原英文的幫助文檔可以在 http://linux.die.net/man/8/ettercap 查看
或者在安裝有ettercap的Linux終端輸入”man ettercap”查看
多數以我自己的理解的方式翻譯,不是很理解的地方翻譯過來的可能會有很多不對的地方
如果對我翻譯的內容有不一樣的看法,歡迎交流。
Name
ettercap 0.7.5 - A multipurpose sniffer/content filter
for man in the middle attacks
Important Note(注意事項)
Since ettercap NG (formerly 0.7.0), all the options have been changed. Even the target specification has been changed. Please read carefully this man page.
Synopsis
ettercap [選項(參數)] [目標1] [目標2]
目標的格式: MAC/IPs/IPv6/PORTs
可以指定目標IP和端口的範圍
例:
/192.168.0.1-30,40,50/20,22,25
表示目標IP爲192.168.0.1到192.168.0.30的範圍和192.168.0.40 192.168.0.50的機器,端口爲20 22 25
1.簡介
Ettercap剛開始只是作爲一個網絡嗅探器,但在開發過程中,它獲得了越來越多的功能,在中間的攻擊人方面,是一個強大而又靈活的工具。它支持很多種協議(即使是加密的),包括網絡和主機產品特徵分析。
它主要有2個嗅探選項:
UNIFIED,這個模式可以嗅探到網絡上的所有數據包,可以選擇混雜模式(-p選項)。如果嗅探到的數據包不是ettercap主機的就自動用第3層路由轉發。所以,你可以用不同的工具作中間人攻擊(MITM)轉發修改過的數據包。系統內核(kernel)的轉發功能默認是被ettercap禁用的,這樣做的目的是爲了防止一個數據包被轉發兩次,這是一種網關攻擊行爲,所以,我們推薦在geteways ONLY和UNOFFENSIVE MODE ENABLED的模式下使用ettercap。在ettercap開始監聽一個網絡接口之後,啓用了網關攻擊模式,數據包就不會由路由器轉發到第二個接口。
大概原理就是:ettercap欺騙主機A,讓主機A把本應該發送給主機B的數據包發送到ettercap主機,在由ettercap主機轉發到主機B,同理也欺騙主機B,讓主機B的數據包也經過ettercap主機。粗俗一點就好比你從村裏到城裏,半路遇到土匪截道,你身上的東西全被翻了一遍,這個土匪是要給你加點東西過去還是要搶點東西就要看他的心情了。
BRIDGED,這個模式採用的是雙網卡,嗅探其中一個網卡傳輸的數據併發送到另一個網卡。因爲這種嗅探方式是在雙網卡(或者多網卡)的機器下進行的,所以網絡上的設備不會找到攻擊者是誰(原文的意思是隱身)。你可以在1層網絡中嘗試一下這種中間人攻擊方式…(後面的沒看明白什麼意思)HINT:可以使用過濾來選擇需要傳輸的數據包,這種方式在ettercap中成爲一個內聯IPS。
BRIDGED模式的原理就比較好理解吧,ettercap就在兩塊網卡中間嗅探兩塊網卡的數據
你可以在嗅探期間使用同樣的中間人攻擊,也可以選擇你喜歡的MITM攻擊。MITM攻擊模塊是獨立於監聽過程和過濾過程的,所以在進行攻擊的時候,你可以使用自己的攻擊工具。關鍵的一點是,這些數據包必須到達ettercap的正確MAC地址和一個不同的IP地址(只有這些數據包纔會被轉發)這個關鍵的一點我也沒看明白什麼意思,英語太水…
2.以下是ettercap的特性:
支持SSH1:可以嗅探到賬戶和密碼,包括SSH1連接中的數據,ettercap是第一款在全雙工通信中嗅探嗅探的軟件。
支持SSL:可以嗅探到SSL的數據…發送假證書和會話密鑰給客戶端解密
在已建立的連接中注入字符串:你可以注入字符到服務或者已激活的連接中
Packet filtering/dropping: 可以設置一個過濾腳本,在TCP或者UDP連接中可以搜索指定的字符串,然後用自己的數據替換掉原數據包中的字符串(或者hex)或者整個數據包
Remote traffic sniffing through tunnels and route mangling: You can play with linux cooked interfaces or use the integrated plugin to sniff tunneled or route-mangled remote connections and perform mitm attacks on them.
