Ettercap最初设计为交换网上的sniffer
sniffer嗅探器基本知识
嗅探器百科名片嗅探器保护网络嗅探器是一种监视网络数据运行的软件设备,协议分析器既能用于合法网络管理也能用于窃取网络信息。
网络运作和维护都可以采用协议分析器:如监视网络流量、分析数据包、监视网络资源利用、执行网络安全操作规则、鉴定分析网络数据以及诊断并修复网络问题等等。
非法嗅探器严重威胁网络安全性,这是因为它实质上不能进行探测行为且容易随处插入,所以网络黑客常将它作为攻击武器。
目录简介网络技术与设备简介网络监听原理Snifffer的分类网络监听的目的编辑本段简介嗅探器最初由Network General 推出,由Network Associates 所有。
最近,Network Associates 决定另开辟一个嗅探器产品单元,该单元组成一家私有企业并重新命名为Network General,如今嗅探器已成为Network General 公司的一种特征产品商标,由于专业人士的普遍使用,嗅探器广泛应用于所有能够捕获和分析网络流量的产品。
编辑本段网络技术与设备简介在讲述Sniffer的概念之前,首先需要讲述局域网设备的一些基本概念。
数据在网络上是以很小的称为帧(Frame)的单位传输的,帧由几部分组成,不同的部分执行不同的功能。
帧通过特定的称为网络驱动程序的软件进行成型,然后通过网卡发送到网线上,通过网线到达它们的目的机器,在目的机器的一端执行相反的过程。
接收端机器的以太网卡捕获到这些帧,并告诉操作系统帧已到达,然后对其进行存储。
就是在这个传输和接收的过程中,存在安全方面的问题。
每一个在局域网(LAN)上的工作站都有其硬件地址,这些地址惟一地表示了网络上的机器(这一点与Internet地址系统比较相似)。
当用户发送一个数据包时,这些数据包就会发送到LAN上所有可用的机器。
在一般情况下,网络上所有的机器都可以“听”到通过的流量,但对不属于自己的数据包则不予响应(换句话说,工作站A不会捕获属于工作站B 的数据,而是简单地忽略这些数据)。
第1章1 Sniffer Pro简介
Ngrep: NGrep 在网络层实现了 GNU grep 的大 多数功能,基于 libpcap ,可以使你通过指定扩 展的正则表达式或十六进制表达式去匹配网络上 的数据流量。它当前能够识别流经以太网、 PPP、 SLIP 、 FDDI 、令牌网和回环设备上的 TCP、 UDP 和 ICMP 数据包,并且和其他常见的嗅探 工具(如 tcpdump )一样,理解 bpf 过滤机制。
5
Sniffer Vs. IDS
新的网络攻击 : Sniffer--防范新的病毒和攻击 并不依赖于特征库或病毒库。针对于网络异常现象 发现问题,对新的病毒或病毒变种,以及新的攻击 或入侵,有较强的发现能力。 IDS--只能检测已知的攻击模式 这是IDS的通病,对攻击的发现,要依赖于自身的特 征库。即使最好的IDS,对新的攻击的识别率也是非 常低的。
5
Sniffer 的作用
•第四,Sniffer可以帮助我们排除潜在的威胁 比如病毒、木马、扫描等,Sniffer可以快速地发现 他们,并且发现攻击的来源,这就为做控制提供根据. 比如QOS,不是根据应用随便去分配带宽就解决的, 需要知道哪一些应用要多少带宽,带宽如何分配,要有 根有据。
5
Sniffer 的作用
3
Sniffer 概述
sniffer技术是一把双刃剑。sniffer既可以做为网
络故障的诊断工具,也可以作为黑客嗅探和监听的 工具。 传统的sniffer技术是被动地监听网络通信、用户 名和口令。而新的sniffer技术出现了主动地控制通 信数据的特点,把sniffer技术扩展到了一个新的领 域。
Sniffer 概述
sniffer中文翻译过来就是嗅探器,在当前网络技
术中使用得非常广泛。
ISS为Sniffer定义为: Sniffer是利用计算机的网络 接口截获目的地为其他计算机的数据报文的一种工 具。
sniffer工作原理
sniffer工作原理
Sniffer是一种网络数据包捕捉工具,用于监控和分析网络通信的内容。
其工作原理如下:
1. 网络数据包捕获:Sniffer通过在网络接口上设置混杂模式(promiscuous mode),接收并记录通过网络传输的数据包。
在这种模式下,网卡将接收到的所有数据包都传递给操作系统,而不仅仅是针对该网卡的目的地地址或广播地址的数据包。
2. 数据包过滤与捕获:Sniffer会根据用户预定义的规则对接收到的数据包进行过滤处理,只保留满足规则要求的数据包。
这些规则可以是源/目的IP地址、端口号、协议类型等。
3. 数据包解析:Sniffer对捕获到的数据包进行解析,将网络数据包的各个部分进行拆解,并生成能够被阅读和分析的格式。
解析后的数据包可以展示源IP地址、目的IP地址、源端口号、目的端口号、协议类型、数据内容等相关信息。
4. 数据包分析:Sniffer对解析后的数据包进行进一步的分析,包括但不限于检测网络流量、监测网络通信行为、捕获网络攻击等。
通过分析这些信息,可以帮助网络管理员识别安全隐患、优化网络性能、调查网络故障等。
需要注意的是,由于Sniffer在网络上实时监控和捕获数据包,因此在使用过程中需要遵守法律法规,确保合法使用,并保护用户隐私与数据安全。
ettercap 使用
ettercap 使用一、什么是ettercap?Ettercap是一款网络安全工具,它可以用于嗅探网络中的数据包并进行拦截和分析。
它支持多种协议,包括TCP、UDP、ICMP等,并且可以在不同的操作系统上使用,如Linux、Windows、Mac OS等。
Ettercap还提供了插件和脚本支持,可以方便地扩展其功能。
二、ettercap的功能1. 嗅探网络流量Ettercap可以嗅探网络流量,并对数据包进行分析和处理。
它支持多种协议,如TCP、UDP、ICMP等,并且可以捕获HTTP请求和响应。
2. ARP欺骗攻击Ettercap可以进行ARP欺骗攻击,即伪造ARP响应以欺骗目标主机将数据包发送到攻击者的计算机上。
3. 会话劫持Ettercap可以劫持会话,即在两个通信主机之间插入攻击者的计算机来监视和控制通信过程。
4. 密码嗅探Ettercap可以嗅探明文密码,并将其记录下来。
这对于渗透测试和安全审计非常有用。
5. DNS欺骗攻击Ettercap可以进行DNS欺骗攻击,即伪造DNS响应以欺骗目标主机将其流量发送到攻击者的计算机上。
三、ettercap的使用1. 安装EttercapEttercap可以在Linux、Windows和Mac OS上安装。
在Linux上,可以使用以下命令安装:sudo apt-get install ettercap-graphical在Windows上,可以从Ettercap官方网站下载最新版本的安装程序。
2. 启动Ettercap在Linux上,可以使用以下命令启动Ettercap:sudo ettercap -G这会启动Ettercap的图形用户界面。
在Windows上,可以双击Ettercap的图标来启动它。
3. 选择目标在Ettercap的图形用户界面中,单击“Sniff”菜单,并选择“Unified Sniffing”。
然后选择要嗅探的网络接口,并单击“OK”。
sniffer功能和使用详解
Sniffer功能和使用详解一Sniffer介绍Sniffer,中文翻译为嗅探器,是一种基于被动侦听原理的网络分析方式。
使用这种技术方式,可以监视网络的状态、数据流动情况以及网络上传输的信息。
当信息以明文的形式在网络上传输时,便可以使用网络监听的方式来进行攻击。
将网络接口设置在监听模式,便可以将网上传输的源源不断的信息截获。
Sniffer技术常常被黑客们用来截获用户的口令,据说某个骨干网络的路由器网段曾经被黑客攻入,并嗅探到大量的用户口令。
但实际上Sniffer技术被广泛地应用于网络故障诊断、协议分析、应用性能分析和网络Sniffer的分类如果Sniffer运行在路由器上或有路由功能的主机上,就能对大量的数据进行监控,因为所有进出网络的数据包都要经过路由器。
二sniffer proSniffer软件是NAI公司推出的功能强大的协议分析软件。
Sniffer Pro - 功能●捕获网络流量进行详细分析●利用专家分析系统诊断问题●实时监控网络活动●收集网络利用率和错误等使用Sniffer捕获数据时,由于网络中传输的数据量特别大,如果安装Sniffer的计算机内存太小,会导致系统交换到磁盘,从而使性能下降。
如果系统没有足够的物理内存来执行捕获功能,就很容易造成Sniffer系统死机或者崩溃。
因此,网络中捕获的流量越多,建议Sniffer系统应该有一个速度尽可能快的计算机。
1. Sniffer Pro计算机的连接要使Sniffer能够正常捕获到网络中的数据,安装Sniffer的连接位置非常重要,必须将它安装在网络中合适的位置,才能捕获到内、外部网络之间数据的传输。
如果随意安装在网络中的任何一个地址段,Sniffer就不能正确抓取数据,而且有可能丢失重要的通信内容。
一般来说,Sniffer应该安装在内部网络与外部网络通信的中间位置,如代理服务器上,也可以安装在笔记本电脑上。
当哪个网段出现问题时,直接带着该笔记本电脑连接到交换机或者路由器上,就可以检测到网络故障,非常方便。
黑客知识之Sniffer、黑客和网络管理
黑客知识之Sniffer、黑客和网络管理史蒂夫?利维在其著名的《黑客电脑史》中指出的“黑客道德准则”(theHackerEthic)包括:通往电脑的路不止一条;所有的信息都应当是免费的;打破电脑集权;在电脑上创造艺术和美;计算机将使生活更美好。
黑客文化包含了自由不羁的精神,也包含了反传统、反权威、反集权的精神。
广义的、公众认为的“黑客”就是闯入计算机系统的人。
这种观念令有才能的、真正的“黑客”感到难过。
《Maximum Security》一书中对黑客和入侵者定义如下:■“黑客”指对于任何计算机操作系统的奥秘都有强烈兴趣的人。
“黑客”大都是程序员,他们具有操作系统和编程语言方面的高级知识,知道系统中的漏洞及其原因所在;他们不断追求更深的知识,并公开他们的发现,与其他人分享;并且从来没有破坏数据的企图。
■“入侵者”是指怀着不良的企图,闯入甚至破坏远程机器系统完整性的人。
“入侵者”利用获得的非法访问权,破坏重要数据,拒绝合法用户服务请求,或为了自己的目的制造麻烦。
“入侵者”很容易识别,因为他们的行为是恶意的。
这里黑客的概念源于50、60年代麻省理工学院的实验室里的计算机迷们。
他们精力充沛,热衷于解决难题、独立思考并且奉公守法。
技术本身是没有错的,错误产生于人。
网络安全性的分析可以被真正的黑客用于加强安全性、加强网络的自由度,也可以被入侵者用于窥探他人隐私、任意篡改数据、进行网上诈骗活动。
这里,我们讨论网络嗅探器(sniffer)在广义黑客领域的应用和网络管理中的应用。
一.嗅探器(Sniffer)攻击原理Sniffer既可以是硬件,也可以是软件,它用来接收在网络上传输的信息。
网络可以是运行在各种协议之下的。
包括Ethernet、TCP/IP、ZPX等等(也可以是其中几种协议的联合)。
放置Sniffer的目的是使网络接口(在这个例子中是以太网适配器)处于杂收模式(promiscuous mode),从而可从截获网络上的内容。
sniffer技术原理及应用,包括编程方法和工具使用
kingzai:sniffer中文翻译过来就是嗅探器,在当前网络技术中使用得非常得广泛。
sniffer既可以做为网络故障的诊断工具,也可以作为黑客嗅探和监听的工具。
最近两年,网络监听(sniffer)技术出现了新的重要特征。
传统的sniffer技术是被动地监听网络通信、用户名和口令。
而新kingzai:sniffer中文翻译过来就是嗅探器,在当前网络技术中使用得非常得广泛。
sniffer既可以做为网络故障的诊断工具,也可以作为黑客嗅探和监听的工具。
最近两年,网络监听(sniffer)技术出现了新的重要特征。
传统的sniffer技术是被动地监听网络通信、用户名和口令。
而新的sniffer技术出现了主动地控制通信数据的特点,把sniffer技术扩展到了一个新的领域。
Sniffer 技术除了目前在传统的网络侦测管理外,也开始被应用在资讯保全的领域。
可以这样说,sniffer技术是一把双刃剑,如何更好的利用它,了解它的一些特性,将能使这项技术更好的为我们带来便利。
sniffer的编程方法比较通用的有以下几种,1.winpcap 这是一个比较通用的库,相信做过抓包的工具大多数人都不会太陌生 2.raw socket 在2000以后的版本都支持此项功能,2000 server 有个网络监视器就是基于raw socket 3.tdi,ndis,spi,hook socket技术,这种技术比较大的不同是可以将包截取而不是仅仅获得包的一份拷贝。
总的说来,一般以前两者居多。
我这里提的都还比较片面,更多的需要大家来补充。
我办这个专题的目的是希望大家共同来了解,讨论sniffer技术,让更多的人参与进来,让大家知道,这个板块能够给大家带来真正想要的东西。
warton:libpcap是个好东西,linux,windows下都能用,很多入侵检测之类的安全系统都是以这为核心。
不过我一直没用过它,不知道它的跨平台性如何?要用spi的话,看看xfilter的代码和书,特别是那本书上讲得不错,可惜一直没用它做出什么东西来。
ettercap嗅探使用说明
Ettercap中文说明信息包工厂:你能够用飞一般的速度创建和发送伪造的包.他能够让你发送从网络适配器到应用软件各种级别的包.绑定监听数据到一个本地端口:你能够从一个客户端连接到这个端口并且能够为不知道的协议解码或者把数据插进去(只有在arp为基础模式里才能用)(不知道这段是不是这个意思)OPTIONS一般而言ettercap的参数都能够联合,如果遇到不支持的联合参数,ettercap将会提示你.监听模式-a,--arpsniffarp为基础的监听这是交换机网络中的监听模式,如果你想使用mitm(man in the middle)技术的话你就不得不使用这种模式.在和安静模式(-z参数)联合使用的时候,如果决定采用ARPBASED模式(full-duplex),你必须指定两个IP和两个MAC地址,如果采用PUBLICARP模式(half-duplex),你就只需要指定一个IP地址和一个MAC地址.在使用PUBLICARP模式的时候,arp答复采用广播形式发送,但如果ettercap有完整的主机列表(启动的时候ettercap会扫描网络),ettercap 会自动选择SMARTARP模式,arp答复会发送给除了肉机以外的所有主机,and an hash table is created to re-route back the packet form victim to client obtaining in this way a full-duplex man in the middle attack.这时候路由表关于从肉机到客户端的这部分被重新改写,这样就开始了一个mitm攻击(这一段也不是很清楚).注意:如果你想使用smartarp模式来poison一台机器,记得在conf文件里面设置好网关的IP(GWIP项目)而且用-e参数来启动,否则那台机器不能连接到别的机器上.利用过滤来进行包替换和包的丢弃,只能用在ARPBASED的监听中,是因为在full-duplex中必须重新调整序列号以能够使连接保持活动.-s,--sniff基于IP的监听这是一种比较老的也是不错的监听模式.但它只能在基于hub的网络上面使用,在使用了交换机的网络上面没法工作.你可以指定源,也可以指定目标,可以指定端口或者不制定,甚至可以什么也不指定(监听所有连接)让它工作.特殊的IP"ANY"表示从或者到任何的机器.-m,--macsniff基于mac的监听监听远程的机器上面的tcp通讯可以使用这种模式.在基于hub的网络上你如果想要监听一个通过网关的连接,制定目标机器和网关的ip是没有用的,因为包不是发给网关的.在这个时候你就可以使用这种模式.只需要指定目标机器和网关的mac你就能够看到它们所有的连接.脱机监听-T,--readpcapfile<FILE>脱机监听使用了这个参数以后,ettercap会检查一个pcap兼容文件,而不是在网络上取包.如果你有一个用tcpdump或者ethereal记录下来的文件而且你想在这个文件上做一些分析工作(查找密码或者被动指纹)的话,你可以采用这个参数.-Y,--writepcapfile<FILE>把包纪录到一个pcap文件中如果你不得不在一个交换机网络上使用一个活动的监听(arp欺骗)但你想使用tcpdump或者ethereal分析的话,你可以用这个参数.你能够使用这个参数来把包记录到一个文件中然后把它导入到你感兴趣的软件中.GENERAL OPTIONS-N,--simple无交互模式当你需要在脚本中运行ettercap或者你已经知道目标的一些信息,或者你想在后台运行ettercap帮你收集数据以及密码(和--quiet参数一起使用),这种模式是比较有用的。
Ettercap介绍网络嗅探,中间人攻击
Ettercap介绍⽹络嗅探,中间⼈攻击概要ettercap [ OPTIONS ] [ Target1 ] [ TARGET2 ]TARGET的格式为MAC / IP / IPv6 / PORT,其中IP和PORT可以是范围当IP有多个的时候,可以⽤“,”分隔不同的C段ip,可以⽤“-”表⽰连续的ip,可以⽤“;”分隔不同表达形式的ip。
(例如/192.168.0.1-30,40,50/20,22,25)描述Ettercap最初是交换局域⽹(甚⾄显然是“拥挤的”局域⽹)的嗅探器,但在开发过程中,它获得了越来越多的功能,从⽽使其转变为强⼤⽽灵活的中间⼈攻击⼯具。
它⽀持许多协议(甚⾄是加密协议)的主动和被动解剖,并包括许多⽤于⽹络和主机分析的功能(例如OS指纹)。
两个主要的嗅探选项:UNIFIED,此⽅法嗅探通过电缆传递的所有数据包。
您可以选择是否将接⼝置于混杂模式(-p选项)。
未定向到运⾏ettercap的主机的数据包将使⽤第3层路由⾃动转发。
因此,您可以使⽤从其他⼯具发起的mitm攻击,并让ettercap修改数据包并为您转发。
BRIDGED,它使⽤两个⽹络接⼝,并在执⾏嗅探和内容过滤时将流量从⼀个转发到另⼀个。
这种嗅探⽅法完全是秘密的,因为⽆法找到有⼈在电缆中间。
您可以将此⽅法视为第1层的mitm攻击。
您将位于两个实体之间的电缆中间。
不要在⽹关上使⽤它,否则它将把您的⽹关变成⽹桥。
提⽰:您可以使⽤内容过滤引擎丢弃不应通过的数据包。
这样,ettercap可以⽤作嵌⼊式IPS;)UBIFIED常⽤,参数 -M(M是MITM的⾸字母,为中间⼈攻击的缩写) BRIDGED在同⼀设备下的两块⽹卡之间进⾏路由转发功能在Ettercap中默认关闭内核ip_forwarding始终由ettercap禁⽤。
这样做是为了防⽌转发数据包两次(⼀次通过ettercap,⼀次通过内核)。
这是⽹关上的⼀种⼊侵⾏为。
因此,我们建议您仅在启⽤UNOFFENSIVE MODE的情况下在⽹关上使⽤ettercap。
浅谈Ettercap命令的使用方法
浅谈 Ettercap命令的使用方法摘要:Ettercap命令是一个多用途嗅探、内容过滤的中间人攻击工具。
它的功能非常强大,作为一个网络安全从业人员有必要学习和掌握。
关键词:网络安全攻击防御信息技术攻防中间人嗅探Ettercap命令是一个多用途嗅探、内容过滤的中间人攻击工具。
它的功能非常强大,作为一个网络安全从业人员有必要学习和掌握。
它的语法如下:ettercap [options][target1][target2]其中,options主要代表ettercap能够使用的参数。
target1和taraget2是嗅探或攻击的目标,这两个参数可以代表MAC地址、IP地址、IPv6地址、端口等。
Ip地址和端口可以是一段地址或一段端口。
(例如:192.168.0.1-30,40,50/20,22,25 表示目标是192.168.0.1到192.168.0.30的一段ip地址和ip地址192.168.0.40、ip地址192.168.0.50的20、22、25端口。
)Ettercap是天生被用来嗅探交换网络的工具,但是在开发过程中ettercap变成了功能更多、更强大和灵活的中间人攻击工具。
他支持主动和被动的协议分析并且包含许多网络和主机分析功能。
在网络嗅探方面,他主要有两种方式:一种是unified(统一模式),这个模式可以嗅探通过电缆的所有数据包。
可以选择put或者在接口上不使用混杂模式(-p参数)。
