局域网攻击软件Ettercap中文说明.docVIP

Ettercap中文说明 信息包工厂:你能够用飞一般的速度创建和发送伪造的包.他能够让你发送从网络适配器到应用软件各种级别的包.绑定监听数据到一个本地端口:你能够从一个客户端连接到这个端口并且能够为不知道的协议解码或者把数据插进去(只有在arp为基础模式里才能用)(不知道这段是不是这个意思)OPTIONS一般而言ettercap的参数都能够联合,如果遇到不支持的联合参数,ettercap将会提示你.监听模式-a,--arpsniffarp为基础的监听这是交换机网络中的监听模式,如果你想使用mitm(man in the middle)技术的话你就不得不使用这种模式.在和安静模式(-z参数)联合使用的时候,如果决定采用ARPBASED模式(full-duplex),你必须指定两个IP和两个MAC地址,如果采用PUBLICARP模式(half-duplex),你就只需要指定一个IP地址和一个MAC地址.在使用PUBLICARP模式的时候,arp答复采用广播形式发送,但如果ettercap有完整的主机列表(启动的时候ettercap会扫描网络),ettercap会自动选择SMARTARP模式,arp答复会发送给除了肉机以外的所有主机,and an hash table is created to re-route back the packet form victim to client obtaining in this way a full-duplex man in the middle attack.这时候路由表关于从肉机到客户端的这部分被重新改写,这样就开始了一个mitm攻击(这一段也不是很清楚).注意:如果你想使用smartarp模式来poison一台机器,记得在conf文件里面设置好网关的IP(GWIP项目)而且用-e参数来启动,否则那台机器不能连接到别的机器上.利用过滤来进行包替换和包的丢弃,只能用在ARPBASED的监听中,是因为在full-duplex中必须重新调整序列号以能够使连接保持活动.-s,--sniff基于IP的监听这是一种比较老的也是不错的监听模式.但它只能在基于hub的网络上面使用,在使用了交换机的网络上面没法工作.你可以指定源,也可以指定目标,可以指定端口或者不制定,甚至可以什么也不指定(监听所有连接)让它工作.特殊的IP ANY表示从或者到任何的机器.-m,--macsniff基于mac的监听监听远程的机器上面的tcp通讯可以使用这种模式.在基于hub的网络上你如果想要监听一个通过网关的连接,制定目标机器和网关的ip是没有用的,因为包不是发给网关的.在这个时候你就可以使用这种模式.只需要指定目标机器和网关的mac你就能够看到它们所有的连接.脱机监听-T,--readpcapfileFILE脱机监听使用了这个参数以后,ettercap会检查一个pcap兼容文件,而不是在网络上取包.如果你有一个用tcpdump或者ethereal记录下来的文件而且你想在这个文件上做一些分析工作(查找密码或者被动指纹)的话,你可以采用这个参数.-Y,--writepcapfileFILE把包纪录到一个pcap文件中如果你不得不在一个交换机网络上使用一个活动的监听(arp欺骗)但你想使用tcpdump或者ethereal分析的话,你可以用这个参数.你能够使用这个参数来把包记录到一个文件中然后把它导入到你感兴趣的软件中.GENERAL OPTIONS-N,--simple无交互模式当你需要在脚本中运行ettercap或者你已经知道目标的一些信息，或者你想在后台运行ettercap帮你收集数据以及密码（和--quiet参数一起使用），这种模式是比较有用的。一些功能在这种模式下面不能使用，当然是指那些需要交互的功能，就像字符的插入功能。但其他的（就像过滤）是完全可以用的，所以你能够设置ettercap监听两台机器（目标机器和它的网关）、过滤他的80端口的连接并且替换掉一些字符串，它的所有在internet上的通过80端口的通讯就会按照你所希望地进行改变。-z,--silent安静模式（启动的时候没有arp风暴）如果你希望用一种比较安静的模式启动ettercap（因为一些NIDS在监测到过多的arp请求包的时候会发出警告）。你在使用这种参数的时候你必须知道所有你必须知道的目标机器的数据。例如如果你想要监听两台机器，你就必须知道这两台机器的ip地址以及mac地址。如果你选择了基于ip的监听或者基于mac的监听，ettercap会自动切换到这种模式，因为你这个时候不需要知道lan中的机器列表。如果你想要知道机器列表可以使用命令ettercap -Nl,但你必