Plug-ins support : 通過ettercap的API接口創建自己的插件
可以嗅探到這些密碼 : TELNET, FTP, POP, RLOGIN, SSH1, ICQ, SMB, MySQL, HTTP, NNTP, X11, NAPSTER, IRC, RIP, BGP, SOCKS 5, IMAP 4, VNC, LDAP, NFS, SNMP, HALF LIFE, QUAKE 3, MSN, YMSG (other protocols coming soon…)
被動式TCP_IP指紋識別操作系統: 被動掃描局域網(不發送任何數據包),收集局域網中主機信息:操作系統,運行服務,開放端口,網絡,MAC地址和網絡適配器供應商
結束一個連接: 可以連接列表中結束所有你想結束的連接
3.目標說明:
目標1和目標2兩個參數沒有哪一個是源目標或者終目標的概念,因爲他們之間的流量是從[目標1]到[目標2],或者是從[目標2]到[目標1],(因爲是雙向連接的)
[目標] 的格式 MAC地址/IP地址範圍/端口範圍 。如果省略了任何一部分,那缺省部分則默認代表全部。
例:
“//80” –表示 “所有的MAC地址 / 所有的IP地址 / 監聽80端口”
“/10.0.0.1/” –表示 “所有的MAC地址 / 監聽10.0.1 IP所屬的主機 / 所有的端口”
MAC地址必須是唯一的 00:11:22:33:44:55
IP地址範圍可以用“-”(連字符)來指定範圍,也可以用“,”(逗號)來表示單個不同的IP,還可以用“;”分號表示不同的IP。
例
“10.0.0.1-5;10.0.1.33” –這個展開表示就是IP地址爲 10.0.0.1, 2, 3, 4, 5 和 10.0.1.33
端口範圍可以用“-”(連字符)來指定範圍,也可以用“,”(逗號)指定其它端口
例
“20-25,80,110” 展開表示端口範圍是 20, 21, 22, 23, 24, 25, 80 和 110
注:
可以用“-R”選項來反選匹配目標,假如你想嗅探一個範圍內排除10.0.1之外的所有主機可以使用
ettercap -R /10.0.0.1/
注:
TARGETs are also responsible of the initial scan of the lan. You can use them to restrict the scan to only a subset of the hosts in the netmask. The result of the merging between the two targets will be scanned. remember that not specifying a target means “no target”, but specifying “//” means “all the hosts in the subnet.
