Ettercap系列 II：基于命令行界面(结合driftnet截获目标机器正在浏览的图片)

    相信跟着这个系列走，一直看到这篇文章的读者已经了解了基于图形化Ettercap的操作，并对Arp欺骗和Ettercap相关的术语有所了解。本篇就如何在命令行界面下操作ettercap，以实现与图形化界面相同的效果展开讨论。可能你会不解：既然我已经会操作图形化界面的ettercap了，为什么还要多此一举的使用命令行界面？我的想法有两点：

1.要使用图形化界面，前提是有系统支持。一些嵌入式平台性能本身就够呛，开启图形化界面的同时再进行中间人欺骗，真是难为它了；

2.使用命令行操作ettercap便于同其他程序结合。比如，可以通过c语言sprintf语句拼凑出各种欺骗方式，其便捷性是图形化界面远不能及的。

    好，回到正题，如何用命令行实现的效果？其实只要一条命令就够了，如下：

 sudo ettercap -Tq -i wlp4s0 -M arp:remote /192.168.1.3// /192.168.1.1//

参数解释：

-T：以命令行方式启动ettercap；
-q：安静模式，ettercap只输出重要信息，比如在中间人欺骗过程中，ettercap发现了用户名/密码相关的数据流，它会把数据流中的用户名密码显示在终端上；如果以非安静模式启动ettercap，那么有大量的ettercap输出信息会涌向终端；
-i：指定接入局域网进行中间人攻击的网卡；
-T -q -i参数经常组合出现，可以简写为-Tqi
-M：指定ettercap进行中间人攻击。其格式为 -M 。对于上面的命令，Method对应arp，指定ettercap进行Arp欺骗；arp欺骗的参数--Args为remote，指定ettercap双向欺骗。如果只进行单向欺骗(即只欺骗Target1)，相应的参数为: -M arp:oneway

命令行中接下来的参数对应图形化界面中的target1和target2，它们以"MAC/IPv4/IPv6/Port"的形式出现，以"/"划分MAC地址,IPv4地址,IPv6地址,端口4个元素(现在Ubuntu默认开启了IPv6，所以需要使用这4元素；如果没有开启IPv6，那么只需要MAC/IPv4/Port 3元素即可)。常见的4元组组合形式如下：
    a. /192.168.1.3//    对IPv4地址192.168.1.3的所有端口实施中间人欺骗;
    b. /192.168.1.3-192.168.1.10//     对局域网中IPv4从192.168.1.3到.10之间的主机实施中间人欺骗;
    c. /192.168.1.3//80    仅仅对IPv4地址192.168.1.3主机80号端口的流量实施中间人攻击;
    d. ///    对局域网中所有主机流量进行中间人攻击

恩，命令行下ettercap的用法大致如此，让我们来看个有趣的应用：结合driftnet开启Arp欺骗，看看目标机器在浏览什么图片。我在192.168.1.3上打开浏览器随便输入一个网站，页面上有茅台镇企图带领我们脱贫致富的广告图：

回到我的机器上，开启终端1，开启Arp欺骗：

 sudo ettercap -Tq -i wlp4s0 -M arp:remote /192.168.1.3// /192.168.1.1//

开启另一个终端2，运行driftnet：

sudo driftnet -i wlp4s0 -d ~/Desktop/
#-d 将捕获的图片存放到指定路径
#-i 指定捕获的网卡

不一会，在我机器上出现一堆图片，其中有它：

呵呵呵，没有劲爆的图，所以说都是些没用的技能～