由 jkm 在 05-20-2003 16:31 发表:
花了好几天的业余时间,终于完成了一篇ettercap的翻译,不知道这儿是不是可以发?
NAME
ettercap 0.6.A- 一个多功能的交换机网络监听器
大纲
ettercap [OPTIONS] [HOST:PORT] [HOST:PORT] [MAC] [MAC]
说明
ettercap 是作为一个交换机网络中的监听器诞生的(当然也可以监听hub网络),但随着不断的更新,它已经具备了越来越多的功能,成为了一个强大的可变通的man-in-the-middel技术的攻击工具.它支持主动和被动的对网络协议的剖析(甚至一些加密的协议),包含有很多的网络和主机分析功能(就像OS指纹分析).
ettercap有5种监听模式:
+IPBASED,信息包按符合IP:PORT 源和IP:PORT目标的标准进行过滤.
+MACBASED,信息包按符合源和目标的MAC地址标准进行过滤(在监听通过网关的连接时很有用)
+ARPBASED,使用arp欺骗在交换机网络中对两台机器进行监听(full-duplex模式,man-in-the-middle)
+SMARTARTP,在交换机网络中使用arp欺骗,在一台肉机上对所有网络中的其他机器进行监听以了解网络结构(full-duplex模式,man-in-the-middle)
+PUBLICARP,在交换机网络中使用arp欺骗,在一台肉机上对所有网络中的其他机器进行监听(half-duplex).使用这种模式,arp答复被使用广播形式进行发送,如果ettercap有完整的主机列表(启动的时候会对网络进行扫描),ettercap会自动选择SMARTARP模式,arp答复会送到除了肉机以外的所有的主机,这是为了避免win2k报告mac地址冲突.
ettercap最重要的功能有:
在活动的连接中插入字符:你可以在连接中把字符送给服务器(模仿命令),送给客户机(模仿答复)以使连接继续.ssh1 支持:你能够监听用户名和密码,甚至是ssh1的连接的数据.ettercap是第一个有能力监听ssh连接的软件.
https支持:你能够监听http ssl加密数据,甚至在连接是通过一个代理的情况下.
通过gre通道的远程数据交流的监听:你能够监听从一个远程路由器发出的通过gre通道的远程数据交流,并且使用mitm技术进行攻击.
plug-ins 支持:你能够使用使用ettercap提供的api创建你自己的插件.
密码收集:TELNET, FTP, POP, RLOGIN, SSH1, ICQ, SMB,MySQL, HTTP, NNTP, X11, NAPSTER, IRC, RIP, BGP, SOCKS 5, IMAP 4, VNC,LDAP, NFS, SNMP, HALF LIFE, QUAKE 3, MSN, YMSG (其他协议的密码收集马上就来...)包的过滤/丢弃:你能够为查找一个特殊的字符串(甚至是16进制)建立一个过滤规则,在TCP或者UDP的有效载荷里面把它替换成你自己需要的,或者把整个都扔掉.
被动模式的OS指纹:你能够利用被动模式检测整个网络(不用发送任何包)和收集网络中主机的详细信息:操作系统,运行的服务,开着的端口,IP地址,mac地址和网络适配器产商.
OS指纹:你能够查出肉机的OS指纹甚至是它的网络适配器(使用了nmap的Fyodor数据库).
杀掉一个连接:在连接列表中你能杀掉所有的你所希望杀的连接.
由 jeffwu 在 05-20-2003 21:38 发表:
支持!
------------------------------------------------------
QQ:6249612
由 jkm 在 05-21-2003 07:29 发表:
2
信息包工厂:你能够用飞一般的速度创建和发送伪造的包.他能够让你发送从网络适配器到应用软件各种级别的包.绑定监听数据到一个本地端口:你能够从一个客户端连接到这个端口并且能够为不知道的协议解码或者把数据插进去(只有在arp为基础模式里才能用)(不知道这段是不是这个意思)
OPTIONS
一般而言ettercap的参数都能够联合,如果遇到不支持的联合参数,ettercap将会提示你.
监听模式
-a,--arpsniff
arp为基础的监听
这是交换机网络中的监听模式,如果你想使用mitm(man in the middle)技术的话你就不得不使用这种模式.在和安静模式(-z参数)联合使用的时候,如果决定采用ARPBASED模式(full-duplex),你必须指定两个IP和两个MAC地址,如果采用PUBLICARP模式(half-duplex),你就只需要指定一个IP地址和一个MAC地址.在使用PUBLICARP模式的时候,arp答复采用广播形式发送,但如果ettercap有完整的主机列表(启动的时候ettercap会扫描网络),ettercap会自动选择SMARTARP模式,arp答复会发送给除了肉机以外的所有主机,and an hash table is created to re-route back the packet form victim to client obtaining in this way a full-duplex man in the middle attack.这时候路由表关于从肉机到客户端的这部分被重新改写,这样就开始了一个mitm攻击(这一段也不是很清楚).
注意:如果你想使用smartarp模式来poison一台机器,记得在conf文件里面设置好网关的IP(GWIP项目)而且用-e参数来启动,否则那台机器不能连接到别的机器上.
利用过滤来进行包替换和包的丢弃,只能用在ARPBASED的监听中,是因为在full-duplex中必须重新调整序列号以能够使连接保持活动.
-s,--sniff
基于IP的监听
这是一种比较老的也是不错的监听模式.但它只能在基于hub的网络上面使用,在使用了交换机的网络上面没法工作.你可以指定源,也可以指定目标,可以指定端口或者不制定,甚至可以什么也不指定(监听所有连接)让它工作.特殊的IP "ANY"表示从或者到任何的机器.
-m,--macsniff
基于mac的监听
监听远程的机器上面的tcp通讯可以使用这种模式.在基于hub的网络上你如果想要监听一个通过网关的连接,制定目标机器和网关的ip是没有用的,因为包不是发给网关的.在这个时候你就可以使用这种模式.只需要指定目标机器和网关的mac你就能够看到它们所有的连接.
脱机监听
-T,--readpcapfile
1<file>
2
3脱机监听
4
5使用了这个参数以后,ettercap会检查一个pcap兼容文件,而不是在网络上取包.如果你有一个用tcpdump或者ethereal记录下来的文件而且你想在这个文件上做一些分析工作(查找密码或者被动指纹)的话,你可以采用这个参数.
6
7-Y,--writepcapfile<file>
8
9把包纪录到一个pcap文件中
10
11如果你不得不在一个交换机网络上使用一个活动的监听(arp欺骗)但你想使用tcpdump或者ethereal分析的话,你可以用这个参数.你能够使用这个参数来把包记录到一个文件中然后把它导入到你感兴趣的软件中.
12
13
14
15GENERAL OPTIONS
16
17-N,--simple
18
19无交互模式
20
21当你需要在脚本中运行ettercap或者你已经知道目标的一些信息,或者你想在后台运行ettercap帮你收集数据以及密码(和--quiet参数一起使用),这种模式是比较有用的。一些功能在这种模式下面不能使用,当然是指那些需要交互的功能,就像字符的插入功能。但其他的(就像过滤)是完全可以用的,所以你能够设置ettercap监听两台机器(目标机器和它的网关)、过滤他的80端口的连接并且替换掉一些字符串,它的所有在internet上的通过80端口的通讯就会按照你所希望地进行改变。
22
23
24
25-z,--silent
26
27安静模式(启动的时候没有arp风暴)
28
29如果你希望用一种比较安静的模式启动ettercap(因为一些NIDS在监测到过多的arp请求包的时候会发出警告)。你在使用这种参数的时候你必须知道所有你必须知道的目标机器的数据。例如如果你想要监听两台机器,你就必须知道这两台机器的ip地址以及mac地址。如果你选择了基于ip的监听或者基于mac的监听,ettercap会自动切换到这种模式,因为你这个时候不需要知道lan中的机器列表。
30
31如果你想要知道机器列表可以使用命令"ettercap -Nl',但你必须知道这种模式是很危险的。
32
33
34
35-O --passive
36
37这个参数使用被动模式收集数据。使用这个参数不会在网络中发送任何数据包。使用这个参数以后网卡进入混杂模式并且察看任何经过它的包。所有感兴趣的包(SYN或者SYN+ACK)会被分析,并且这种模式可以用来完整地了解整个网络。收集的信息包括:机器的ip和mac,操作系统的类型(操作系统的指纹),网络适配器厂家以及运行的服务。(详细的技术说明可以查阅readme)列表里面还包含有这些信息:“GW"表示网关,"NL"表示这个ip不属于LAN,"RT"表示机器是路由器。
38
39这个参数在你想通过被动模式来制作一个网络主机列表时能发挥作用,如果你对收集到的信息比较满意,你可以通过按下'C'键把信息转换成为网络主机列表,而且这时候ettercap象平常一样工作。
40
41ettercap在普通模式下的功能在下一部分会有详细介绍。
42
43
44
45-b,--broadping
46
47在启动的时候用一个ping广播代替arp风暴
48
49这种模式减少了危险,但也减少了精确度。一些机器在收到ping广播以后不会回复(就像windows)所以这些机器在这种模式下面不能被看到.如果你想扫描一个linux主机组成的网络这种模式是有用的.使用"ettercap -Nlb"你会得到一个网络主机列表.
50
51
52
53-D,--delay<n sec="">
54
55如果你使用了arp监听模式,这个参数可以帮你确定在arp 回复之间的延迟时间(秒数).如果你想在监听中减少被发现的可能性,这个参数是很有用的.在很多OS上面默认的arp缓存的保存时间是超过一分钟(在FreeBSD上面是1200秒).
