ЦЕЛЬ в формате MAC/IP/IPv6/ПОРТы (смотрите подробности ниже в руководстве )

Далее mitm — это сокращение от Man in the middle, MitM-атака, т. е. атака Человек посередине.

-M, --mitm <METHOD:ARGS> выполнить атаку mitm

-o, --only-mitm    не сниффить, только выполнить атаку mitm

-b, --broadcast    сниффить пакеты, предназначенные для транляции

-B, --bridge <IFACE> использовать мостовой снифф (нужно 2 интерфейса)

-p, --nopromisc    не переводить интерфейс в неразборчивый режим

-S, --nosslmitm    не подделывать SSL сертификаты

-u, --unoffensive  не перенаправлять пакеты

-r, --read <file>  прочитать данные из pcapfile <файл>

-f, --pcapfilter <строка> установить <строку> pcap фильтром

-R, --reversed     использовать обратное соответствие ЦЕЛИ

-t, --proto <протокол> сниффить только этот протокол (по умолчанию - все)

--certificate <файл> файл сертификата для использования с SSL MiTM

--private-key <файл> файл личного ключа для использования с SSL MiTM

 

Тип пользовательского интерфейса:

-T, --text         использовать только текстовый интерфейс

  -q, --quiet   не показывать содержимое пакетов

  -s, --script <CMD> выполнить эти команды для GUI

-C, --curses       использовать интерфейс curses

-D, --daemon       демонизировать ettercap (нет интерфейса)

-G, --gtk          использовать интерфейс GTK+

 

Опции ведения логов:

-w, --write <файл> записать перехваченные данные в pcapfile <файл>

-L, --log <логфайл> записать весь трафик в этот <логфайл>

-l, --log-info <логфайл> записать только пассивную информацию в этот <логфайл>

-m, --log-msg <логфайл> записать все сообщения в этот <логфайл>

-c, --compress     использовать сжатие gzip для файлов логов

 

Опции визуализации:

-d, --dns          резолвить ip адреса в адреса хостов

-V, --visual <формат> задать формат визуализации

-e, --regex <регвыраж> визуализировать только пакеты, соответствующие этому регулярному выражению

-E, --ext-headers  записать расширенные заголовки для каждого pck

-Q, --superquiet   не показывать пользователей и пароли

 

Опции LUA:

--lua-script <скрипт1>,[<скрипт2>,...] список скриптов LUA, разделённые запятой

--lua-args n1=v1,[n2=v2,...]      разделённые запятой список аргументов скрипта(ов) LUA

 

Общие опции:

-i, --iface <iface> использовать этот сетевой интерфейс

-I, --liface       показать все сетевые интерфейсы

-Y, --secondary <интерф> список вторичных сетевых интерфейсов

-n, --netmask <сетмаска> установить эту <сетевую маску> на интерфейсе

-A, --address <адрес> установить этот локальный <адрес> для интерфейса

-P, --plugin <плагин> запустить этот <плагин>

-F, --filter <файл> загрузить <файл> фильтра (содержимое фильтра)

-z, --silent       не выполнять начальное ARP сканирование

-6, --ip6scan      отправить ICMPv6 зонды для обнаружения IPv6 узлов на связи

-j, --load-hosts <файл> загрузить список хостов из <файла>

-k, --save-hosts <файл> сохранить список хостов в <файл>

-W, --wifi-key <wkey> использовать этот ключ для расшифровки Wi-Fi пакетов (wep или wpa)

-a, --config <конфиг> использовать альтернативный файл <конфигурации>

 

Стандартные опции:

-v, --version      напечатать версию и выйти

-h, --help         напечатать справку

Руководство по Ettercap

ИМЯ

Ettercap — многоцелевой сниффер/фильтр контента для атак человек-посередине.

***** ВАЖНОЕ ЗАМЕЧАНИЕ ******

Начиная с ettercap NG (до 0.7.0) все опции были изменены. Изменена была даже спецификация целей. Пожалуйста, прочитайте внимательно это руководство.

СИНОПСИС

1

ettercap [ОПЦИИ] [ЦЕЛЬ1] [ЦЕЛЬ2]

Если включён IPv6:

ЦЕЛЬ в виде MAC/IPs/IPv6/ПОРТЫ

В противном случае,

ЦЕЛЬ в виде MAC/IPs/ПОРТЫ

где IPs и ПОРТЫ могут быть диапазонами (к примеру, /192.168.0.1-30,40,50/20,22,25)

ОПИСАНИЕ

Ettercap был рождён как сниффер для коммутируемых локальных сетей (и, очевидно, даже для «захабленных»), но во время процесса разработки он получал больше и больше функций, которые изменили его в мощный и гибкий инструмент для атак человек-посередине. Он поддерживает активное и пассивное вскрытие многих протоколов (даже зашифрованных) и включает многие функции анализа сети и хостов (такие как отпечатки ОС).

