x
NetBSD 1.5 Mac OS X (darwin 6.x 7.x)
Windows 2000/XP/2003
Solaris 2.x

Required Libraries:

libpcap >= 0.8.1
libnet >= 1.1.2.1
libpthread
zlib