这些数据包都是二层数据包,所以,可以使用中间人攻击控制数据包从不同的工具、编辑数据包,并转发数据包,同时,linux系统的ip_forwarding总是被禁用的,这样做是为了防止数据包被转发两次(一次被ettercap转发,另外一次被内核转发),这是一种对网关的入侵行为,因此,我们建议使用ettercap时不启本机的用转发功能,仅启用针对一个端口的监听就可以了,数据包就不会从第二个网络接口网关转发出去。
另外一种是bridged(桥接模式),它必须使用两个接口,并从一个网络接口转发网络流量到另外一个网络接口,并进行嗅探和内容过滤。
简述sniffer的工作原理
简述sniffer的工作原理Sniffer的工作原理Sniffer是一种网络工具,用于监控和分析网络数据流量。
它可以捕获网络数据包,并提取其中的信息,帮助网络管理员识别和解决网络问题。
本文将简述Sniffer的工作原理。
Sniffer工作的第一步是在网络上监听数据包的传输。
它可以通过多种方式进行监听,比如将网卡设置为混杂模式或者通过集线器进行监听。
一旦Sniffer开始监听,它就能够捕获通过网络传输的数据包。
捕获到的数据包包含了源IP地址、目标IP地址、源端口号、目标端口号以及数据内容等信息。
这些信息对于分析网络流量非常重要。
Sniffer通过解析数据包的各个字段,将其转化为可读的格式,并提取出关键信息。
这些信息可以帮助网络管理员识别网络中的异常情况,比如网络拥塞、安全漏洞等。
Sniffer的另一个重要功能是过滤数据包。
在大规模的网络环境中,网络流量非常庞大,有许多不相关的数据包。
为了减少分析的复杂性,Sniffer可以根据预先设定的规则对数据包进行过滤。
比如,可以只捕获来自特定IP地址或特定端口号的数据包。
通过过滤,Sniffer可以快速定位到用户感兴趣的数据包,提高分析的效率。
除了捕获和过滤数据包,Sniffer还可以对数据包进行分析和展示。
它可以统计数据包的数量、流量的大小、协议的分布等信息。
这些统计信息对于了解网络的使用情况非常有帮助。
此外,Sniffer还可以对数据包的内容进行解码,以便分析和审查。
它可以识别各种网络协议,比如TCP、UDP、HTTP等,并将其转化为易于阅读的形式。
Sniffer工作的最后一步是呈现分析结果。
它可以以文本或图形的形式展示分析结果。
文本形式可以提供详细的数据包信息,包括源IP 地址、目标IP地址、端口号、协议等。
图形形式可以以柱状图、饼状图等形式展示统计结果,使得分析结果更加直观和易于理解。
Sniffer是一种强大的网络工具,通过捕获、过滤和分析网络数据包,帮助网络管理员监控和解决网络问题。
npcap原理
npcap 是 NetScreen Packet Capture Accelerator(以前称为Sniffer Accelerator)的开源替代品,它是一个用于收集和分析网络流量数据的强大工具。
以下是 npcap 的工作原理:
1. 设备兼容性:npcap支持大多数网络设备,包括但不限于路由器、交换机、防火墙、服务器和客户端设备。
2. 捕获数据包:npcap使用内核模式下的驱动程序来捕获网络数据包,这意味着数据包捕获的速度非常快,几乎不会影响网络性能。
同时,驱动程序还会将捕获的数据包转换为 npcap 结构体,以便后续分析。
3. 数据包过滤:用户可以设置过滤器来只捕获他们感兴趣的数据包,例如特定协议的数据包或特定源/目标IP地址的数据包。
4. 实时分析:用户可以在捕获数据包的同时查看它们,这使得实时分析网络流量成为可能。
5. 导出数据:用户可以将捕获的数据包导出到各种格式,如pcap 文件、Excel 文件等,以便进一步分析。
6. 协议支持:npcap支持大多数网络协议,包括 TCP、UDP、ICMP、HTTP、FTP 等。
7. 高级功能:npcap还提供了一些高级功能,如实时流量绘图、实时流量统计等。
总的来说,npcap通过使用内核模式下的驱动程序来捕获网络数据包,并将其转换为可在应用程序中分析的结构体,实现了快速、高效的网络流量捕获和分析。
ettercap 使用
Ettercap 使用一、什么是 EttercapEttercap 是一个功能强大的网络嗅探工具,可用于分析和拦截网络流量。
它是一款开源软件,广泛应用于网络安全领域。
Ettercap 可以用于网络攻击、渗透测试、网络监控和网络分析等多种用途。
二、Ettercap 的特点和功能1. 被动嗅探Ettercap 可以以被动方式对网络流量进行嗅探,即它不会主动发送数据包,而是通过监听网卡获得数据包,然后对这些数据包进行分析和处理。
这使得 Ettercap 适用于对网络进行监控和分析,了解网络中的通信情况。
2. 主动攻击除了被动嗅探外,Ettercap 还具有主动攻击的能力。
它可以对网络中的主机进行欺骗,使其认为自己是网关或其他主机。
通过这种方式,Ettercap 可以截取目标主机的通信数据,并进行中间人攻击、ARP 欺骗等操作。
3. ARP 欺骗和中间人攻击Ettercap 是一款强大的 ARP 欺骗工具,可用于中间人攻击。
ARP 欺骗是指通过伪造或修改 ARP 协议的数据包,使得目标主机发送的数据包被发送到攻击者的主机上,攻击者可以窃取目标主机的敏感信息。
Ettercap 提供了丰富的功能和选项,使得中间人攻击变得更加灵活和强大。
4. 活动插件和过滤器Ettercap 支持插件机制,用户可以编写自己的插件来扩展和定制功能。
同时,Ettercap 还提供了各种内置插件和过滤器,如流量过滤器、ARP 攻击插件、协议解析插件等。
这些插件和过滤器可以帮助用户更好地分析和处理网络流量。
5. 用户友好的界面尽管 Ettercap 是一个强大的工具,但其用户界面设计简洁友好。
Ettercap 提供了图形界面和命令行界面两种使用方式,用户可以根据自己的需求选择合适的界面。
图形界面可以方便地进行配置和操作,而命令行界面则适用于批量处理和自动化操作。
三、Ettercap 的使用步骤使用 Ettercap 可以分为以下几个步骤:1. 安装和配置首先需要在目标系统上安装 Ettercap。
抓包工具介绍范文
抓包工具介绍范文抓包工具(Packet Sniffing Tools)是一类用于捕获和分析网络数据包的软件工具。
它们通常被安全专家、网络管理员和开发人员用于网络故障排除、网络监控、网络分析和安全审计等任务。
本文将介绍几种常用的抓包工具,并对其功能和特点进行详细阐述。
1. WiresharkWireshark是一款功能强大的开源抓包工具,可在多个平台上运行,包括Windows、Mac和Linux。
它能够捕获并分析网络数据包,并提供丰富的过滤和显示选项,以便用户可以深入研究网络流量。
Wireshark支持多种协议,包括Ethernet、IP、TCP、UDP和HTTP等,用户还可以通过插件扩展其功能。
2. tcpdumptcpdump是一个命令行抓包工具,可在Linux和其他类Unix系统上使用。
它能够捕获网络接口上的数据包,并将其输出到终端或保存到文件中。
tcpdump支持多种过滤选项,用户可以按协议、源IP地址、目标IP地址等条件对数据包进行过滤。
