Отвечать на DHCP оферты и запросы.

-M dhcp:/255.255.255.0/192.168.0.1

Отвечать только на DHCP запросы.

port ([remote],[tree])

Эта атака реализует кражу портов. Эта техника полезна для сниффинга в коммутируемой среде, когда ARP отравление не эффективно (например, где используются статические прописанные ARP).

Она зафлуживает LAN (основываясь на опции port_steal_delay в etter.conf ) пакетами ARP. If если вы не указали опцию "tree", пунктом назначения MAC адреса каждого "украденого" пакета является тот же, что и у атакующего (другие NIC не будут видеть эти пакеты) MAC адрес источника будет одним из MAC адресов в списке хостов. Этот процесс «ворует» порт коммутатора каждого хоста жертвы в списке хостов. Используя низкую задержку, пакеты, предназначенные «украденным» MAC адресам, будут получены атакующим, выигравшим гонку условий с реальным владельцем порта. Когда атакующий получает пакеты «украденных» хостов, он останавливает процесс флудинга и выполняет ARP запросы к реальным пунктам назначения пакета. Когда он получает ARP ответ, то наверняка жертва получила «возврат» своего порта, поэтому ettercap может повторно отправлять пакеты по назначению как есть. Теперь мы можем заново начать процесс флудинга ожидая новых пакетов.

Если вы используете опцию "tree", то пунктом назначения MAC адреса для каждого украденного пакета будет поддельный, поэтому эти пакеты будут распространяться на другие коммутаторы в дереве (если есть), но вы будете генерировать огромное количество трафика (в соответствии с port_steal_delay). Опция "remote" имеет то же значение что и в методе "arp" mitm.

Когда вы остановите эту атаку, ettercap отправит ARP запросы каждому украденному хосту для возвращения их портов коммутатора.

Вы можете выполнить как ПОЛУ, так и ПОЛНЫЙ ДУПЛЕКС mitm в соответствии с выбранной целью.

ПРИМЕЧАНИЕ: Используйте метод mitm только на коммутаторах локальной сети. Используйте его осторожно, он может приводить к понижению производительности или общему разрушению.

ПРИМЕЧАНИЕ: Вы НЕ можете использовать этот метод в режиме только-mitm (флаг -o), поскольку он использует движок сниффинга, и вы не можете использовать интерактивное внедрение данных.

ПРИМЕЧАНИЕ: Может быть опасным использование его совместно с другими методами mitm.

ПРИМЕЧАНИЕ: Этот метод mitm не работает на Solaris и Windows, из-за дизайна ipcap и libnet и отсутствия конкретной ioctl().

Пример:

Целями являются: /10.0.0.1/ /10.0.0.15/

Вы будете перехватывать и визуализировать трафик между10.0.0.1 и 10.0.0.15, но вы будете получать весь трафик также для 10.0.0.1 и 10.0.0.15.

Цель: /10.0.0.1/

Вы будете перехватывать и визуализировать трафик для 10.0.0.1.

ndp ([remote],[oneway])

ПРИМЕЧАНИЕ: Этот MITM поддерживается только если включена поддержка IPv6.

Этот метод реализует атаку отравления NDP , которая используется для MITM соединений IPv6. ND запросы/ответы отправляются жертвам для отравления их «соседского» кэша. Когда кэш отравлен, жертвы будут отправлять все IPv6 пакеты атакующему, который, в свою очередь, может модифицировать и перенаправлять их реальному пункту назначения.

В тихом режиме (опция -z) выбирается только первая цель, если вы хотите травить множество целей в тихом режиме, то используйте опцию -j для загрузки списка из файла.

Вы можете выбрать пустые цели и они будут расширены до «ЛЮБЫЕ» (все хосты в LAN). Список целей объединяется со списком хостов (созданным arp сканированием) и результат используется для выявления жертв атаки.

Параметр "remote" является опциональным и вы должны указать его если вы хотите сниффить удалённый ip адрес отравляя шлюз. В действительности если вы укажите жертву и шлюз в ЦЕЛЯХ, ettercap будет сниффить только соединение между ними, но чтобы ettercap был способен сниффить соединения, которые проходят через шлюз, вы должны использовать этот параметр.

Параметр "oneway" принудит ettercap отравлять только от ЦЕЛИ1 к ЦЕЛИ2. Полезно если вы хотите отравлять только клиента и не делать это с роутером (где может быть установлена программа вроде arpwatch , следящая за изменениями arp).

Пример:

Цели: //fe80::260d:afff:fe6e:f378/ //2001:db8::2:1/

⇐ Предыдущая12345678910Следующая ⇒

Поделиться: