原英文的帮助文档可以在 http://linux.die.net/man/8/ettercap 查看
或者在安装有ettercap的Linux终端输入”man ettercap”查看
多数以我自己的理解的方式翻译,不是很理解的地方翻译过来的可能会有很多不对的地方
如果对我翻译的内容有不一样的看法,欢迎交流。
Name
ettercap 0.7.5 - A multipurpose sniffer/content filter
for man in the middle attacks
Important Note(注意事项)
Since ettercap NG (formerly 0.7.0), all the options have been changed. Even the target specification has been changed. Please read carefully this man page.
Synopsis
ettercap [选项(参数)] [目标1] [目标2]
目标的格式: MAC/IPs/IPv6/PORTs
可以指定目标IP和端口的范围
例:
/192.168.0.1-30,40,50/20,22,25
表示目标IP为192.168.0.1到192.168.0.30的范围和192.168.0.40 192.168.0.50的机器,端口为20 22 25
Ettercap刚开始只是作为一个网络嗅探器,但在开发过程中,它获得了越来越多的功能,在中间的攻击人方面,是一个强大而又灵活的工具。它支持很多种协议(即使是加密的),包括网络和主机产品特征分析。
它主要有2个嗅探选项:
UNIFIED,这个模式可以嗅探到网络上的所有数据包,可以选择混杂模式(-p选项)。如果嗅探到的数据包不是ettercap主机的就自动用第3层路由转发。所以,你可以用不同的工具作中间人攻击(MITM)转发修改过的数据包。系统内核(kernel)的转发功能默认是被ettercap禁用的,这样做的目的是为了防止一个数据包被转发两次,这是一种网关攻击行为,所以,我们推荐在geteways ONLY和UNOFFENSIVE MODE ENABLED的模式下使用ettercap。在ettercap开始监听一个网络接口之后,启用了网关攻击模式,数据包就不会由路由器转发到第二个接口。
大概原理就是:ettercap欺骗主机A,让主机A把本应该发送给主机B的数据包发送到ettercap主机,在由ettercap主机转发到主机B,同理也欺骗主机B,让主机B的数据包也经过ettercap主机。粗俗一点就好比你从村里到城里,半路遇到土匪截道,你身上的东西全被翻了一遍,这个土匪是要给你加点东西过去还是要抢点东西就要看他的心情了。
BRIDGED,这个模式采用的是双网卡,嗅探其中一个网卡传输的数据并发送到另一个网卡。因为这种嗅探方式是在双网卡(或者多网卡)的机器下进行的,所以网络上的设备不会找到攻击者是谁(原文的意思是隐身)。你可以在1层网络中尝试一下这种中间人攻击方式…(后面的没看明白什么意思)HINT:可以使用过滤来选择需要传输的数据包,这种方式在ettercap中成为一个内联IPS。
BRIDGED模式的原理就比较好理解吧,ettercap就在两块网卡中间嗅探两块网卡的数据
你可以在嗅探期间使用同样的中间人攻击,也可以选择你喜欢的MITM攻击。MITM攻击模块是独立于监听过程和过滤过程的,所以在进行攻击的时候,你可以使用自己的攻击工具。关键的一点是,这些数据包必须到达ettercap的正确MAC地址和一个不同的IP地址(只有这些数据包才会被转发)这个关键的一点我也没看明白什么意思,英语太水…
支持SSH1:可以嗅探到账户和密码,包括SSH1连接中的数据,ettercap是第一款在全双工通信中嗅探嗅探的软件。
支持SSL:可以嗅探到SSL的数据…发送假证书和会话密钥给客户端解密
在已建立的连接中注入字符串:你可以注入字符到服务或者已激活的连接中
Packet filtering/dropping: 可以设置一个过滤脚本,在TCP或者UDP连接中可以搜索指定的字符串,然后用自己的数据替换掉原数据包中的字符串(或者hex)或者整个数据包
Remote traffic sniffing through tunnels and route mangling: You can play with linux cooked interfaces or use the integrated plugin to sniff tunneled or route-mangled remote connections and perform mitm attacks on them.