tcpdump可以用来监控和调试网络连接,也可用于安全审计和网络故障排除。
3. Microsoft Network MonitorMicrosoft Network Monitor是一款由微软开发的抓包工具,仅适用于Windows操作系统。
它可以捕获和分析网络数据包,并提供详细的协议分析和统计信息。
Microsoft Network Monitor支持多种协议,包括Ethernet、IP、TCP、UDP和HTTP等,用户还可以使用过滤器来筛选数据包。
它还提供了强大的报告功能,可生成图形化的统计数据和数据包流图。
4. EttercapEttercap是一款用于网络嗅探和中间人攻击的开源工具。
它能够捕获网络数据包并执行各种攻击,如ARP欺骗、DNS欺骗和会话劫持等。
Ettercap支持多种协议,包括Ethernet、IP、TCP、UDP和HTTP等,还提供了用于分析和修改数据包的插件机制。
局域网攻击软件Ettercap中文说明
Ettercap中文说明信息包工厂:你能够用飞一般的速度创建和发送伪造的包.他能够让你发送从网络适配器到应用软件各种级别的包.绑定监听数据到一个本地端口:你能够从一个客户端连接到这个端口并且能够为不知道的协议解码或者把数据插进去(只有在arp为基础模式里才能用)(不知道这段是不是这个意思)OPTIONS一般而言ettercap的参数都能够联合,如果遇到不支持的联合参数,ettercap将会提示你.监听模式-a,--arpsniffarp为基础的监听这是交换机网络中的监听模式,如果你想使用mitm(man in the middle)技术的话你就不得不使用这种模式.在和安静模式(-z参数)联合使用的时候,如果决定采用ARPBASED模式(full-duplex),你必须指定两个IP和两个MAC地址,如果采用PUBLICARP模式(half-duplex),你就只需要指定一个IP地址和一个MAC地址.在使用PUBLICARP模式的时候,arp答复采用广播形式发送,但如果ettercap有完整的主机列表(启动的时候ettercap会扫描网络),ettercap会自动选择SMARTARP模式,arp答复会发送给除了肉机以外的所有主机,and an hash table is created to re-route back the packet form victim to client obtaining in this way a full-duplex man in the middle attack.这时候路由表关于从肉机到客户端的这部分被重新改写,这样就开始了一个mitm攻击(这一段也不是很清楚).注意:如果你想使用smartarp模式来poison一台机器,记得在conf文件里面设置好网关的IP(GWIP项目)而且用-e参数来启动,否则那台机器不能连接到别的机器上.利用过滤来进行包替换和包的丢弃,只能用在ARPBASED的监听中,是因为在full-duplex中必须重新调整序列号以能够使连接保持活动.-s,--sniff基于IP的监听这是一种比较老的也是不错的监听模式.但它只能在基于hub的网络上面使用,在使用了交换机的网络上面没法工作.你可以指定源,也可以指定目标,可以指定端口或者不制定,甚至可以什么也不指定(监听所有连接)让它工作.特殊的IP "ANY"表示从或者到任何的机器.-m,--macsniff基于mac的监听监听远程的机器上面的tcp通讯可以使用这种模式.在基于hub的网络上你如果想要监听一个通过网关的连接,制定目标机器和网关的ip是没有用的,因为包不是发给网关的.在这个时候你就可以使用这种模式.只需要指定目标机器和网关的mac你就能够看到它们所有的连接.脱机监听-T,--readpcapfile<FILE>脱机监听使用了这个参数以后,ettercap会检查一个pcap兼容文件,而不是在网络上取包.如果你有一个用tcpdump或者ethereal记录下来的文件而且你想在这个文件上做一些分析工作(查找密码或者被动指纹)的话,你可以采用这个参数.-Y,--writepcapfile<FILE>把包纪录到一个pcap文件中如果你不得不在一个交换机网络上使用一个活动的监听(arp欺骗)但你想使用tcpdump或者ethereal分析的话,你可以用这个参数.你能够使用这个参数来把包记录到一个文件中然后把它导入到你感兴趣的软件中.GENERAL OPTIONS-N,--simple无交互模式当你需要在脚本中运行ettercap或者你已经知道目标的一些信息,或者你想在后台运行ettercap帮你收集数据以及密码(和--quiet参数一起使用),这种模式是比较有用的。
ettercap 使用方法 -回复
ettercap 使用方法-回复标题:使用Ettercap进行网络嗅探和中间人攻击引言:网络安全是当今互联网时代的一个重要问题,为了保护自己和组织的信息安全,了解网络嗅探和中间人攻击工具显得尤为重要。
Ettercap是一款强大的开源工具,可用于网络嗅探和中间人攻击,本文将一步一步介绍Ettercap的基本使用方法。
第一部分:Ettercap工具介绍1.1 什么是Ettercap?Ettercap是一款功能强大的网络嗅探和中间人攻击工具,可以在局域网中窃听网络流量,获取敏感信息,并对网络数据包进行修改、重定向或丢弃。
它支持多种攻击技术和插件,可应用于各种网络安全测试和攻击场景。
1.2 Ettercap的特点- 跨平台支持:Ettercap可在多个操作系统上运行,包括Windows、Linux 和Mac OS。
- 丰富的功能:Ettercap提供了多种功能和模块,包括嗅探、ARP欺骗、DNS欺骗、SSL中间人攻击等。
- 用户友好的界面:Ettercap提供了图形用户界面(GUI)和命令行界面(CLI),以满足不同用户的需求。
第二部分:Ettercap安装与配置2.1 安装Ettercap根据您的操作系统,从Ettercap官方网站上下载安装程序,并按照提示进行安装。
您也可以选择适合您的系统的源码包进行编译和安装。
2.2 配置Ettercap在安装完成后,打开Ettercap,并进行一些基本的配置:- 选择适当的网络接口:在Ettercap中选择要监听的网络接口,可通过菜单或命令行进行配置。
- 启用IP转发功能:在某些操作系统上,需要启用IP转发功能以便Ettercap可以转发数据包。
- 配置插件和过滤规则:根据需要,启用或禁用Ettercap的各种插件和过滤规则。
第三部分:基本嗅探与窃听操作3.1 嗅探局域网中的流量- 打开Ettercap并选择要监听的网络接口。
- 点击“开启嗅探”按钮或在命令行中输入相应的命令。
网络协议分析工具Sniffer
• NDIS 3.0+驱动的网络接口卡
– 适用于网卡的增强型NAI驱动可以提高网卡 性能,并允许对错误帧进行捕获和分析。
从文件菜单中选择适配器
• 标题栏将显示激活的探测器
选择适配器
• 文件菜单
– 选择网络探测器/适配器(N)..
暂停 停止 停止与浏
览 浏览(当 停止时)
捕获细节视图
拒绝的计数表明设置了捕获过 滤器
应用 会话 连接 工作站 DLC 全球 路由 子网
Expert层
OSI 应用层信息 OSI 会话层信息
OSI运输层信息 OSI网络层信息 拓扑相关信息 网段性能统计 RIP路由信息 子网成对显示
不 可见 层: 全球
Sniffer
数据包监视分析工具
• Sniffer
Sniffer
• Sniffer程序是一种利用以太网的特性把网络适配 卡(NIC,一般为以太同卡)置为杂乱(promiscuous) 模式状态的工具,一旦同卡设置为这种模式,它 就能接收传输在网络上的每一个信息包。
• ISS(Internet Security System)为Sniffer这样 定义:Sniffer是利用计算机的网络接口截获目的 地为其他计算机的数据报文的一种工具。Sniffer 的正当用处主要是分析网络的流量,以便找出所关 心的网络中潜在的问题。Sniffer安全技术被广泛 应用于网络维护和管理方面。
缓存数据中的主机表
格式选择 输出数据
选择地址 层和显示 类型
点击+号进 行扩展, 来浏览工 作站运行 的应用
协议分配视图
选择层与其它视图
Sniffer含义及工作原理
一.有关sniffer及sniffer的含义sniffers(嗅探器)几乎和internet有一样久的历史了.Sniffer是一种常用的收集有用数据方法,这些数据可以是用户的帐号和密码,可以是一些商用机密数据等等。
随着Internet及电子商务的日益普及,Internet的安全也越来越受到重视。
在Internet安全隐患中扮演重要角色之一的Sniffer以受到越来越大的关注,所以今天我要向大家介绍一下介绍Sniffer以及如何阻止sniffer。
大多数的黑客仅仅为了探测内部网上的主机并取得控制权,只有那些"雄心勃勃"的黑客,为了控制整个网络才会安装特洛伊木马和后门程序,并清除记录。
他们经常使用的手法是安装sniffer。
在内部网上,黑客要想迅速获得大量的账号(包括用户名和密码),最为有效的手段是使用"sniffer" 程序。
这种方法要求运行Sniffer 程序的主机和被监听的主机必须在同一个以太网段上,故而在外部主机上运行sniffer是没有效果的。
再者,必须以root的身份使用sniffer 程序,才能够监听到以太网段上的数据流。
谈到以太网sniffer,就必须谈到以太网sniffing。
那么什么是以太网sniffer呢?以太网sniffing是指对以太网设备上传送的数据包进行侦听,发现感兴趣的包。
如果发现符合条件的包,就把它存到一个log文件中去。
通常设置的这些条件是包含字"username"或"password"的包。
它的目的是将网络层放到promiscuous模式,从而能干些事情。
Promiscuous模式是指网络上的所有设备都对总线上传送的数据进行侦听,并不仅仅是它们自己的数据。
根据第二章中有关对以太网的工作原理的基本介绍,可以知道:一个设备要向某一目标发送数据时,它是对以太网进行广播的。
一个连到以太网总线上的设备在任何时间里都在接受数据。
ettercap-交换环境下的嗅探器
一:安装你可以在网上很多地方下载到它的最新版本,比如 下载完后,先解压缩:[root@CIEL root]#tar zxpvf ettercap-0.6.tar.gz[root@CIEL root]#cd ettercap-0.6[root@CIEL ettercap-0.6]#./configure&&make&&make install[root@CIEL ettercap-0.6]#make plug-ins[root@CIEL ettercap-0.6]#make plug-ins_install安装完成后,输入"ettercap --help"就可以看见帮助文档.基本用法是ettercap [option] [host:port] [host:port] [mac] [mac]二:功能介绍嗅探:它有5种工作模式-a --arpsniff 基于arp的欺骗,分3小种:arpbased,smartcarp和publicarp-s --sniff 属于IPBASED,目标可以是任何主机-m --macsniff 属于MACBASED需要说明的是-s -m两选项带来的是传统嗅探模式,分别基于IP地址和MAC地址.也就是说它们必需先把网卡置于混杂,然后才可以正常工作。
所以在交换环境下,这两项会完全失效,-a选项是基于ARP欺骗的,是一种中间人攻击模型。
实质是利用了ARP协议的漏洞,攻击者分别欺骗了A和B机。
让A机把数据传给嗅探者,然后再由嗅探机器把数据转发给B机,A和B却没有意识到数据包的中转过程,这样我们就可以劫获数据甚至修改数据包下面分别介绍五种用法:1:ettercap -Nza ip1 ip2 mac1 mac2 (arpbased) 劫获IP1与IP2间的数据.缺省状态下只接收TCP数据包2: ettercap -Na ip mac (smartcarp) 劫获此ip与外部所有通讯数据,这种方式比较剧烈,启动时采用的是ARP风暴,很容易被发现.如果别人在用TCPDUMP监听,就会看见攻击者发出的无数的ARP请求,再傻的管理员都明白什么事情发生了.不过由于修改了指定主机的ARP表中关于被监听主机的MAC地址,还修改了被监听主机中的那些指定主机的MAC地址,处在完全的中间人工作状态,这时候你可以作的事情多些,比如更改数据包,截取SSH口令3:ettercap -Nza ip mac (publicarp) 同上,不同点在于发送ARP请求的方式,上面采用的是ARP广播,这里只是对特定主机发送ARP请求.这样,不易引起管理员的怀疑.不过也带来了问题,被监听者自己也会收到这个以广播方式发送的ARP响应包,于是便会弹出"检测到IP地址于硬件地址冲突"之类的警告.不过不会影响目标主机正常通信,还有一点就是发往被监听主机的数据包会送给监听者,而监听者发出的数据包却被直接送往真正的目的主机,没有经过监听者的主机.所以我们只能截取不完全的通信内容4:ettercap -Nzs IP:80 (ipbased sniffing) 基于IP地址的嗅探。
