<2> 脱机sniffing:
-T,--readpcapfile
脱机sniffing。如果使能了这个参数,Ettercap将监听一个pcap兼容文件中存储的网络数据包,而不是直接监听网络上的数据包。如果你有tcpdump或etereal转储的数据文件,并想对这些文件进行分析的时候,这个选项非常合适。
-Y,--writepcapfile
把数据包转储到一个pcap格式的文件中。如果你必须要在一个交换的局域网上使用主动sniffing(通过ARP欺骗)方式监听,但是又希望利用tcpdump或etereal对截获的数据包进行分析,可以选用这个选项。你可以利用这个选项把监听到的数据包转储在一个文件中,然后加载到适当的应用程序中进行分析。
<3> 通用选项
-N,--simple
非交互方式。如果你希望从一个脚本提交Ettercap,或者你已经了解一些目标信息,或者你想要在后台提交Ettercap,让它收集数据或口令信息(与-quite选项连用)的时候,可以采用这个选项。在这种工作方式下,Ettercap的某些功能无法实现,如字符注入等需要交互式处理的功能。但其他功能仍得到全面支持,如过滤功能所以可以让Ettercap对两个主机进行ARP欺骗(一台被监视主机和它的网关),并过滤它的所有在80端口的连接,并用一些字符串进行替换,那么它到Internet的所有通信都会按照你的要求而改变。
-z,--silent
以静音方式启动(在启动时没有ARP风暴)。如果你希望以非攻击方式启动Ettercap(某些NIDS检测到过多的ARP请求时会产生报警信息)。若要选用这个选项,你必须了解有关目标系统的所有必要的信息。例如,如果你要求欺骗两台主机,你需要知道这两台主机的IP地址和MAC地址。如果你选择了IP监听或MAC监听,会自动选择这个选项,因为你不需要知道局域网上的主机列表。如果你想要了解全部主机信息,使用 “ettercao -Nl”选项,需要注意的是,这是带有攻击性的方式。
-O,--passive
以被动方式收集信息。这种方式不会向网上发送任何数据包,它会将网卡置于全收方式,并查看流经的数据包。它将分析每一个需关注的数据包(SYN和SYN + ACK),并利用这些信息建立完整的局域网主机映射图。所收集的信息包括:主机的IP和MAC地址、网卡生产厂家、操作系统类型(被动OS指纹)和运行的服务等。在这个列表中还会包含其他一些信息,如:“GW”,如果该主机是一个网关的话,“NL”,如果这个IP不属于本网段,以及“RT”,如果该主机发挥了路由器的功能。如果你需要通过被动方式建立一个完整的主机列表的时候,可以选择这个选项。当你对所收集的信息感到满意的时候,可以通过按下“C”键,把收集的信息转换为主机列表,然后按照通常的方式工作。在下一节中将解释在sample方式下,本选项的作用。
-b,--broadping
在启动时利用广播ping,而不是ARP风暴来获得网络主机信息。这种方法的可靠性差,准确性也低。有些主机不会响应广播ping(如windows),所在这种方式下,这些主机是不可见的。如果你想要扫描局域网上的Linux主机,这个选项是非常有用的。通常你可以把这个选项--list选项连用以便获得主机列表“ettercap -Nlb”
-D,--delay
如果你选择了ARP欺骗方式,可以利用这个选项来控制ARP响应之间的延迟秒数。如果你希望这种欺骗数据流不要过于集中,这个选项是很有帮助的。在大多数OS中,缺省的arp缓存有效时间间隔超过一分钟(在FreeBSD系统中为1200秒)。缺省的延迟为30秒。
-Z,--stormdelay
指定在arp风暴开始后arp请求之间的延迟微秒数。如果你希望扫描不要过于集中可以使用这个选项。许多IDS 对于过于大量的arp请求会产生报警信息,但是如果你用低一些的速率发送arp数据包,IDS将不会报告任何异常事件。缺省的延迟时间为1500微秒。
-S,--spoof
如果你想欺骗IDS,可以利用一个伪造的IP来进行局域网arp扫描。但是我们不能伪造源MAC地址,因为良好配置的交换机会阻断你的请求包。
-H,--hosts
指定在启动是仅扫描这些主机。如果你希望仅对某些IP进行arp扫描的时候,可以选用这个选项。这样,你既可以从arp扫描中获得好处,又可以尽量保持低攻击性。甚至在你希望采用PUBLIC ARP方式,但又想仅仅欺骗某几个主机的时候,这个选项也是很有用的。由于在拥有主机列表的情况下PUBLIC ARP方式会自动转换为SMARTARP方式,只有这些主机被欺骗,可以保持其他主机的arp缓存不受影响。IP地址表的表示法为:点分制表示的IP地址,地址之间用分号分隔(在它们之间没有空格),还可以用中横线表示一个IP地址范围
或一个IP地址表(使用逗号)。例:
192.168.0.2-25 :从2到25
192.168.0.1,3,5 :主机1、3和5。
192.168.0.-3.1-10;192.168.4,5,7 :将要在子网192.168.0,192.168.1,
192.168.2,192.168.3中扫描主机1到10,以及在子网192.168.4中扫描主机5和7。
-d,--dontresolve
在启动时不解决IP。如果你在启动程序时遭遇疯狂的“Resolving n hostnames…”消息时,这个选项会有所帮助。这种情况是由于你的网络中的DNS非常慢而造成的。
-I,--iface
用于所有操作所针对的网络接口。你甚至可以指定一个网络别名,以便扫描与你的当前IP不同的子网。
-n,--netmask
用于扫描局域网络的网络掩码(以点分制表示)。缺省的网络掩码为当前ifconfig中定义的掩码。但是,如果你的掩码为,比如255.255.0.0,那么如果你要在启动时进行arp扫描的话,鼓励你另外指定一个限制更强的掩码。-e,--etterconf使用配置文件,而不是命令行参数。在软件的tar包中有一个etter.conf文件,其中包含一些配置范例,参考这些范例来了解如何编写配置文件,在这些例子中给出了所有的指导信息。通过配置文件,你可以选择性地禁止某个协议分析或把它转移到另一个端口。命令行选项和配置文件可以非常灵活地混合使用,需要记住的是配置文件中的选项压倒命令行选项,所以,如果在etter.conf指定了IFACE:eth0,并且你在启动程序的时候指定了“ettercap -i eth1 -e etter.conf”,那么最终的选择结果是eth0。
注意:“-e etter.conf”选项必须在所有选项的后面出现,也就是说它必须是最后一个选项。
-g,--linktype
这个标志有两个补充功能,因此要注意它。如果这个标志用于交互式方式,它不检查局域网的类型。另一方面,如果与命令行方式(-N)连用,它要对局域网进行检查,以了解它是否是一个交换网。有时,如果在局域网内只有两台主机,这种发现方法有可能失败。
-j,--loadhosts
用于从指定的文件中加载主机表,该文件是通过-k选项创建的。
-k,--savehosts
把主机列表保存到文件中。当目标网络中有很多主机,并且你不希望在每一次启动的时候都做一次arp风暴的时候,这个选项是很有帮助的。你只要指定这个选项,并把列表转储到一个文件中。然后加载这个利用-j 选项从文件中加载这些信息。文件名的形式为:
“netaddress_neymask.etl”
-v,--version
检查最新的ettercap版本。
所有的操作都在你的控制之下。每一个步骤都需要用户确认。利用这个选项ettercap将连接到http://ettercap.sourceforge.net:80 web站点,并请求/latest.php,然后分析查询结果并与你的当前版本进行比较。
-h,--help
在屏幕上显示帮助信息,对每一个选项都有一个简短的描述。
|