Plug-ins support : 通过ettercap的API接口创建自己的插件
可以嗅探到这些密码 : TELNET, FTP, POP, RLOGIN, SSH1, ICQ, SMB, MySQL, HTTP, NNTP, X11, NAPSTER, IRC, RIP, BGP, SOCKS 5, IMAP 4, VNC, LDAP, NFS, SNMP, HALF LIFE, QUAKE 3, MSN, YMSG (other protocols coming soon…)
被动式TCP_IP指纹识别操作系统: 被动扫描局域网(不发送任何数据包),收集局域网中主机信息:操作系统,运行服务,开放端口,网络,MAC地址和网络适配器供应商
结束一个连接: 可以连接列表中结束所有你想结束的连接
目标1和目标2两个参数没有哪一个是源目标或者终目标的概念,因为他们之间的流量是从[目标1]到[目标2],或者是从[目标2]到[目标1],(因为是双向连接的)
[目标] 的格式 MAC地址/IP地址范围/端口范围 。如果省略了任何一部分,那缺省部分则默认代表全部。
例:
“//80” –表示 “所有的MAC地址 / 所有的IP地址 / 监听80端口”
“/10.0.0.1/” –表示 “所有的MAC地址 / 监听10.0.1 IP所属的主机 / 所有的端口”
MAC地址必须是唯一的 00:11:22:33:44:55
IP地址范围可以用“-”(连字符)来指定范围,也可以用“,”(逗号)来表示单个不同的IP,还可以用“;”分号表示不同的IP。
例
“10.0.0.1-5;10.0.1.33” –这个展开表示就是IP地址为 10.0.0.1, 2, 3, 4, 5 和 10.0.1.33
端口范围可以用“-”(连字符)来指定范围,也可以用“,”(逗号)指定其它端口
例
“20-25,80,110” 展开表示端口范围是 20, 21, 22, 23, 24, 25, 80 和 110
注:
可以用“-R”选项来反选匹配目标,假如你想嗅探一个范围内排除10.0.1之外的所有主机可以使用
ettercap -R /10.0.0.1/
注:
TARGETs are also responsible of the initial scan of the lan. You can use them to restrict the scan to only a subset of the hosts in the netmask. The result of the merging between the two targets will be scanned. remember that not specifying a target means “no target”, but specifying “//” means “all the hosts in the subnet.
权限的分配
ettercap必须使用root权限来打开socket连接,初始化过后就不需要root权限,之后ettercap会生成日志文件,所以ettercap必须在一个正确的可执行目录下运行(如:/tmp/)。如果想用不同的uid来使用,可以导出环境变量EC_UID到你想使用的uid(如: export EC_UID=500)或者在配置文件etter.conf文件中设置正确的参数。
SSL 中间人攻击
在执行SSL中间人时,ettercap的证书都是根据服务器提供的证书来伪造创建的。修改后得到的私钥文件会存在“etter.ssl.crt”,如果要使用不同的私钥,必须使用下面的命令重新生成这个文件:
openssl genrsa -out etter.ssl.crt 1024
openssl req -new -key etter.ssl.crt -out tmp.csr
openssl x509 -req -days 1825 -in tmp.csr -signkey etter.ssl.crt -out tmp.new
cat tmp.new >> etter.ssl.crt
rm -f tmp.new tmp.csr
注: SSL 中间人攻击现在不能在桥接模式下使用。
一般参数都可以组合在一起使用,如果参数不支持组合使用ettercap会有提示警告。