sniffer工作原理
sniffer工作原理Sniffer工作原理Sniffer是一种网络工具,用于拦截和监视通过网络传输的数据包。
它广泛应用于网络管理、网络安全以及网络协议分析等领域。
本文将揭示Sniffer的工作原理,并探讨其在实际应用中的重要性。
我们需要了解Sniffer的基本原理。
Sniffer通过在网络上监听数据包的传输,获取经过网络设备的原始数据。
它能够抓取网络上的各种数据,如电子邮件、文件传输、网页浏览等。
Sniffer分析这些数据包的头部信息,并提取出所需的数据。
这些数据可以是文本、图像、音频或视频等。
那么,Sniffer是如何工作的呢?在网络中,数据通过一系列的网络设备进行传输,如路由器、交换机等。
Sniffer可以在网络设备所在的网络链路上进行监听。
当数据包经过该网络链路时,Sniffer会将数据包复制一份并分析其中的内容。
这样,Sniffer就能够获取到数据包的详细信息。
Sniffer工作的关键是网络链路上的监听。
Sniffer可以通过两种方式进行监听:主动监听和被动监听。
我们来看主动监听。
主动监听是指Sniffer主动发送数据包,然后监听该数据包的传输过程。
当数据包经过网络链路时,Sniffer会将数据包复制并进行分析。
这种方式常用于网络协议分析和网络安全检测等领域。
被动监听是指Sniffer passively等待数据包的传输。
当数据包经过网络链路时,Sniffer会将数据包复制并进行分析。
这种方式常用于网络管理和网络故障排查等领域。
不论是主动监听还是被动监听,Sniffer都能够捕获到网络上的数据包。
然后,Sniffer会对数据包进行解析和分析,提取出所需的信息。
这些信息可以包括源IP地址、目标IP地址、协议类型、传输端口等。
通过这些信息,Sniffer能够判断数据包的内容,并进一步进行相关的处理。
Sniffer的工作原理使其在许多领域中发挥着重要的作用。
首先,Sniffer被广泛应用于网络管理。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Ettercap最初设计为交换网上的sniffer,但是随着发展,它获得了越来越多的功能,成为一款有效的、灵活的中介攻击工具。
它支持主动及被动的协议解析并包含了许多网络和主机特性(如OS指纹等)分析。
Ettercap有5种sniffing工作方式:1、IPBASED在基于IP地址的sniffing方式下,Ettercap将根据源IP-PORT和目的IP-PORT来捕获数据包。
2、MACBASED在基于MAC地址的方式下,Ettercap将根据源MAC和目的MAC来捕获数据包(在捕获通过网关的数据包时,这种方式很有用)3、ARPBASED在基于ARP欺骗的方式下,Ettercap利用ARP欺骗在交换局域网内监听两个主机之间的通信(全双工)。
4、SMARTARP在SMARTARP方式下,Ettercap利用ARP欺骗,监听交换网上某台主机与所有已知的其他主机(存在于主机表中的主机)之间的通信(全双工)。
5、PUBLICARP在PUBLICARP方式下,Ettercap利用ARP欺骗,监听交换网上某台主机与所有其它主机之间的通信(半双工)。
此方式以广播方式发送ARP响应,但是如果Ettercap已经拥有了完整的主机地址表(或在Ettercap启动时已经对LAN上的主机进行了扫描),Ettercap会自动选取SMARTARP方式,而且ARP响应会发送给被监听主机之外的所有主机,以避免在Win2K 上出现IP地址冲突的消息。
Ettercap中最常用的一些功能包括:1、在已有连接中注入数据:你可以在维持原有连接不变的基础上向服务器或客户端注入数据,以达到模拟命令或响应的目的。
2、SSH1支持:你可以捕获SSH1连接上的User和PASS信息,甚至其他数据。
Ettercap是第一个在全双工的条件下监听SSH连接的软件。
3、HTTPS支持:你可以监听http SSL连接上加密数据,甚至通过PROXY的连接。
4、监听通过GRE通道的远程通信:你可以通过监听来自远程cisco路由器的GRE通道的数据流,并对它进行中间人攻击。
5、Plug-in支持:你可以通过Ettercap的API创建自己的Plug-in。
6、口令收集:你可以收集以下协议的口令信息,TELNET、FTP、POP、RLOGIN、SSH1、ICQ、SMB、MySQL、HTTP、NNTP、X11、NAPSTER、IRC、RIP、BGP、SOCK5、IMAP4、VNC、LDAP、NFS、SNMP、HALFLIFE、QUAKE3、MSNYMSG(不久还会有新的协议获得支持)。
7、数据包过滤和丢弃:你可以建立一个查找特定字符串(甚至包括十六近制数)的过滤链,根据这个过滤链对TCP/UDP数据包进行过滤并用自己的数据替换这些数据包,或丢弃整个数据包。
8、被动的OS指纹提取:你可以被动地(不必主动发送数据包)获取局域网上计算机系统的详细信息,包括操作系统版本、运行的服务、打开的端口、IP地址、MAC地址和网卡的生产厂家等信息。
9、OS指纹:你可以提取被控主机的OS指纹以及它的网卡信息(利用NMAP Fyodor数据库)。
10、杀死一个连接:杀死当前连接表中的连接,甚至所有连接。
11、数据包生产:你可以创建和发送伪造的数据包。
允许你伪造从以太报头到应用层的所有信息。
12、把捕获的数据流绑定到一个本地端口:你可以通过一个客户端软件连接到该端口上,进行进一步的协议解码或向其中注入数据(仅适用于基于 ARP的方式)。
Ettercap的优点在于:1、它不需要libpcap、libnet等常用库的支持。
2、基于ARP欺骗的sniffing不需要把执行ettercap的主机的网卡设置为全收方式。
3、支持后台执行。
是不是很酷呀?!Ettercap的选项说明:<1> 监听方式:-a,--arpsniff基于ARP的sniffing。
指定监听交换网的方式,如果你想要采用中间人技术进行攻击,必须选用这个选项。
如果这个参数与静音方式(-z选项)连用,你必须为ARPBASED方式指定两对IP-MAC地址(全双工),或者为PUBLICARP方式指定一个IP-MAC地址(半双工)。