權限的分配
ettercap必須使用root權限來打開socket連接,初始化過後就不需要root權限,之後ettercap會生成日誌文件,所以ettercap必須在一個正確的可執行目錄下運行(如:/tmp/)。如果想用不同的uid來使用,可以導出環境變量EC_UID到你想使用的uid(如: export EC_UID=500)或者在配置文件etter.conf文件中設置正確的參數。
SSL 中間人攻擊
在執行SSL中間人時,ettercap的證書都是根據服務器提供的證書來僞造創建的。修改後得到的私鑰文件會存在“etter.ssl.crt”,如果要使用不同的私鑰,必須使用下面的命令重新生成這個文件:
openssl genrsa -out etter.ssl.crt 1024
openssl req -new -key etter.ssl.crt -out tmp.csr
openssl x509 -req -days 1825 -in tmp.csr -signkey etter.ssl.crt -out tmp.new
cat tmp.new >> etter.ssl.crt
rm -f tmp.new tmp.csr注: SSL 中間人攻擊現在不能在橋接模式下使用。
參數選項:
一般參數都可以組合在一起使用,如果參數不支持組合使用ettercap會有提示警告。
ettercap NG有一套統一的新使用標準。這就是,IP轉發功能在kernel內核中始終是默認關閉的,數據包的轉發是通過ettercap進行的。每一個目標MAC地址相同的數據包,會把各個主機MAC地址和他們的IP地址綁定,這些數據包都會由ettercap來轉發。在轉發之前,ettercap可以對內容進行過濾,嗅探,記錄日誌或者丟棄這些數據包。這些被劫持的數據包都由ettercap來處理,你也可以使用外部程序來劫持這些數據包。
在promisc模式設置界面設置你想使用插件或者其他任何攻擊方法,你有權選擇哪些數據包可以接收,可以使用中間人攻擊。
重要注意事項: 如果在一個網關上運行ettercap,在重新啓用ip_forwarding之後,你得結束ettercap,因爲ettercap不會讓你恢復ip_forwarding(IP轉發功能)
SNIFFING AND ATTACK OPTIONS (嗅探和攻擊選項)
====================
-M, –mitm < METHOD:ARGS > (中間人攻擊)
書寫格式:-M或–mitm 方式:參數
這個參數選項是激活中間人攻擊,這是一個完全獨立的嗅探方式,此攻擊行爲的目的在於劫持數據包和重定向數據包,如果有必要,嗅探引擎將轉發這些數據包。你可以選擇你喜歡的MITM攻擊方式,同時可以執行其他不同的攻擊。
如果需要用到參數來制定你的中間人攻擊方式,可以在“:”後設定(例:-M dhcp:ip範圍,子網掩碼等)
主要有4種MITM攻擊方式:
arp ([remote],[oneway]) //remote雙向欺騙,oneway單項欺騙
這個方法實現的是中間人攻擊中的ARP中毒,發送ARP請求/回覆給受害者。ARP緩存中毒受害者的所有數據包都會發送給攻擊者,反之可以修改收到的數據包和重定向數據包的目標地址。
在靜默模式(-z 選項)中,只有第一個目標被選中,如果你想在靜默模式下投毒給多個目標,需要使用-j選項從文件中加載目標列表。
也可以選擇空目標,將被視爲是局域網內的“任何主機”。會通過ARP掃描來確定被攻擊的目標列表。
“remote”這個參數是可選的,如果要進行雙向欺騙就必須選定這個參數,如果在目標列表中指定一個受害者和網關,ettercap會嗅探他們之間的聯繫,但是使用ettercap嗅探到的數據包要通過網關,你就必須使用這個參數。
“oneway”這個參數只能在目標1和目標2之間投毒。這個功能使用在你只需要在客戶之間投毒,而不需要破壞整個路由。
例:
目標: /10.0.0.1-5/ /10.0.0.15-20/
主機列表: 10.0.0.1 10.0.0.3 10.0.0.16 10.0.0.18
結果-受害者之間的聯繫將會是:
1-16, 1-18, 3-16, 3-18
目標重疊,會跳過相同的IP地址。注:如果你要使其中一臺機器癱瘓,必須在內核指定網關設置正確的路由表。如果路由表是錯誤的,用戶將無法連接到互聯網。
icmp (MAC/IP)
ICMP攻擊,是通過在局域網中僞造一個ICMP重定向報文僞裝成最近的一臺路由主機,讓所有連接到互聯網的主機的數據包都發送給攻擊者,再由攻擊者轉發給真正的網關。
icmp的使用必須指定真實網關的MAC地址和IP地址(格式:-M icmp:MAC地址/IP地址)
例:
-M icmp:00:11:22:33:44:55/10.0.0.1
//真實網關的MAC地址爲00:11:22:33:44:55,IP地址爲10.0.0.1,將重定向所有通過改網管的連接。dhcp (ip_pool/netmask/dns)
**dhcp攻擊是在局域網中把自己爲裝成DHCP服務器,給新接入主機分配動態IP地址。所以參數中必須給定IP地址池、子網掩碼、DNS主機地址(格式:-M dhcp:準備分配的IP地址範圍/子網掩碼/DNS主機地址)
警告:如果和真實的DHCP分配了重複的IP地址,將會在局域網中造成衝突,所以在一般情況下要謹慎使用這種攻擊模式,他會把整個局域網弄得很糟糕。就算停止攻擊,所有受害主機還會認爲攻擊者就是網關,直到租用時間期限到了爲止。**例:
-M dhcp:192.168.0.30,35,50-60/255.255.255.0/192.168.0.1
//準備分配出去的IP地址是192.168.0.30,35和50-60,子網掩碼是255.255.255.0,默認DNS主機的地址是192.168.0.1port ([remote],[tree]) #保留原文,沒弄明白
This attack implements Port Stealing. This technique is useful to sniff in a switched environment when ARP poisoning is not effective (for example where static mapped ARPs are used).