ettercap NG有一套统一的新使用标准。这就是,IP转发功能在kernel内核中始终是默认关闭的,数据包的转发是通过ettercap进行的。每一个目标MAC地址相同的数据包,会把各个主机MAC地址和他们的IP地址绑定,这些数据包都会由ettercap来转发。在转发之前,ettercap可以对内容进行过滤,嗅探,记录日志或者丢弃这些数据包。这些被劫持的数据包都由ettercap来处理,你也可以使用外部程序来劫持这些数据包。
在promisc模式设置界面设置你想使用插件或者其他任何攻击方法,你有权选择哪些数据包可以接收,可以使用中间人攻击。
重要注意事项: 如果在一个网关上运行ettercap,在重新启用ip_forwarding之后,你得结束ettercap,因为ettercap不会让你恢复ip_forwarding(IP转发功能)
====================
书写格式:-M或–mitm 方式:参数
这个参数选项是激活中间人攻击,这是一个完全独立的嗅探方式,此攻击行为的目的在于劫持数据包和重定向数据包,如果有必要,嗅探引擎将转发这些数据包。你可以选择你喜欢的MITM攻击方式,同时可以执行其他不同的攻击。
如果需要用到参数来制定你的中间人攻击方式,可以在“:”后设定(例:-M dhcp:ip范围,子网掩码等)
主要有4种MITM攻击方式:
arp ([remote],[oneway]) //remote双向欺骗,oneway单项欺骗
这个方法实现的是中间人攻击中的ARP中毒,发送ARP请求/回复给受害者。ARP缓存中毒受害者的所有数据包都会发送给攻击者,反之可以修改收到的数据包和重定向数据包的目标地址。
在静默模式(-z 选项)中,只有第一个目标被选中,如果你想在静默模式下投毒给多个目标,需要使用-j选项从文件中加载目标列表。
也可以选择空目标,将被视为是局域网内的“任何主机”。会通过ARP扫描来确定被攻击的目标列表。
“remote”这个参数是可选的,如果要进行双向欺骗就必须选定这个参数,如果在目标列表中指定一个受害者和网关,ettercap会嗅探他们之间的联系,但是使用ettercap嗅探到的数据包要通过网关,你就必须使用这个参数。
“oneway”这个参数只能在目标1和目标2之间投毒。这个功能使用在你只需要在客户之间投毒,而不需要破坏整个路由。
例:
目标: /10.0.0.1-5/ /10.0.0.15-20/
主机列表: 10.0.0.1 10.0.0.3 10.0.0.16 10.0.0.18
结果-受害者之间的联系将会是:
1-16, 1-18, 3-16, 3-18
目标重叠,会跳过相同的IP地址。
注:如果你要使其中一台机器瘫痪,必须在内核指定网关设置正确的路由表。如果路由表是错误的,用户将无法连接到互联网。
icmp (MAC/IP)
ICMP攻击,是通过在局域网中伪造一个ICMP重定向报文伪装成最近的一台路由主机,让所有连接到互联网的主机的数据包都发送给攻击者,再由攻击者转发给真正的网关。
icmp的使用必须指定真实网关的MAC地址和IP地址(格式:-M icmp:MAC地址/IP地址)
例:
-M icmp:00:11:22:33:44:55/10.0.0.1
//真实网关的MAC地址为00:11:22:33:44:55,IP地址为10.0.0.1,将重定向所有通过改网管的连接。
dhcp (ip_pool/netmask/dns)
**dhcp攻击是在局域网中把自己为装成DHCP服务器,给新接入主机分配动态IP地址。所以参数中必须给定IP地址池、子网掩码、DNS主机地址(格式:-M dhcp:准备分配的IP地址范围/子网掩码/DNS主机地址)
警告:如果和真实的DHCP分配了重复的IP地址,将会在局域网中造成冲突,所以在一般情况下要谨慎使用这种攻击模式,他会把整个局域网弄得很糟糕。就算停止攻击,所有受害主机还会认为攻击者就是网关,直到租用时间期限到了为止。**
例:
-M dhcp:192.168.0.30,35,50-60/255.255.255.0/192.168.0.1
//准备分配出去的IP地址是192.168.0.30,35和50-60,子网掩码是255.255.255.0,默认DNS主机的地址是192.168.0.1
port ([remote],[tree]) #保留原文,没弄明白
This attack implements Port Stealing. This technique is useful to sniff in a switched environment when ARP poisoning is not effective (for example where static mapped ARPs are used).
It floods the LAN (based on port_steal_delay option in etter.conf) with ARP packets. If you don’t specify the “tree” option, the destination MAC address of each “stealing” packet is the same as the attacker’s one (other NICs won’t see these packets), the source MAC address will be one of the MACs in the host list. This process “steals” the switch port of each victim host in the host list. Using low delays, packets destined to “stolen” MAC addresses will be received by the attacker, winning the race condition with the real port owner. When the attacker receives packets for “stolen” hosts, it stops the flooding process and performs an ARP request for the real destination of the packet. When it receives the ARP reply it’s sure that the victim has “taken back” his port, so ettercap can re-send the packet to the destination as is. Now we can re-start the flooding process waiting for new packets.
If you use the “tree” option, the destination MAC address of each stealing packet will be a bogus one, so these packets will be propagated to other switches (not only the directly connected one). This way you will be able to steal ports on other switches in the tree (if any), but you will generate a huge amount of traffic (according to port_steal_delay). The “remote” option has the same meaning as in “arp” mitm method.
When you stop the attack, ettercap will send an ARP request to each stolen host giving back their switch ports.
You can perform either HALF or FULL DUPLEX mitm according to target selection.
注: 这个中间人攻击的方法只在交换机环境中使用,使用前须谨慎,会产生破坏。
注: 这个攻击方法不能在-o(–only-mitm)模式下使用,因为他基于嗅探引擎钩子,也不能注入数据。
注: 结合其它中间人攻击使用这个方法是很危险的。
注: This mitm method doesn’t work on Solaris and Windows because of the lipcap and libnet design and the lack of certain ioctl(). (We will feature this method on these OSes if someone will request it…) //大概是说这个功能不支持在Solaris和Windows系统下使用。
例:
The targets are: /10.0.0.1/ /10.0.0.15/
//你将会看到拦截到的10.0.0.1和10.0.0.15之间的流量,但是你也会接受到从10.0.0.1和10.0.0.15之间的所有流量。
The target is: /10.0.0.1/
//你会看到拦截到的所有流向10.0.0.1的流量。
此选项禁用嗅探功能,只允许进行中间人攻击。可以用来来攻击其它嗅探流量的嗅探器。保持数据包留在ettercap不被转发。要让kernel负责转发数据包,记得要在kernel中启用”ip forwarding”功能。
在pacp库中设置过滤器,格式和tcpdump抓包工具的一样。这个功能是过滤出数据包,如果执行中间人攻击,ettercap将不能够劫持转发数据包。这个功能可以减少ettercap的网络负载。
BRIDGED 模式
文章最前面提到过的,两个网卡之间的数据包嗅探和转发,这里不重复了,
你可以过滤掉所有数据包,只作为一个转发工具。
======================
离线嗅探,这个选项将数据包从已保存的pcap文件中提取出来,而不是在线嗅探。
可以读取tcpdump或者ethereal (这是wireshark的前称)等抓包软件保存下来的数据包,用作数据分析。
把嗅探到的数据包保存为pcap文件
如果要分析局域网中arp投毒的数据包,你可以把这些数据包保存到一个文件,再用tcpdump或者ethereal或者其它你喜欢的抓包软件打开。
注:转储文件会收集所有目标的数据包,这样做是因为你可能想记录下一些ettercap不支持的协议,所以你可以用其它工具分析。
TIP: you can use the -w option in conjunction with the -r one. This way you will be able to filter the payload of the dumped packets or decrypt WEP-encrypted WiFi traffic and dump them to another file.
====================
只有文字界面,只有打印输出。
在运行的时候按下‘h’键会有帮助。
安静模式,它只与控制台界面结合使用,它不会打印输出数据,如果想要转储pcap文件是很有用的。
例:
ettercap -Tq -L dumpfile -r pcapfile //文本模式+安静模式转储文件
这个选项可以在键盘上输入ettercap命令让它加载。你可以在ettercap中使用你喜欢的命令,有一个特殊的命令:s(x),这个命令会休眠x秒。
例:
ettercap -T -s ‘lq’ //在打印出主机列表后退出
ettercap -T -s ‘s(300)olqq’ //收集信息5分钟,打印出本地配置文件列表之后退出。
基于Ncurses的GUI。
基于GTK的图形化界面。
此选项将ettercap从当前终端分离,创建一个守护进程在后台运行。可以把这个功能和日志记录功能结合使用,记录下所有流量。如果守护进程失败,会创建一个日志文件“./ettercap_daemonized.log”在日志报告中可以看到错误信息。
====================
手动选择网卡,这个选项需要 libnet >= 1.1.2
这个功能可以打印输出可用的网卡列表
使用这个选项手动选择IP地址,而不是自动检测当前的IP地址,这个选项在一个网卡有多个IP地址的情况下适用。
这个选项可以手动设置子网掩码,而不是自动检测当前的子网掩码。这个选项在你的网卡是B类子网掩码,但是你只想扫描C类的情况下适用。
使用这个参数之后,你填的目标则是被排除的目标。
例:
ettercap -R /10.0.0.1/ (使用了-R选项,那我们这里的目标则是所在网络中除了IP为10.0.0.1的所有其他主机)
选择指定监听的协议,默认情况下监听TCP和UDP协议。如果要区分监听“TCP”或者“UDP”可以用到这个选项。参数可以是“tcp”、“udp”和“all”
这个选项不进行arp初始化扫描。
注:不进行初始化,你就不会有可以进行arp欺骗的主机列表,你只能通过指定目标嗅探他们之间的数据。
这个选项是不使用混杂模式,混杂模式下你可以收听到不是发到你的网卡的数据。如果你只想嗅探到发送到你自己主机的数据,可以使用这个选项。
默认情况下ettercap会拦截HTTPS,伪造SSL证书,使用这个选项会禁用SSL证书伪造功能。
每次启动ettercap之后,会关闭系统内核(kernel)的数据转发功能,所有转发工作都由ettercap来替代。这个选项会关闭ettercap的转发功能,保留系统的转发功能,让数据的转发继续由kernel工作。
这个功能不能转发修改过的数据包。
如果在网关运行ettercap可以使用这个选项,这样就可以让数据包正确的被转发出去。
可以加载一个通过-k选项生成的主机列表文件(-k选项用法请往下看)
保存主机列表到一个文件里。有许多主机的时候可以使用这个选项生成一个列表文件,在使用的时候可以通过-j参数直接加载这个列表文件,不必再重新扫描
运行指定的插件。
在控制台模式(-C)下,独立的插件运行之后退出程序,插件钩子被激活,然后进行正常的嗅探。
有一个外部插件列表,可以用“list”来查看(例:ettercap -P list)
注:你可以在图形化界面直接启动插件(经常按下“H”键可以获得帮助)
更多关于如何编写插件的信息可以查看ettercap_plugin的帮助文档(系统中执行“man ettercap_plugin”)
加载过滤器文件,过滤器文件必须使用etterfilter编译,这个程序会把过滤脚本编译成一个可以用在ettercap下的二进制文件,可以阅读etterfilter的帮助文档获得更多过滤脚本的内容(“man etterfilter”)。可以在任何时候加载任意过滤器文件
注:这个过滤文件和pacp的过滤文件不同,ettercap是具有内容过滤和数据包修改功能的,而pacp的过滤文件只是过滤数据包。
注:你可以使用pcap过滤文件保存数据,但是ettercap不会去重新校验这些数据文件。
可以加载wep密码进行WIFI密码破解,解码器只会传递解密成功的密码,其他的消息都会被跳过。
参数语法如下:
N:T:KEY
其中N表示密钥长度(64、128或者256),T表示字符串类型(‘s’是字符串,‘p’是密码),KEY可以是一个字符串,也可以是一段十六进制值
例:
–wep-key 128:p:secret
–wep-key 128:s:ettercapwep0
–wep-key ‘64:s:\x01\x02\x03\x04\x05’
载入一个配置文件,不使用默认的/etc/etter.conf配置文件。如果经常在多种不同的环境下做渗透这个选项非常有用。
====================
只负责匹配正则表达式的数据包。这个功能可以和-L日志功能一起使用。这个功能对可视化操作有一定影响,它只会显示匹配的正则表达式。
这个选项可以设置在可视化中数据包的显示方式。
格式如下:
hex (16进制)
用16进制打印数据包
例:
the string “HTTP/1.1 304 Not Modified” becomes:
0000: 4854 5450 2f31 2e31 2033 3034 204e 6f74 HTTP/1.1 304 Not
0010: 204d 6f64 6966 6965 64 Modified
ascii
只打印输出“可以被打印”的字符,其他的都用点“.”显示
text
只打印“可以被打印的字符串”,跳过其它的。
ebcdic
把EBCDIC文本转换为ASCII
html
在文本中删除所有html标签
例:
< title >This is the title< /title>, but the following < string > will not be displayed.
显示结果为:This is the title, but the following will not be displayed.
utf8
打印输出的为UTF-8格式,执行编码转换的声明在etter.conf文件中。
把IP地址转换成主机名
注:这可能会很大程度上托慢ettercap的运行速度。每当一个主机执行一次查询ettercap会先在缓存中查询,但是一个新的DNS查询可能会等待2秒或者3秒来反映。
打印输出数据包报头(例:mac addresses //MAC地址)
超级安静模式,不会打印输出收集到的用户名和密码,只会保存成文件。使用插件时,会显示所有收集到的信息,使用这个选项就可以什么都不显示。
例:
ettercap -TzQP finger /192.168.0.1/22
====================
这个选项将会吧所有收集到的数据保存为二进制文件,创建的日志文件可以用etterlog打开。给定一个参数logfile,ettercap会创建出logfile.ecp(数据包)和logfile.eci(信息)两个文件
注:日志文件可以用-c选项来压缩
和-L选项很相似,但这个选项只记录主机的信息+用户名+密码。这份文件会被命名为LOGFILE.eci
显示存储在日志文件里的所有用户信息。这个选项可以在ettercap运行后台模式的时候进行跟踪查看,这也是唯一跟踪查看后台运行模式收集到的信息的方法。
使用gzip压缩日志文件,etterlog可以处理压缩和没有压缩过的日志文件
只存储本地局域网的配置信息。
存储远程主机配置信息。
====================
连接到ettercap的网站(ettercap.sf.net)检查并取回ettercap更新。
如果你只想检查是否有可用的更新,可以使用-z选项:ettercap -zU
打印输出版本信息并退出。
在屏幕上打印输出简短的帮助信息。
====================
在控制台模式下(-T)不使用混杂模式(-p),你只会看到自己的通信。
ettercap -Tp
在控制台模式下(-T),不使用ARP初始化(-z),不显示数据包内容(-q安静模式),但是会显示用户名和密码和其他消息。
ettercap -Tzq
在控制台模式下(-T),加载主机列表(-j),对目标执行arp毒化中间人攻击(-M arp)
ettercap -T -j /tmp/victims -M arp /10.0.0.1-7/ /10.0.0.10-20/
在控制台模式下(-T),对整个局域网执行ARP毒化攻击(-M arp)
ettercap -T -M arp // //
在控制台模式下(-T),执行ARP双向欺骗(-M arp:remote)
ettercap -T -M arp:remote /192.168.1.1/ /192.168.1.2-10/
在控制台模式下(-T),不使用ARP初始化(-z),使用安静模式(-q),监听所有主机110端口(pop3协议端口)
ettercap -Tzq //110
在控制台模式下(-T),不进行ARP初始化(-z),使用安静模式(-q),监听目标10.0.0.1的21,22,23端口(FTP、SSH、TELNET)
ettercap -Tzq /10.0.0.1/21,22,23
打印输出可用插件列表。
ettercap -P list
====其它内容如果感兴趣可以自己查看ettercap的man page====