在PUBLICARP方式下,ARP响应是以广播方式发送的,但是,如果Ettercap拥有了完整的主机表(在启动时对局域网进行了扫描),Etercap会自动选择SMARTARP方式,ARP响应会发送给处被控主机以外的所有主机,并建立一个哈希表,以便以后在全双工条件下的中间人攻击中可以将数据包从监听主机发送给以这种方式截获的客户。
注释:如果你采用 SMARTARP方式的ARP欺骗,要在配置文件中设置网关的IP地址(GWIP 选项),并通过-e选项加载这个文件。
否则这个客户将无法连接到远程主机。
需要进行包替换或包丢弃的数据包过滤功能仅仅可以在ARPBASED方式下使用,因为为了保持连接必须调整数据包的TCP序列号。
-s,--sniff基于IP的监听。
这是最早的监听方式。
它适用与HUB环境,但是在交换网下就没有作用了。
你可以仅仅指定源或目的IP地址,可以指定也可以不指定端口,或者干脆什么也不指定,这样意味着监听网上的所有主机。
可以用"ANY"来表示IP地址,它的意思是来自或去往每一个主机。
-m,-macsniff基于MAC的监听适用于监听远程的TCP通信。
在HUB环境下,如果你想要监听通过网关的连接,仅仅指定欲监视主机的IP和网关的IP是不行的,因为数据包是从外部主机发送的,而不是从网关发送的,所以你不能采取指定IP地址的方法。
为了达到监视内外通信的目的,你只要指定被监视主机的MAC地址和网关的MAC地址,这样就可以监视被监听主机的所有Internet通信。
<2> 脱机sniffing:-T,--readpcapfile <FILE>脱机sniffing。
如果使能了这个参数,Ettercap将监听一个pcap兼容文件中存储的网络数据包,而不是直接监听网络上的数据包。
如果你有tcpdump或etereal转储的数据文件,并想对这些文件进行分析的时候,这个选项非常合适。
-Y,--writepcapfile <FILE>把数据包转储到一个pcap格式的文件中。
如果你必须要在一个交换的局域网上使用主动sniffing(通过ARP欺骗)方式监听,但是又希望利用tcpdump或etereal对截获的数据包进行分析,可以选用这个选项。
你可以利用这个选项把监听到的数据包转储在一个文件中,然后加载到适当的应用程序中进行分析。
<3> 通用选项-N,--simple非交互方式。
如果你希望从一个脚本提交Ettercap,或者你已经了解一些目标信息,或者你想要在后台提交Ettercap,让它收集数据或口令信息(与-quite选项连用)的时候,可以采用这个选项。
在这种工作方式下,Ettercap的某些功能无法实现,如字符注入等需要交互式处理的功能。
但其他功能仍得到全面支持,如过滤功能。
所以可以让Ettercap对两个主机进行ARP欺骗(一台被监视主机和它的网关),并过滤它的所有在80端口的连接,并用一些字符串进行替换,那么它到Internet的所有通信都会按照你的要求而改变。
-z,--silent以静音方式启动(在启动时没有ARP风暴)。
如果你希望以非攻击方式启动Ettercap(某些NIDS检测到过多的ARP请求时会产生报警信息)。
若要选用这个选项,你必须了解有关目标系统的所有必要的信息。
例如,如果你要求欺骗两台主机,你需要知道这两台主机的IP地址和MAC地址。
如果你选择了IP监听或MAC监听,会自动选择这个选项,因为你不需要知道局域网上的主机列表。
如果你想要了解全部主机信息,使用"ettercao-Nl"选项,需要注意的是,这是带有攻击性的方式。
-O,--passive以被动方式收集信息。
这种方式不会向网上发送任何数据包,它会将网卡置于全收方式,并查看流经的数据包。
它将分析每一个需关注的数据包(SYN和SYN +ACK),并利用这些信息建立完整的局域网主机映射图。
所收集的信息包括:主机的IP和MAC地址、网卡生产厂家、操作系统类型(被动OS指纹)和运行的服务等。
在这个列表中还会包含其他一些信息,如:"GW",如果该主机是一个网关的话,"NL",如果这个IP 不属于本网段,以及"RT",如果该主机发挥了路由器的功能。
如果你需要通过被动方式建立一个完整的主机列表的时候,可以选择这个选项。
当你对所收集的信息感到满意的时候,可以通过按下"C"键,把收集的信息转换为主机列表,然后按照通常的方式工作。
在下一节中将解释在sample方式下,本选项的作用。
-b,--broadping在启动时利用广播ping,而不是ARP风暴来获得网络主机信息。
这种方法的可靠性差,准确性也低。
有些主机不会响应广播ping(如windows),所在这种方式下,这些主机是不可见的。
如果你想要扫描局域网上的Linux主机,这个选项是非常有用的。
通常你可以把这个选项--list选项连用以便获得主机列表"ettercap -Nlb"-D,--delay <n sec>如果你选择了ARP欺骗方式,可以利用这个选项来控制ARP响应之间的延迟秒数。
如果你希望这种欺骗数据流不要过于集中,这个选项是很有帮助的。
在大多数OS中,缺省的arp 缓存有效时间间隔超过一分钟(在FreeBSD系统中为1200秒)。
缺省的延迟为30秒。
-Z,--stormdelay <n u sec>指定在arp风暴开始后arp请求之间的延迟微秒数。
如果你希望扫描不要过于集中可以使用这个选项。
许多IDS对于过于大量的arp请求会产生报警信息,但是如果你用低一些的速率发送arp数据包,IDS 将不会报告任何异常事件。
缺省的延迟时间为1500微秒。
-S,--spoof <IP>如果你想欺骗IDS,可以利用一个伪造的IP来进行局域网arp扫描。
但是我们不能伪造源MAC地址,因为良好配置的交换机会阻断你的请求包。
-H,--hosts <IP1[,IP2][,IP3][,…]>指定在启动是仅扫描这些主机。
如果你希望仅对某些IP进行arp扫描的时候,可以选用这个选项。
这样,你既可以从arp 扫描中获得好处,又可以尽量保持低攻击性。
甚至在你希望采用PUBLIC ARP方式,但又想仅仅欺骗某几个主机的时候,这个选项也是很有用的。
由于在拥有主机列表的情况下PUBLICARP方式会自动转换为SMARTARP方式,只有这些主机被欺骗,可以保持其他主机的arp 缓存不受影响。