It floods the LAN (based on port_steal_delay option in etter.conf) with ARP packets. If you don’t specify the “tree” option, the destination MAC address of each “stealing” packet is the same as the attacker’s one (other NICs won’t see these packets), the source MAC address will be one of the MACs in the host list. This process “steals” the switch port of each victim host in the host list. Using low delays, packets destined to “stolen” MAC addresses will be received by the attacker, winning the race condition with the real port owner. When the attacker receives packets for “stolen” hosts, it stops the flooding process and performs an ARP request for the real destination of the packet. When it receives the ARP reply it’s sure that the victim has “taken back” his port, so ettercap can re-send the packet to the destination as is. Now we can re-start the flooding process waiting for new packets.If you use the “tree” option, the destination MAC address of each stealing packet will be a bogus one, so these packets will be propagated to other switches (not only the directly connected one). This way you will be able to steal ports on other switches in the tree (if any), but you will generate a huge amount of traffic (according to port_steal_delay). The “remote” option has the same meaning as in “arp” mitm method.
When you stop the attack, ettercap will send an ARP request to each stolen host giving back their switch ports.
You can perform either HALF or FULL DUPLEX mitm according to target selection.注: 這個中間人攻擊的方法只在交換機環境中使用,使用前須謹慎,會產生破壞。
注: 這個攻擊方法不能在-o(–only-mitm)模式下使用,因爲他基於嗅探引擎鉤子,也不能注入數據。
注: 結合其它中間人攻擊使用這個方法是很危險的。
注: This mitm method doesn’t work on Solaris and Windows because of the lipcap and libnet design and the lack of certain ioctl(). (We will feature this method on these OSes if someone will request it…) //大概是說這個功能不支持在Solaris和Windows系統下使用。例:
The targets are: /10.0.0.1/ /10.0.0.15/
//你將會看到攔截到的10.0.0.1和10.0.0.15之間的流量,但是你也會接受到從10.0.0.1和10.0.0.15之間的所有流量。The target is: /10.0.0.1/
//你會看到攔截到的所有流向10.0.0.1的流量。
-o, –only-mitm(僅僅執行中間人攻擊,不嗅探)
此選項禁用嗅探功能,只允許進行中間人攻擊。可以用來來攻擊其它嗅探流量的嗅探器。保持數據包留在ettercap不被轉發。要讓kernel負責轉發數據包,記得要在kernel中啓用”ip forwarding”功能。
-f, –pcapfilter < FILTER > (加載過濾器)
在pacp庫中設置過濾器,格式和tcpdump抓包工具的一樣。這個功能是過濾出數據包,如果執行中間人攻擊,ettercap將不能夠劫持轉發數據包。這個功能可以減少ettercap的網絡負載。
-B, –bridge < IFACE >(bridge模式)
BRIDGED 模式
文章最前面提到過的,兩個網卡之間的數據包嗅探和轉發,這裏不重複了,
你可以過濾掉所有數據包,只作爲一個轉發工具。
OFF LINE SNIFFING(離線嗅探選項)
======================
-r, –read < FILE >(讀取本地文件)
離線嗅探,這個選項將數據包從已保存的pcap文件中提取出來,而不是在線嗅探。
可以讀取tcpdump或者ethereal (這是wireshark的前稱)等抓包軟件保存下來的數據包,用作數據分析。
-w, –write < FILE >(把嗅探到的數據寫到文件中)
把嗅探到的數據包保存爲pcap文件
如果要分析局域網中arp投毒的數據包,你可以把這些數據包保存到一個文件,再用tcpdump或者ethereal或者其它你喜歡的抓包軟件打開。
注:轉儲文件會收集所有目標的數據包,這樣做是因爲你可能想記錄下一些ettercap不支持的協議,所以你可以用其它工具分析。
TIP: you can use the -w option in conjunction with the -r one. This way you will be able to filter the payload of the dumped packets or decrypt WEP-encrypted WiFi traffic and dump them to another file.
USER INTERFACES OPTIONS(用戶界面選項)
====================
-T, –text(文本模式)
只有文字界面,只有打印輸出。
在運行的時候按下‘h’鍵會有幫助。
-q, –quiet(安靜模式)
安靜模式,它只與控制檯界面結合使用,它不會打印輸出數據,如果想要轉儲pcap文件是很有用的。
例:
ettercap -Tq -L dumpfile -r pcapfile //文本模式+安靜模式轉儲文件
-s, –script < COMMANDS >(命令)
這個選項可以在鍵盤上輸入ettercap命令讓它加載。你可以在ettercap中使用你喜歡的命令,有一個特殊的命令:s(x),這個命令會休眠x秒。
例:
ettercap -T -s ‘lq’ //在打印出主機列表後退出
ettercap -T -s ‘s(300)olqq’ //收集信息5分鐘,打印出本地配置文件列表之後退出。
-C, –curses
基於Ncurses的GUI。
-G, –gtk
基於GTK的圖形化界面。
-D, –daemonize(守護進程)
此選項將ettercap從當前終端分離,創建一個守護進程在後臺運行。可以把這個功能和日誌記錄功能結合使用,記錄下所有流量。如果守護進程失敗,會創建一個日誌文件“./ettercap_daemonized.log”在日誌報告中可以看到錯誤信息。
GENERAL OPTIONS(一般選項)
====================
-i, –iface < IFACE > (手動選擇網卡)
手動選擇網卡,這個選項需要 libnet >= 1.1.2
-I, –iflist (列出可用網卡列表)
這個功能可以打印輸出可用的網卡列表
-A, –address < ADDRESS >(選擇IP地址)
使用這個選項手動選擇IP地址,而不是自動檢測當前的IP地址,這個選項在一個網卡有多個IP地址的情況下適用。
-n, –netmask < NETMASK >(設置子網掩碼)
這個選項可以手動設置子網掩碼,而不是自動檢測當前的子網掩碼。這個選項在你的網卡是B類子網掩碼,但是你只想掃描C類的情況下適用。
-R, –reversed(反向選擇目標)
使用這個參數之後,你填的目標則是被排除的目標。
例:
ettercap -R /10.0.0.1/ (使用了-R選項,那我們這裏的目標則是所在網絡中除了IP爲10.0.0.1的所有其他主機)
-t, –proto (選擇一個協議)
選擇指定監聽的協議,默認情況下監聽TCP和UDP協議。如果要區分監聽“TCP”或者“UDP”可以用到這個選項。參數可以是“tcp”、“udp”和“all”
-z, –silent(不初始化arp)
這個選項不進行arp初始化掃描。
注:不進行初始化,你就不會有可以進行arp欺騙的主機列表,你只能通過指定目標嗅探他們之間的數據。
-p, –nopromisc(不使用混雜模式)
這個選項是不使用混雜模式,混雜模式下你可以收聽到不是發到你的網卡的數據。如果你只想嗅探到發送到你自己主機的數據,可以使用這個選項。
-S, –nosslmitm(禁用SSL證書僞造)
默認情況下ettercap會攔截HTTPS,僞造SSL證書,使用這個選項會禁用SSL證書僞造功能。
-u, –unoffensive(關閉ettercap轉發功能)
每次啓動ettercap之後,會關閉系統內核(kernel)的數據轉發功能,所有轉發工作都由ettercap來替代。這個選項會關閉ettercap的轉發功能,保留系統的轉發功能,讓數據的轉發繼續由kernel工作。
這個功能不能轉發修改過的數據包。
如果在網關運行ettercap可以使用這個選項,這樣就可以讓數據包正確的被轉發出去。