56
57默认的延迟值时30秒.
58
59
60
61-Z,--stormdely<n usec="">
62
63确定启动发送arp风暴的时候在arp请求之间的时间间隔(微秒).如果你想在扫描中减少被发现的可能性,使用这个参数会很有帮助.很多IDS在监测到大量的arp请求之后会发出警告,但如果你降低发送arp请求的速度,它们将不会报告任何东西.
64
65默认的延迟值是1500微秒.
66
67
68
69-B,--bufferlen(n pck)
70
71确定每个连接的缓存的长度.如果是0表示不使用连接缓存.每个连接的最后n各报将会被记录并保存下来.
72
73默认的值时3.
74
75
76
77-S,--spoof<ip>
78
79如果你想躲避IDS监测,你可以指定一个欺骗IP用来发送arp 请求扫描网络.源MAC不能用来欺骗,因为一个设置的好的交换机将会阻挡你的请求.(这一段我也不明白)
80
81
82
83-H,--hosts<ip1[;ip2][;ip3][;...]>
84
85启动的时候仅仅扫描指定的机器.
86
87如果你想扫描一个网络中特定的ip,可以使用这个参数.很明显使用这个参数以后你可以减少被发现的可能性.在你想做PUBLIC ARP但你又想pison指定的一些机器的时候你可以使用这个参数.因为使用了一个IP列表以后PUBLIC ARP会自动转换成SMARTARP,仅仅指定的机器会被posion,其他的机器的arp 缓存不会被变更.(posion的意思应该是进行arp欺骗).IP列表必须用点和分号隔开(中间不能有空格),你也可以使用ip范围(使用连字符)或者单独的IP列表(用逗号隔开)
88
89例子:
90
91192.168.0-25->从2到25
92
93192.168.0.1.3.5->主机 192.168.0.1,192.168.0.3,192.168.0.5
94
95192.168.0-3.1-10;192,168.4.5,7->指192.168.0,192.168.1,192.168.2,192.168.3网段里面的从1到10的主机,还有网段192.168.4里面的5和7主机.
96
97
98
99-d,--dontresolve
100
101在启动的时候不解释IP的主机名,你如果不希望在启动的时候看到"Resolving n hostnames...",你可以使用这个参数.因为解释主机名可能导致在你的环境中进行很慢的DNS解析.
102
103
104
105-i,--iface<iface>
106
107network interface to be used for all the operation. you can even specify network aliases in order to scan a subnet with different ip form your current one.(这段不知道如何翻译)
108
109
110
111-n,--netmask<netmask>
112
113确定用来扫描网络的子网掩码,(点分隔的格式).默认值是你当前机器上使用的子网掩码.但你的子网掩码很可能是255.255.0.0,如果你想要在启动的时候做一个arp扫描,建议你使用一个限制更加明确的掩码.
114
115
116
117-e,-etterconf<filename>
118
119使用设置文件取代命令行的参数
120
121etter.conf范例文件在tar包里面也有,看了这个范例文件,应该能知道怎么写一个设置文件.在这个文件里面写有所有的指导,通过conf文件你能够有选择性的景致一个协议剖析工具或者把它移动到另外一个端口上.命令行参数和设置文件能够弹性的混合使用,但要记得在设置文件里面的参数能够覆盖命令行参数,所以如果你在etter.conf里面你指定了IFACE:eth0,而且你使用了命令:"ettercap -i eth1 -e etter.conf",被选择的其实是eth0.
122
123注意:参数"-e etter.conf"应该在其他所有参数的后面.
124
125
126
127-g,--linktype
128
129这个参数有两个补充函数.所以要留心.
130
131如果在对话模式中使用它不会监察网络的类型.在其他方面,一般和命令行模式(-N)一起使用,这时候会开始检查你的网络是不是交换机网络...如果网络中只有2个主机,判断有可能会出错.
132
133
134
135-j,--loadhosts<filename>
136
137一般用来导入用-k参数创建的主机列表文件.
138
139
140
141-k,--savehosts
142
143保存主机列表到一个文件.当你网络中有很多及其而且你又不想在每次启动的时候都发一个arp请求风暴的时候,使用这个参数可以帮你达到目的.使用这个参数记录下主机列表,然后使用-j <filename>导入信息.
144
145文件名称采用以下形式:"ip地址_子网掩码.ehl"
146
147
148
149-X,--forceip
150
151在开始arp欺骗以前禁止掉发送欺骗ICMP包.(????????)
152
153
154
155-v,--version
156
157检查ettercap最终版本.
158
159所有操作都在你的控制之下.每一步都需要使用者确认.使用这个参数ettercap会连接到 http://ettercap.sourceforge.net:80</filename></filename></filename></netmask></iface></ip1[;ip2][;ip3][;...]></ip></n></n></file></file>