Он имеет две главные опции сниффинга:

UNIFIED (УНИФИЦИРОВАННЫЙ) , этот метод сниффит все пакеты, которые проходят через кабель. Вы можете выбрать переводить или не переводить интерфейс в неразборчивый режим (опция -p). Пакеты не направленные на хост с запущенным ettercap будут автоматически перенаправляться используя уровень 3 роутинга. Поэтому вы можете использовать атаку mitm запущенную из различных инструментов и позволить ettercap модифицировать пакеты и перенаправлять их для вас.

Ettercap всегда отключает ip_forwarding ядра. Это сделана для предотвращения пересылки пакета дважды (от посредством ettercap и один ядром). Это агрессивное поведение на шлюзе. Поэтому мы рекомендуем вам использовать ettercap ТОЛЬКО с ВКЛЮЧЁННЫМ БЕЗОБИДНЫМ РЕЖИМОМ (UNOFFENSIVE MODE ENABLED). Поскольку ettercap прослушивает только сетевой интерфейс, запуск его на шлюзе в наступательном режиме (offensive mode) не позволит пакетом быть перенаправленным обратно со вторичного интерфейса.

BRIDGED (МОСТОМ) , он использует два сетевых интерфейса и перенаправляет трафик с одного на другой при этом выполняя сниффинг и фильтрацию содержимого. Этот метод сниффинга совершенно незаметен, поскольку нет способа узнать, что кто-то посередине кабеля. Вы можете смотреть на этот метод как атака mitm на уровне 1. Вы будете посередине кабеля между двумя объектами. Не используйте его на шлюзах или он трансформирует ваш шлюз в мост. ПОДСКАЗКА: вы можете использовать движок фильтрации содержимого для отбрасывания пакетов, которые не должны пройти. Таким образом ettercap будет работать как встроенный IPS

Вы можете выполнить атаки человек посередине во время использования унифицированного (unified) сниффинга и фильтровать процесс, т. е. вы можете запустить несколько атак одновременно или использовать ваш собственный инструмент для атаки. Ключевым моментом является то, что пакеты должны прибывать в ettercap с корректным mac адресом и отличным ip адресом (только такие пакеты будут перенаправлены).

Наиболее важными особенностями ettercap являются:

Поддержка SSH1: вы можете сосниффить Пользователя и Пароль и даже данные SSH1 подключения. Ettercap является первой программой, способной сниффить SSH подключение в ПОЛНОМ ДУПЛЕКСЕ.

Поддержка SSL: вы можете сниффить безопасные данные SSL… клиенту предоставляется фальшивый сертификат и сессия расшифровывается.

Вставка символов в установленном подключении: вы можете вставлять символы для сервера (эмулирующие команды) или для клиента (эмулирующие ответы) поддерживающие соединение живым!!

Фильтрация/отбрасывание пакетов: Вы можете настроить скрипт фильтра для поиска конкретных строк (даже в шестнадцатеричном формате) в полезной нагрузке TCP или UDP и заменить их на ваши собственные или отбросить целый пакет. Движок фильтрации может искать на соответствие по любому полю сетевых протоколов и модифицировать любым образом на ваше усмотрение (смотрите Etterfilter ).

Удалённый сниффинг трафика через туннели и коверканье маршрута: Вы можете поиграться с готовым интерфейсом Linux или использовать интегрированный плагин для сниффинга туннелированных или с искажённым маршрутом соединениями и выполнить атаки mitm на них.

Поддержка плагинов: Вы можете создавать ваши собственные плагины используя API ettercap'а.

Сбор паролей для: TELNET, FTP, POP, RLOGIN, SSH1, ICQ, SMB, MySQL, HTTP, NNTP, X11, NAPSTER, IRC, RIP, BGP, SOCKS 5, IMAP 4, VNC, LDAP, NFS, SNMP, HALF LIFE, QUAKE 3, MSN, YMSG другие протоколы на подходе…).

Пассивное снятие отпечатков ОС: вы пассивно сканируете локальную сеть (без отправки каких-либо пакетов) и собирать детальную информацию о хостах в LAN: операционную систему, запущенные службы, открытые парты, IP, mac адрес и производитель сетевого адаптера.

Убийство соединения: из списка соединений вы можете убить соединения по вашему желанию.

ХАРАКТЕРИСТИКИ ЦЕЛЕЙ

⇐ Предыдущая12345678910Следующая ⇒

Поделиться: