Ettercap-多功能交換局域網截包工具sniffer的發展歷史和使用

Ettercap最初設計為交換網上的sniffer，但是隨著發展，它獲得了越來越多的功能，成為一款有效的、靈活的中介攻擊工具。它支持主動及被動的協議解析并包含了許多網絡和主機特性（如OS指紋等）分析。

Ettercap有5種sniffing工作方式：

1、IPBASED

在基于IP地址的sniffing方式下，Ettercap將根據源IP-PORT和目的IP-PORT來捕獲數據包。

2、MACBASED

在基于MAC地址的方式下，Ettercap將根據源MAC和目的MAC來捕獲數據包（在捕獲通過網關的數據包時，這種方式很有用）

3、ARPBASED

在基于ARP欺騙的方式下，Ettercap利用ARP欺騙在交換局域網內監聽兩個主機之間的通信（全雙工）。

4、SMARTARP

在SMARTARP方式下，Ettercap利用ARP欺騙，監聽交換網上某臺主機與所有已知的其他主機（存在于主機表中的主機）之間的通信（全雙工）。

5、PUBLICARP

在PUBLICARP方式下，Ettercap利用ARP欺騙，監聽交換網上某臺主機與所有其它主機之間的通信（半雙工）。此方式以廣播方式發送ARP響應，但是如果Ettercap已經擁有了完整的主機地址表（或在Ettercap啟動時已經對LAN上的主機進行了掃描），Ettercap會自動選取SMARTARP方式，而且ARP響應會發送給被監聽主機之外的所有主機，以避免在Win2K上出現IP地址沖突的消息。

Ettercap中最常用的一些功能包括：

1、在已有連接中注入數據：你可以在維持原有連接不變的基礎上向服務器或客戶端注入數據，以達到模擬命令或響應的目的。

2、SSH1支持：你可以捕獲SSH1連接上的User和PASS信息，甚至其他數據。Ettercap是第一個在全雙工的條件下監聽SSH連接的軟件。

3、HTTPS支持：你可以監聽http SSL連接上加密數據，甚至通過PROXY的連接。

4、監聽通過GRE通道的遠程通信：你可以通過監聽來自遠程cisco路由器的GRE通道的數據流，并對它進行中間人攻擊。

5、Plug-in支持：你可以通過Ettercap的API創建自己的Plug-in。

6、口令收集：你可以收集以下協議的口令信息，TELNET、FTP、POP、RLOGIN、SSH1、ICQ、SMB、MySQL、HTTP、NNTP、X11、NAPSTER、IRC、RIP、BGP、SOCK5、IMAP4、VNC、LDAP、NFS、SNMP、HALFLIFE、QUAKE3、MSNYMSG（不久還會有新的協議獲得支持）。

7、數據包過濾和丟棄：你可以建立一個查找特定字符串（甚至包括十六近制數）的過濾鏈，根據這個過濾鏈對TCP/UDP數據包進行過濾并用自己的數據替換這些數據包，或丟棄整個數據包。

8、被動的OS指紋提?。耗憧梢员粍拥兀ú槐刂鲃影l送數據包）獲取局域網上計算機系統的詳細信息，包括操作系統版本、運行的服務、打開的端口、IP地址、MAC地址和網卡的生產廠家等信息。

9、OS指紋：你可以提取被控主機的OS指紋以及它的網卡信息（利用NMAP Fyodor數據庫）。

10、殺死一個連接：殺死當前連接表中的連接，甚至所有連接。

11、數據包生產：你可以創建和發送偽造的數據包。允許你偽造從以太報頭到應用層的所有信息。

12、把捕獲的數據流綁定到一個本地端口：你可以通過一個客戶端軟件連接到該端口上，進行進一步的協議解碼或向其中注入數據（僅適用于基于 ARP的方式）。

Ettercap的優點在于：

1、它不需要libpcap、libnet等常用庫的支持。

2、基于ARP欺騙的sniffing不需要把執行ettercap的主機的網卡設置為全收方式。

3、支持后臺執行。

是不是很酷呀？！

Ettercap的選項說明：

<1> 監聽方式：

-a,--arpsniff

基于ARP的sniffing。
指定監聽交換網的方式，如果你想要采用中間人技術進行攻擊，必須選用這個選項。如果這個參數與靜音方式（-z選項）連用，你必須為ARPBASED方式指定兩對IP-MAC地址（全雙工），或者為PUBLICARP方式指定一個IP-MAC地址（半雙工）。在PUBLICARP方式下，ARP響應是以廣播方式發送的，但是，如果Ettercap擁有了完整的主機表（在啟動時對局域網進行了掃描），Etercap會自動選擇SMARTARP方式，ARP響應會發送給處被控主機以外的所有主機，并建立一個哈希表，以便以后在全雙工條件下的中間人攻擊中可以將數據包從監聽主機發送給以這種方式截獲的客戶。
注釋：如果你采用 SMARTARP方式的ARP欺騙，要在配置文件中設置網關的IP地址（GWIP選項），并通過-e選項加載這個文件。否則這個客戶將無法連接到遠程主機。需要進行包替換或包丟棄的數據包過濾功能僅僅可以在ARPBASED方式下使用，因為為了保持連接必須調整數據包的TCP序列號。

-s,--sniff

基于IP的監聽。
這是最早的監聽方式。它適用與HUB環境，但是在交換網下就沒有作用了。你可以僅僅指定源或目的IP地址，可以指定也可以不指定端口，或者干脆什么也不指定，這樣意味著監聽網上的所有主機?？梢杂?ldquo;ANY”來表示IP地址，它的意思是來自或去往每一個主機。

-m,-macsniff

基于MAC的監聽
適用于監聽遠程的TCP通信。在HUB環境下，如果你想要監聽通過網關的連接，僅僅指定欲監視主機的IP和網關的IP是不行的，因為數據包是從外部主機發送的，而不是從網關發送的，所以你不能采取指定IP地址的方法。為了達到監視內外通信的目的，你只要指定被監視主機的MAC地址和網關的MAC地址，這樣就可以監視被監聽主機的所有Internet通信。

<2> 脫機sniffing：

-T,--readpcapfile

脫機sniffing。
如果使能了這個參數，Ettercap將監聽一個pcap兼容文件中存儲的網絡數據包，而不是直接監聽網絡上的數據包。如果你有tcpdump或etereal轉儲的數據文件，并想對這些文件進行分析的時候，這個選項非常合適。

-Y,--writepcapfile
把數據包轉儲到一個pcap格式的文件中。
如果你必須要在一個交換的局域網上使用主動sniffing（通過ARP欺騙）方式監聽，但是又希望利用tcpdump或etereal對截獲的數據包進行分析，可以選用這個選項。你可以利用這個選項把監聽到的數據包轉儲在一個文件中，然后加載到適當的應用程序中進行分析。

<3> 通用選項

-N,--simple

非交互方式。
如果你希望從一個腳本提交Ettercap，或者你已經了解一些目標信息，或者你想要在后臺提交Ettercap，讓它收集數據或口令信息（與-quite選項連用）的時候，可以采用這個選項。在這種工作方式下，Ettercap的某些功能無法實現，如字符注入等需要交互式處理的功能。但其他功能仍得到全面支持，如過濾功能。所以可以讓Ettercap對兩個主機進行ARP欺騙（一臺被監視主機和它的網關），并過濾它的所有在80端口的連接，并用一些字符串進行替換，那么它到Internet的所有通信都會按照你的要求而改變。

-z,--silent

以靜音方式啟動（在啟動時沒有ARP風暴）。
如果你希望以非攻擊方式啟動Ettercap（某些NIDS檢測到過多的ARP請求時會產生報警信息）。若要選用這個選項，你必須了解有關目標系統的所有必要的信息。例如，如果你要求欺騙兩臺主機，你需要知道這兩臺主機的IP地址和MAC地址。如果你選擇了IP監聽或MAC監聽，會自動選擇這個選項，因為你不需要知道局域網上的主機列表。如果你想要了解全部主機信息，使用“ettercao -Nl”選項，需要注意的是，這是帶有攻擊性的方式。

-O,--passive

以被動方式收集信息。
這種方式不會向網上發送任何數據包，它會將網卡置于全收方式，并查看流經的數據包。它將分析每一個需關注的數據包（SYN和SYN + ACK），并利用這些信息建立完整的局域網主機映射圖。所收集的信息包括：主機的IP和MAC地址、網卡生產廠家、操作系統類型（被動OS指紋）和運行的服務等。在這個列表中還會包含其他一些信息，如：“GW”，如果該主機是一個網關的話，“NL”，如果這個IP不屬于本網段，以及“RT”，如果該主機發揮了路由器的功能。如果你需要通過被動方式建立一個完整的主機列表的時候，可以選擇這個選項。當你對所收集的信息感到滿意的時候，可以通過按下“C”鍵，把收集的信息轉換為主機列表，然后按照通常的方式工作。在下一節中將解釋在sample方式下，本選項的作用。

-b,--broadping

在啟動時利用廣播ping，而不是ARP風暴來獲得網絡主機信息。
這種方法的可靠性差，準確性也低。有些主機不會響應廣播ping（如windows），所在這種方式下，這些主機是不可見的。如果你想要掃描局域網上的Linux主機，這個選項是非常有用的。通常你可以把這個選項--list選項連用以便獲得主機列表“ettercap -Nlb”

-D,--delay

如果你選擇了ARP欺騙方式，可以利用這個選項來控制ARP響應之間的延遲秒數。如果你希望這種欺騙數據流不要過于集中，這個選項是很有幫助的。在大多數OS中，缺省的arp緩存有效時間間隔超過一分鐘（在FreeBSD系統中為1200秒）。缺省的延遲為30秒。

-Z,--stormdelay

指定在arp風暴開始后arp請求之間的延遲微秒數。如果你希望掃描不要過于集中可以使用這個選項。許多IDS 對于過于大量的arp請求會產生報警信息，但是如果你用低一些的速率發送arp數據包，IDS將不會報告任何異常事件。缺省的延遲時間為1500微秒。

-S,--spoof

如果你想欺騙IDS，可以利用一個偽造的IP來進行局域網arp掃描。但是我們不能偽造源MAC地址，因為良好配置的交換機會阻斷你的請求包。

-H,--hosts

指定在啟動是僅掃描這些主機。
如果你希望僅對某些IP進行arp掃描的時候，可以選用這個選項。這樣，你既可以從arp掃描中獲得好處，又可以盡量保持低攻擊性。甚至在你希望采用PUBLIC ARP方式，但又想僅僅欺騙某幾個主機的時候，這個選項也是很有用的。由于在擁有主機列表的情況下PUBLIC ARP方式會自動轉換為SMARTARP方式，只有這些主機被欺騙，可以保持其他主機的arp緩存不受影響。IP地址表的表示法為：點分制表示的IP地址，地址之間用分號分隔（在它們之間沒有空格），還可以用中橫線表示一個IP地址范圍或一個IP地址表（使用逗號）。
例：
192.168.0.2-25 ：從2到25
192.168.0.1,3,5 ：主機1、3和5。
192.168.0.-3.1-10;192.168.4,5,7 ：將要在子網192.168.0，192.168.1，192.168.2，192.168.3中掃描主機1到10，以及在子網192.168.4中掃描主機5和7。

-d,--dontresolve

在啟動時不解決IP。
如果你在啟動程序時遭遇瘋狂的“Resolving n hostnames…”消息時，這個選項會有所幫助。這種情況是由于你的網絡中的DNS非常慢而造成的。

-I,--iface

用于所有操作所針對的網絡接口。
你甚至可以指定一個網絡別名，以便掃描與你的當前IP不同的子網。

-n,--netmask

用于掃描局域網絡的網絡掩碼（以點分制表示）。
缺省的網絡掩碼為當前ifconfig中定義的掩碼。但是，如果你的掩碼為，比如255.255.0.0，那么如果你要在啟動時進行arp掃描的話，鼓勵你另外指定一個限制更強的掩碼。

-e,--etterconf

使用配置文件，而不是命令行參數。
在軟件的tar包中有一個etter.conf文件，其中包含一些配置范例，參考這些范例來了解如何編寫配置文件，在這些例子中給出了所有的指導信息。通過配置文件，你可以選擇性地禁止某個協議分析或把它轉移到另一個端口。命令行選項和配置文件可以非常靈活地混合使用，需要記住的是配置文件中的選項壓倒命令行選項，所以，如果在etter.conf指定了IFACE:eth0，并且你在啟動程序的時候指定了“ettercap -i eth1 -e etter.conf”，那么最終的選擇結果是eth0。
注意：“-e etter.conf”選項必須在所有選項的后面出現，也就是說它必須是最后一個選項。

-g,--linktype

這個標志有兩個補充功能，因此要注意它。
如果這個標志用于交互式方式，它不檢查局域網的類型。另一方面，如果與命令行方式(-N)連用，它要對局域網進行檢查，以了解它是否是一個交換網。有時，如果在局域網內只有兩臺主機，這種發現方法有可能失敗。

-j,--loadhosts

用于從指定的文件中加載主機表，該文件是通過-k選項創建的。

-k,--savehosts

把主機列表保存到文件中。
當目標網絡中有很多主機，并且你不希望在每一次啟動的時候都做一次arp風暴的時候，這個選項是很有幫助的。你只要指定這個選項，并把列表轉儲到一個文件中。然后加載這個利用-j 選項從文件中加載這些信息。文件名的形式為：“netaddress_neymask.etl”

-v,--version

檢查最新的ettercap版本。
所有的操作都在你的控制之下。每一個步驟都需要用戶確認。利用這個選項ettercap將連接到http://ettercap.sourceforge.net:80 web站點，并請求/latest.php，然后分析查詢結果并與你的當前版本進行比較。如果有一個更新的版本可用，ettercap將詢問你是否要需要wget（必須在路徑中）。如果你想要對所有的問題自動回答yes，增加選項-y。

-h,--help

在屏幕上顯示幫助信息，對每一個選項都有一個簡短的描述。

<4> 靜音方式選項（僅可以和-N選項連用）

-t,-proto

僅監聽協議PROTO的數據包（缺省為TCP+UDP）。
這個選項僅在simple方式下有用，如果你以交互式方式啟動ettercap，TCP和UDP數據包都將被監聽。PROTO可以是tcp或udp或all。

-J,--onlypoison

這個選項使ettercap不監聽任何數據流，但僅僅對目標進行欺騙。如果你需要利用ettercap進行欺騙，而用其他的軟件tcpdump或ethereal進行監聽時，可以利用這個選項（注意在這種方式下要使能IP_forwarding）。
另外一種用法是多目標監聽。正如你所了解的，你可以利用ettercap監聽兩個目標之間的連接信息（ARPBASED）,或某一個目標的進出信息（SMART ARP）。利用這個選項，你可以同時監聽若干目標（因為同時啟動了多個程序）。啟動第一個程序時選用SMART ARP，并用-H選項限制smart功能僅針對你想要欺騙的主機進行（記住如果在欺騙中涉及了網關，必須在以smart方式運行的實例中指定它）。然后在啟動其他的“ettercap -J”。

-R,--reverse

監聽除選擇的連接以外的所有連接。如果你在一個遠程主機上使用ettercap，并且要求監聽除了你自己的從本地到遠程的連接以外的所有其他連接時，可以選擇這個選項。因為如果包含了這樣的連接將會使ettercap監聽自己的輸出，并不斷迭加上去。

-O,passive

以被動的方式收集信息。在simple方式下，我們可以在許多方式中選擇這個選項。“ettercap -NO”將以半交互的方式啟動ettercap，輸入“h”來獲得幫助信息。你可以查看收集的信息，也可以把它們記錄到日志文件中，或簡單地瀏覽分析的數據包。“ettercap -NOL”與上面的方式相類似，不過它會自動地把數據記錄到文件中，記錄的時間間隔是5分鐘。“ettercap -NOLq”使ettercap每5分鐘把日志寫到文件中。你可以走開，抽支香煙，返回時就會有一個有關局域網的完整報告在等待著你…J

-p,--plugin

運行外部插件“NAME”
大多數插件需要一個目標主機，這只要在插件的名字后面指定目標主機就可以了。事實上，命令行上的主機解析中，第一個主機為DEST，SOURCE也同樣。為了獲得可用的外部插件列表，使用“list”(不包括引號)作為插件的名字。由于ettercap 0.6.2提供了鉤子插件系統，所以一些插件并不是作為獨立的程序運行，它們可以和ettercap交互，可以通過接口或配置文件使能或禁止。有關插件的詳細信息以及如何編寫自己的插件，可以在README.PLUGING文件中找到。

-l,--list

列出局域網中的所有主機，報告每一個MAC地址。
通常與-b(ping廣播)選項和-d（不解決主機名）選項連用。

-C,--collect

收集在命令行上指定的那些主機的所有用戶和口令信息。
在配置文件（etter.conf）中配置口令收集器，如果需要的話，可以有選擇性地禁止它們，或者把它們轉移到另一個端口。如果你不希望收集SSH連接信息，但收集其他所有協議的數據的時候，這個選項很有用。如果你已知某一臺主機在端口4567上提供telnet服務，只要把telnet解碼移動到4567/tcp就可以了。

-f,--fingerprint

對主機進行OS指紋收集。
這個選項利用與nmap所使用的相同的方法和數據庫：Fyodor fyodor@insecure.org，所以引用一段其man手冊頁中的一段：
這個選項通過TCP/IP指紋來標識遠程主機。換句話說，它通過一套技術來檢測被掃描主機的網絡協議棧的特征。它利用這些信息建立一個指紋，這個指紋將同已知OS指紋庫相比較，從而確定所掃描主機的系統類型。
-f選項甚至可以向你提供被掃描主機所用的網絡適配器的生產廠家。這些信息被存放在mac-fingerprints數據庫中。

-x,--hexview

以十六進制數方式轉儲數據。
提示：在監聽的時候，可以改變顯示效果，只要按”x”或”h”鍵就可以實現按16進制數顯示或按Ascii字符顯示。

-L,--logtofile

如果這個參數單獨使用的話，會把所有的數據保存到特定的文件中。它會為每一個連接建立一個單獨的文件，在UNIX系統下文件名為YYYYMMDD-P-IP:PORT-IP:PORT.log，
在Windows環境下的文件名為P-IP[PORT]-IP[PORT].log。如果與C參數連用，它會創建一個名為YYYYMMDD-collected-pass.log文件，其中記錄了所有監聽到的口令信息。

-q,--quiet

魔鬼化ettercap。
如果你希望以后臺工作方式記錄所有的數據，可以使用這個選項。這個選項將使ettercap脫離當前的tty，并把它設置為一個daemon。這個選項必須與-NL(或-NCL)選項聯合使用，否則的話沒有任何作用。顯然，還需要指定一種監聽方式，因此這個選項還要和一個表示監聽方式的選項相配合。

-w,--newcert

為HTTPS中介攻擊方式創建一個新的cert文件。
如果你想要利用社會工程方式獲得的信息創建一個cert文件，可以使用這個選項。新創建的文件保存在當前工作目錄下。為了長期替換缺省的cert文件（etter.ssl.crt），必須改寫/usr.local/share/etter.ssl.crt。

-F,--filter

從文件FILENAME中加載過濾鏈。
過濾鏈文件是用偽XML格式編寫的。你可以通過手工改寫文件或通過ettercap的用戶界面來讓ettercap創建這個文件（在連接表界面中按’F’鍵）。如果你很熟悉XML語言分析，可以寫自己的程序來建立過濾鏈文件。

過濾規則很簡單：
如果 協議 源端口 目的端口 數據流 與規則匹配，在過濾器完成了它的響應 之后，跳轉到在 域中定義的過濾器id，否則它跳轉到 。如果這些域是空的，鏈就中斷了。如果源端口和目的端口為0，意味著任意端口。在查找串中可一使用通配符（細節見README）。

注意：這個選項使能了過濾器，如果需要禁止它，在監聽過程中按“S”（源）或“D”（目的）。

注意：在命令行上，對主機的解析為：ettercap –F etter.filter DEST SOURCE。所以第一個主機被綁定到目的鏈，第二個主機被綁定到源鏈。
重要注意事項：源鏈規則應用到從源發出的數據上，而不是發送到源的數據上，千萬牢記?。?！對于目的地址也是同樣。

-c,--check

檢查你是否被局域網上特定目標中的其他欺騙者所欺騙。
對命令行上的目標主機的解析是反向的。第一個主機是DEST，第二個主機是SOURCE。如果你在基于IP的方式下監聽，這個順序沒有關系，因為源和目的都被忽略了。但是如果你在對連接進行過濾，這個順序對于綁定到相關的過濾鏈就很重要了。
這個反向的順序是由于與插件的更加靈活接口。因為有些插件需要指定目標主機，那么ettercap –Np ooze victim這種形式要比ettercap –Np ooze NOONE victim簡單一些。
可以用點分制的格式來輸入目標（192.168.0.1）或者以域名的格式來輸入目標（victim.mynet.org）。只有在-H選項中可以使用通配符。

<5> 交互模式

如果啟動ettercap的時候沒有指定-N選項，那么就自動選取了交互模式。如果在某些情況下不知到可以做什么，只要鍵入‘H’就可以彈出幫助畫面。在那里可以看到可執行命令的消息列表。

<6> 脫機工作

如果你想要分析由tcpdump或ethereal保存的libpcap格式文件，可以使用Script插件?？梢杂盟鼇碇貥嬤B接列表，進行口令收集工作或被動OS指紋收集。要實現這些只要指定-T選項，然后以與收集網絡數據同樣的方式使用ettercap。為了保存tcpdump文件以便進行進一步的分析，使用-Y選項。