-j, –load-hosts < FILENAME >(加載主機列表文件)
可以加載一個通過-k選項生成的主機列表文件(-k選項用法請往下看)
-k, –save-hosts < FILENAME >(保存主機列表)
保存主機列表到一個文件裏。有許多主機的時候可以使用這個選項生成一個列表文件,在使用的時候可以通過-j參數直接加載這個列表文件,不必再重新掃描
-P, –plugin < PLUGIN >(加載插件)
運行指定的插件。
在控制檯模式(-C)下,獨立的插件運行之後退出程序,插件鉤子被激活,然後進行正常的嗅探。
有一個外部插件列表,可以用“list”來查看(例:ettercap -P list)
注:你可以在圖形化界面直接啓動插件(經常按下“H”鍵可以獲得幫助)
更多關於如何編寫插件的信息可以查看ettercap_plugin的幫助文檔(系統中執行“man ettercap_plugin”)
-F, –filter < FILE >(加載過濾器文件)
加載過濾器文件,過濾器文件必須使用etterfilter編譯,這個程序會把過濾腳本編譯成一個可以用在ettercap下的二進制文件,可以閱讀etterfilter的幫助文檔獲得更多過濾腳本的內容(“man etterfilter”)。可以在任何時候加載任意過濾器文件
注:這個過濾文件和pacp的過濾文件不同,ettercap是具有內容過濾和數據包修改功能的,而pacp的過濾文件只是過濾數據包。
注:你可以使用pcap過濾文件保存數據,但是ettercap不會去重新校驗這些數據文件。
-W, –wep-key < KEY >(加載WIFI密碼)
可以加載wep密碼進行WIFI密碼破解,解碼器只會傳遞解密成功的密碼,其他的消息都會被跳過。
參數語法如下:
N:T:KEY
其中N表示密鑰長度(64、128或者256),T表示字符串類型(‘s’是字符串,‘p’是密碼),KEY可以是一個字符串,也可以是一段十六進制值
例:
–wep-key 128:p:secret
–wep-key 128:s:ettercapwep0
–wep-key ‘64:s:\x01\x02\x03\x04\x05’
-a, –config < CONFIG >(載入配置文件)
載入一個配置文件,不使用默認的/etc/etter.conf配置文件。如果經常在多種不同的環境下做滲透這個選項非常有用。
VISUALIZATION OPTIONS(可視化選項)
====================
-e, –regex < REGEX >(正則表達式)
只負責匹配正則表達式的數據包。這個功能可以和-L日誌功能一起使用。這個功能對可視化操作有一定影響,它只會顯示匹配的正則表達式。
-V, –visual < FORMAT >(顯示方式)
這個選項可以設置在可視化中數據包的顯示方式。
格式如下:
hex (16進制)
用16進制打印數據包
例:
the string “HTTP/1.1 304 Not Modified” becomes:
0000: 4854 5450 2f31 2e31 2033 3034 204e 6f74 HTTP/1.1 304 Not
0010: 204d 6f64 6966 6965 64 Modifiedascii
只打印輸出“可以被打印”的字符,其他的都用點“.”顯示
text
只打印“可以被打印的字符串”,跳過其它的。
ebcdic
把EBCDIC文本轉換爲ASCII
html
在文本中刪除所有html標籤
例:
< title >This is the title< /title>, but the following < string > will not be displayed.
