Ettercap嗅探

1. Ettercap是什么？

    Ettercap最初只是作为一个局域网嗅探工具（sniffer）。但是，随着时间的推移和工具的开发完善，Ettercap提供了越来越多的功能特性，使它变成了一款强大的、灵活的中间人攻击工具。（此段来自Ettercap手册）。

   先把Ettercap的使用语法放出来：

         Usage: ettercap [OPTIONS] [TARGET1] [TARGET2]

1. 嗅探 

     单从嗅探的功能来说，它与其他的嗅探工具一样（如wireshark），都能够侦听局域网上的数据帧。只是，在局域网上有很多的主机节点，Ettercap究竟会侦听哪些主机之间通信、这些主机之间通信中的哪些数据帧，由其参数，也就是[OPTIONS] [TARGET1] [TARGET2]，控制。TARGET1和TARGET2控制Ettercap侦听哪些主机之间通信。而OPTIONS，宽泛来说，可以控制Ettercap侦听（主机之间通信的）哪些数据帧。

    在Ettercap的手册中，对于TARGET1 和 TARGET2是这样描述的：

    There  is  no concept of SOURCE nor DEST. The two targets are intended to filter traffic coming from one to the other and vice-versa (since the connection is bidirectional).

    。。。。。。

    NOTE:
    TARGETs are also responsible of the initial scan of the lan. You can use them to restrict the scan to only a subset of  the  hosts  in  the netmask.  The  result  of the merging between the two targets will be scanned. remember that not specifying a target means "no target", but specifying "//" means "all the hosts in the subnet".

这两段话的意思就是说，TARGET1 和 TARGET2 控制了Ettercap侦听哪些主机之间通信。

为了验证TARGET1 和 TARGET2是如何影响Ettercap侦听数据帧的，我做个简单的实验。

测试环境为一个局域网，我有两个主机（其中一个是主机，其中一个是虚拟机）连接到该局域网上，其中一个主机的ip地址是192.168.101.2，另一个主机（虚拟机）的IP地址是192.168.101.60.当然这个局域网上还有别人的主机。

在虚拟机（192.168.101.60）中运行如下命令：ettercap -Tq  //192.168.101.2// //192.168.101.5//，改命令的意思是，侦听192.168.101.2 和 192.168.101.5之间的所有数据通信。

在主机上（192.168.101.2）运行ping命令，ping其他人的ip，如： ping 192.168.101.5.

结果如下图：

    可以看到，Ettercap成功的侦听到了两者之间的通信（192.168.101.2  192.168.101.5）

    而此时，如果我在主机（192.68.101.2）上ping另外一个IP，比如192.168.101.44，则Ettercap是不能够侦听到的。因为Ettercap命令里已经指定了侦听哪些主机之间通信（192.168.101.2  192.168.101.5）。

    如果把TARGET2参数换成 换成 //,则表示Ettercap将要侦听192.168.101.2与局域网内的所有主机之间的通信。

    TARGET的语法可以参照ettercap的使用手册。这里暂不说明。

 

    如有错误，请指正，多谢。