Ettercap详细参数

关于界面：
ettercap提供 4 种运行界面：

• Text            #文本模式，参数 -T ，一般配合 -q（安静模式）使用
• Curses/GTK         #图形模式，参数 -C/-G
• Daemonize          #守护模式（后台模式），参数 -D

运行模式：
两种模式（UNIFIED和BRIDGED）

• Unified                   #中间人模式，即两台终端间进行欺骗，参数 -M
• Bridged                  #双网卡之间进行欺骗，参数 -B

目标写法：

目标的写法为 MAC/IPs/PORTs ，或 MAC/IPs/IPv6/PORTs，即 mac地址，ip地址，端口号中间用 “/” 符号隔开，留空不写表示 “ANY”，即所有；如 /192.168.1.1/ 表示 192.168.1.1 的所有端口号，aa:bb:cc:dd:ee:ff//80 表示 aa:bb:cc:dd:ee:ff 的80端口；其中多个mac地址用英文符号逗号 ‘;’ 隔开，多个ip地址和端口号可以用符号 ‘-‘ 表示连续和英文符号分号 ‘;’ 隔开；如 /192.168.1.100-120;192.168.2.130/ 表示 /192.168.1.100,101,102,103,～～120;192.168.12.130/

参数介绍：
攻击和嗅探类

• -M, –mitm
• ARP欺骗，参数 -M arp
• remote  #双向模式，同时arp欺骗通信的双方，参数 -M arp:remote
• oneway       #单向模式，只arp欺骗第一个目标到第二个目标的通信，参数 -M arp:oneway
• icmp欺骗，参数 -M icmp:(MAC/IP)
• DHCP欺骗，参数 -M dhcp:(ip_pool/netmask/dns)，如 -M dhcp:192.168.0.30,35,50-60/255.255.255.0/192.168.0.1是给新接入的主机提供ip地址，子网掩码和网关，-M dhcp:/255.255.255.0/192.168.0.1则不提供ip地址，只欺骗子网掩码和网关
• Port Stealing，这个没搞懂～
• -o, –only-mitm   #只进行中间人攻击，不进行嗅探
• -f , –pcapfilter     #加载过滤器
• -B, –bridge    #Bridged sniffing

离线类参数

• -r, –read       #读取本地文件
• -w, –write      #将嗅探数据保存到本地

界面显示类

• -T, –text       #文本模式显示
• -q, –quiet        #安静模式，不显示嗅探数据
• -s, –script        #加载脚本
• -C, –curses       #curses-UI模式
• -G, –gtk       #GTK-UI模式
• -D, –daemonize       #daemonize后台模式

普通选项：

• -b, –broadcast        #嗅探广播地址
• -i, –iface         #选择网卡
• -I, –iflist            #列出可用网卡
• -Y, –secondary         #后备网卡
• -A, –address          #ip地址，针对一网卡多ip的情况
• -n, –netmask
• -R, –reversed
• -z, –silent              #不进行arp毒化和主机扫描
• -p, –nopromisc
• -S, –nosslmitm                 #不使用ssl中间人攻击
• -t, –proto         #协议，tcp/udp/all，默认为all
• -u, –unoffensive
• -j, –load-hosts                #加载保存的主机地址
• -k, –save-hosts                #保存扫描到的主机地址
• -P, –plugin                 #载入插件
• -F, –filter                     #载入过滤器文件
• -W, –wifi-key            #载入wifi密码：

–wifi-key wep:128:p:secret
–wifi-key wep:128:s:ettercapwep0
–wifi-key ‘wep:64:s:\x01\x02\x03\x04\x05’
–wifi-key wpa:pwd:ettercapwpa:ssid
–wifi-key wpa:psk:663eb260e87cf389c6bd7331b28d82f5203b0cae4e315f9cbb7602f3236708a6

• -a, –config                #载入并使用一个非默认配置文件
• –certificate              #ssl攻击使用指定的 证书文件
• –private-key            #ssl攻击使用指定的私钥文件

可视化参数

• -e, –regex         #使用一个正则表达式
• -V, –visual           #显示方式

1. hex            #16进制
2. ascii           #ASCII码
3. text
4. ebcdic
5. html
6. utf8

• -d, –dns           #把ip地址转化为主机名
• -E, –ext-headers
• -Q, –superquiet          #超级安静模式，啥信息都不显示，只保存

日志记录选项

• -L, –log             #把所有数据包保存log文件
• -l, –log-info           #读取离线log文件信息
• -m, –log-msg              #显示存储在log文件里所有用户用ettercap抓取的信息
• -c, –compress            #通过gzip算法压缩log文件
• –o, –only-local           #只存储本地局域网主机配置信息
• -O, –only-remote           #只存储远程主机配置信息

常见的参数组合：

ettercap -Tqi eth0 -M ARP // //           #arp毒化eth0所在的网段，安静模式文本显示

ettercap -Tzq /10.0.0.1/,,  -w hack.pcap          #监听10.0.0.1的ftp，ssh，telnet信息,并保存到本地

ettercap -Tq -P dns_spoof -M arp /192.168.1.120/ //        #对192.168.1.120进行dns欺骗，使用默认网卡eth0,文本模式安静显示

ettercap -Tqi eth0 -L sniffed_data -F filter.ef -M arp:remote /10.0.0.2/ //     #使用过滤并监听10.0.0.2在80端口的所有通信，安静模式文本显示，保存数据到本地

ettercap -Tqi eth0 -M ARP /ip// -w scan.log

参考资料：
man ettercap
http://linux.die.net/man/8/ettercap