Ettercap是一款基于終端的以太網(wǎng)絡(luò)局域網(wǎng)嗅探器/攔截器/日志器。它支持主動(dòng)和被動(dòng)的多種協(xié)議解析（甚至是ssh和https這種加密過(guò)的）。還可以進(jìn)行已建立連接的數(shù)據(jù)注入和實(shí)時(shí)過(guò)濾，保持連接同步。大部分嗅探模式都是強(qiáng)大且全面的嗅探組合。支持插件。能夠識(shí)別您是否出在交換式局域網(wǎng)中，通過(guò)使用操作系統(tǒng)指紋（主動(dòng)或被動(dòng)）技術(shù)可以得出局域網(wǎng)結(jié)構(gòu)。

下載鏈接：http://down.51cto.com/data/146316

>>去網(wǎng)絡(luò)安全工具百寶箱看看其它安全工具

嗅探：它有5種工作模式

-a --arpsniff 基于arp的欺騙,分3小種：arpbased,smartcarp和publicarp

-s --sniff 屬于IPBASED,目標(biāo)可以是任何主機(jī)

-m --macsniff 屬于MACBASED

需要說(shuō)明的是-s -m兩選項(xiàng)帶來(lái)的是傳統(tǒng)嗅探模式,分別基于IP地址和MAC地址.也就是說(shuō)它們必需先把網(wǎng)卡置于混雜,然后才可以正常工作。所以在交換環(huán)境下,這兩項(xiàng)會(huì)完全失效,-a選項(xiàng)是基于ARP欺騙的,是一種中間人攻擊模型。實(shí)質(zhì)是利用了ARP協(xié)議的漏洞，攻擊者分別欺騙了A和B機(jī)。讓A機(jī)把數(shù)據(jù)傳給嗅探者,然后再由嗅探機(jī)器把數(shù)據(jù)轉(zhuǎn)發(fā)給B機(jī),A和B卻沒有意識(shí)到數(shù)據(jù)包的中轉(zhuǎn)過(guò)程，這樣我們就可以劫獲數(shù)據(jù)甚至修改數(shù)據(jù)包.

下面分別介紹五種用法:

1：ettercap -Nza ip1 ip2 mac1 mac2 (arpbased) 劫獲IP1與IP2間的數(shù)據(jù).缺省狀態(tài)下只接收TCP數(shù)據(jù)包

2： ettercap -Na ip mac (smartcarp) 劫獲此ip與外部所有通訊數(shù)據(jù),這種方式比較劇烈,啟動(dòng)時(shí)采用的是ARP風(fēng)暴,很容易被發(fā)現(xiàn).如果別人在用TCPDUMP監(jiān)聽,就會(huì)看見攻擊者發(fā)出的無(wú)數(shù)的ARP請(qǐng)求,再傻的管理員都明白什么事情發(fā)生了.不過(guò)由于修改了指定主機(jī)的ARP表中關(guān)于被監(jiān)聽主機(jī)的MAC地址，還修改了被監(jiān)聽主機(jī)中的那些指定主機(jī)的MAC地址,處在完全的中間人工作狀態(tài)，這時(shí)候你可以作的事情多些,比如更改數(shù)據(jù)包,截取SSH口令.

3：ettercap -Nza ip mac (publicarp) 同上,不同點(diǎn)在于發(fā)送ARP請(qǐng)求的方式,上面采用的是ARP廣播,這里只是對(duì)特定主機(jī)發(fā)送ARP請(qǐng)求.這樣,不易引起管理員的懷疑.不過(guò)也帶來(lái)了問(wèn)題,被監(jiān)聽者自己也會(huì)收到這個(gè)以廣播方式發(fā)送的ARP響應(yīng)包,于是便會(huì)彈出"檢測(cè)到IP地址于硬件地址沖突"之類的警告.不過(guò)不會(huì)影響目標(biāo)主機(jī)正常通信,還有一點(diǎn)就是發(fā)往被監(jiān)聽主機(jī)的數(shù)據(jù)包會(huì)送給監(jiān)聽者，而監(jiān)聽者發(fā)出的數(shù)據(jù)包卻被直接送往真正的目的主機(jī)，沒有經(jīng)過(guò)監(jiān)聽者的主機(jī).所以我們只能截取不完全的通信內(nèi)容.

4：ettercap -Nzs IP:80 (ipbased sniffing) 基于IP地址的嗅探。這里僅劫獲目標(biāo)機(jī)器HTTP消息,你也可以指定其他端口，比如23 。如果沒有指定，所有都會(huì)被截取

5：ettercap -zm mac1 mac 2 (macbased) 基于MAC的嗅探.只要輸入MAC地址

需要說(shuō)明的是，4，5兩種方式只適合于共享網(wǎng)絡(luò),在交換網(wǎng)絡(luò)下一概無(wú)效.MAC地址的獲取很簡(jiǎn)單，直接在終端輸入“ettercap -l"就會(huì)列出所有在線主機(jī)?；蛘吣阆萈ING一下某個(gè)IP，不管有沒有回應(yīng)(沒有回應(yīng)可能是對(duì)方開了防火墻)，再用ARP命令就可以獲取其MAC地址。如果無(wú)法獲取，則此IP不存在 ,這也是探測(cè)防火墻后的主機(jī)是否在線的一個(gè)好方法。

包過(guò)濾：由于網(wǎng)絡(luò)流量實(shí)在很大，當(dāng)你面對(duì)大量記錄數(shù)據(jù)時(shí)，你可能會(huì)感到手足無(wú)措，你想找到自己需要的數(shù)據(jù)無(wú)疑是一項(xiàng)艱巨的工作，這時(shí)侯，我們可以通過(guò)—F 選項(xiàng)加載自己的過(guò)濾規(guī)則，這樣，很多無(wú)用的數(shù)據(jù)就會(huì)被忽略，刪節(jié)。和注射字符一樣，我們進(jìn)行包過(guò)濾時(shí)有必要的話也要注意到正確的TCP序列號(hào)和確認(rèn)序列號(hào)等因素。一旦你加載了自己的過(guò)濾鏈，你就可以有目的的得到自己最需要的數(shù)據(jù)了。一條過(guò)濾規(guī)則看起來(lái)就象匯編程序一樣，當(dāng)然，還是有差距的，用列陣形容可能更確切些。一條過(guò)濾規(guī)則大概如下：《協(xié)議，源端口，目標(biāo)端口，承載數(shù)據(jù)》

一個(gè)空的搜索字符串總可以成立，比如端口如果沒有指定，所有的都會(huì)被記錄下來(lái)。只要那些規(guī)則匹配，你的過(guò)濾鏈就可以工作了.