顯示結果爲:This is the title, but the following will not be displayed.utf8
打印輸出的爲UTF-8格式,執行編碼轉換的聲明在etter.conf文件中。
-d, –dns
把IP地址轉換成主機名
注:這可能會很大程度上託慢ettercap的運行速度。每當一個主機執行一次查詢ettercap會先在緩存中查詢,但是一個新的DNS查詢可能會等待2秒或者3秒來反映。
-E, –ext-headers
打印輸出數據包報頭(例:mac addresses //MAC地址)
-Q, –superquiet(超級安靜模式)
超級安靜模式,不會打印輸出收集到的用戶名和密碼,只會保存成文件。使用插件時,會顯示所有收集到的信息,使用這個選項就可以什麼都不顯示。
例:
ettercap -TzQP finger /192.168.0.1/22
LOGGING OPTIONS(日誌記錄選項)
====================
-L, –log < LOGFILE >(記錄所有日誌)
這個選項將會吧所有收集到的數據保存爲二進制文件,創建的日誌文件可以用etterlog打開。給定一個參數logfile,ettercap會創建出logfile.ecp(數據包)和logfile.eci(信息)兩個文件
注:日誌文件可以用-c選項來壓縮
-l, –log-info < LOGFILE >(只記錄用戶名密碼和主機信息)
和-L選項很相似,但這個選項只記錄主機的信息+用戶名+密碼。這份文件會被命名爲LOGFILE.eci
-m, –log-msg < LOGFILE >(讀取日誌文件)
顯示存儲在日誌文件裏的所有用戶信息。這個選項可以在ettercap運行後臺模式的時候進行跟蹤查看,這也是唯一跟蹤查看後臺運行模式收集到的信息的方法。
-c, –compress(gzip壓縮)
使用gzip壓縮日誌文件,etterlog可以處理壓縮和沒有壓縮過的日誌文件
-o, –only-local
只存儲本地局域網的配置信息。
-O, –only-remote
存儲遠程主機配置信息。
STANDARD OPTIONS(標準選項)
====================
-U, –update(更新)
連接到ettercap的網站(ettercap.sf.net)檢查並取回ettercap更新。
如果你只想檢查是否有可用的更新,可以使用-z選項:ettercap -zU
-v, –version(版本信息)
打印輸出版本信息並退出。
-h, –help
在屏幕上打印輸出簡短的幫助信息。
實例
====================
下面舉一些ettercap的使用例子:
在控制檯模式下(-T)不使用混雜模式(-p),你只會看到自己的通信。
ettercap -Tp
在控制檯模式下(-T),不使用ARP初始化(-z),不顯示數據包內容(-q安靜模式),但是會顯示用戶名和密碼和其他消息。
ettercap -Tzq
在控制檯模式下(-T),加載主機列表(-j),對目標執行arp毒化中間人攻擊(-M arp)
ettercap -T -j /tmp/victims -M arp /10.0.0.1-7/ /10.0.0.10-20/
在控制檯模式下(-T),對整個局域網執行ARP毒化攻擊(-M arp)
ettercap -T -M arp // //
在控制檯模式下(-T),執行ARP雙向欺騙(-M arp:remote)
ettercap -T -M arp:remote /192.168.1.1/ /192.168.1.2-10/
在控制檯模式下(-T),不使用ARP初始化(-z),使用安靜模式(-q),監聽所有主機110端口(pop3協議端口)
ettercap -Tzq //110
在控制檯模式下(-T),不進行ARP初始化(-z),使用安靜模式(-q),監聽目標10.0.0.1的21,22,23端口(FTP、SSH、TELNET)
ettercap -Tzq /10.0.0.1/21,22,23
打印輸出可用插件列表。
ettercap -P list
====其它內容如果感興趣可以自己查看ettercap的man page====
博客的文章都會發到個人訂閱號上,歡迎關注
