嗅探 工具。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。

# 5种工作模式
-a --arpsniff 基于arp的欺骗,3小种:arpbased,smartcarppublicarp
-s --sniff 属于IPBASED,目标可以是任何主机
-m --macsniff 属于MACBASED

# -s -m两选项是传统嗅探模式,分别基于IP地址和MAC地址 -a选项是基于ARP欺骗的,是一种中间人***模型。利用了ARP协议的 漏洞 ,***者分别欺骗AB机。让A机把数据传给嗅探者,然后再由嗅探机器把数据转发给B,AB却没有意识到数据包的中转过程,这样就可以劫获数据甚至修改数据包

#系统安装要求:。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。

zlib

libpthread

libnet  >= 1.1.2.1

libpcap >= 0.8.1

pkgconfig >= 0.15.0

Glib      >= 2.2.2

Gtk+      >= 2.2.2

Atk       >= 1.2.4

Pango     >= 1.2.3

libltdl (part of libtool)

Libpcre

openssl 0.9.7

pkgconfig >= 0.15.0

装的过程中依赖关系很多,可以做一个yum仓库。解决依赖关系。

#进入源代码包。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。

[root@ localhost / ]# ./configure&&make&&make install

[root@ localhost / ]#make plug-ins
[root@ localhost / ]#make plug-ins_install

#语法

ettercap [option] [host:port] [host:port] [mac] [mac]

ettercap --help      //查看帮助。。。。

# 常用的5种方法。。。。。。。。。。。。。。。 。。。。。。。。。。。。。。。。。。。。。。。。。。。。。

1ettercap -Nza ip1 ip2 mac1 mac2 (arpbased)

 劫获IP1IP2间的数据.缺省状态下只接收TCP数据包。

2: ettercap -Na ip mac (smartcarp) 

劫获此ip与外部所有通讯数据,这种方式比较剧烈,启动时采用的是ARP风暴,很容易被发现。

3ettercap -Nza ip mac (publicarp) 同上,不同点在于发送ARP请求的方式,这里只是对特定主机发送ARP请求.

4ettercap -Nzs IP: port (ipbased sniffing) 基于IP地址的嗅探 。如果端口号没指定就都截取。。。

5ettercap -zm mac1 mac 2 (macbased) 基于MAC的嗅探.只要输入MAC地址
通过 - 选项加载自己的过滤规则

#常用的几个参数。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。

-N --simple 非交互方式 。很常用
-z --silent 静模式(启动时不是发送ARP风暴)
-O --passive 被动模式嗅探
-b --broadping 广播PING ,替代了ARPPING
-S --spoof  IP1这地址发送ARP请求获取其他机器信息
-H --hosts  嗅探的目标主机的IP,可以是很多台
-n --netmask  扫描由输入子网掩码确定的子网
-v --version 检查最新版本
-h --help 帮助文档

#组合选项 (一般和N绑定一齐执行) 。。。。。。。。。。。。。。。。。。。。。。。。。。。。。
-u --udp 嗅探UDP数据,缺省是TCP
-p --plugin  运行指定名字的插件
-l --list 列出所有在线主机ipmac

-C --colletc 仅搜集用户名和对应密码
-c --check 检察网络里有没其他机器正在嗅探
-L --logtofile 记录所有数据到指定位置
-k --newcert 创建一个新的CERT文件,用以进行HTTPS***
-F --filter 从指定文件列加载过滤规则
-f --fingerprint  指定主机的OS判别

-t --linktype 判断自己处在什么样的网络环境中