ОПЦИИ ПОЛЬЗОВАТЕЛЬСКОГО ИНТЕРФЕЙСА

-T, --text

Только текстовый интерфейс, только printf

 

Это молчаливый интерфейс, нажимайте 'h' каждый раз для получения помощи о возможных действиях.

-q, --quiet

Тихий режим. Он может использоваться только в паре с консольным интерфейсом. Он не печатает текущие пакеты. Он полезен если вы хотите конвертировать pcap файл в лог файлы ettercap.

пример:

ettercap -Tq -L dumpfile -r pcapfile

-s, --script <КОМАНДЫ>

С этой опцией вы можете скармливать ettercap'у команды, как будто бы они были напечатаны на клавиатуре пользователем. Таким образом вы можете использовать ettercap внутри ваших любимых скриптов. Есть специальная команда, которую вы можете пропустить через эту команду: s(x). Эта команда приведёт к засыпанию на x секунд.

пример:

ettercap -T -s 'lq'

напечатает список хостов и выйдет

ettercap -T -s 's(300)olqq'

соберёт информацию за 5 минут, напечатает список локальных профилей и выйдет

-C, --curses

Графический интерфейс, основанный на Ncurses. Смотрите ettercap_curses для полного описания.

-G, --gtk

Славный GTK2 интерфейс (спасибо Daten…). Смотрите ettercap-pkexec для полного описания.

-D, --daemonize

Превратить ettercap в демон. Эта опция отсоединит ettercap от текущего контрольного терминала и установит его как демон. Вы можете комбинировать эту функцию с опцией "log" для записи трафика в фоне. Если демон вылетит по каким-либо причинам, он создаст файл "./ettercap_daemonized.log" в котором будет сообщена пойманная ettercap'ом ошибка. Более того, если вы хотите иметь полную отладку процесса демона, то рекомендуем вам перекомпилировать ettercap в режиме отладки.

ОБЩИЕ ОПЦИИ

-b, --broadcast

Говорит Ettercap обрабатывать пакеты приходящие с широковещательного адреса.

-i, --iface <ИНТЕРФЕЙС>

Использовать этот <ИНТЕРФЕЙС> вместо интерфейса по умолчанию. Этот интерфейс может быть ненастроен (требуется libnet >= 1.1.2), но вы этом случае вы не можете использовать атаки MITM и вы должны установить флаг безобидного режима.

-I, --iflist

Эта опция напечатает список всех доступных сетевых интерфейсов, которые могут быть использованы с ettercap. Эта опция особенно полезна в Windows, где имя интерфейса не так очевидно, как в *nix.

-Y, --secondary <список интерфейсов>

Указывает список (или единичный) вторичных интерфейсов с которых захватывать пакеты.

-A, --address <АДРЕС>

Использовать этот <АДРЕС> вместо автоматически определённого для текущего интерфейса. Эта опция полезна если вы имеете интерфейс с множеством IP адресов.

-n, --netmask <МАСКА СЕТИ>

Использовать эту <МАСКУ СЕТИ> вместо маски сети ассоциированный с текущим интерфейсом. Эта опция полена, если у вас сетевая плата с ассоциированной маской сети класса B, а вы хотите сканировать (с arp сканированием) только класс C.

-R, --reversed

Меняет на противоположные соответствующие выбранные ЦЕЛИ. Это означает не(ЦЕЛИ). Всё, кроме выбранных ЦЕЛЕЙ.

-t, --proto <ПРОТОКОЛ>

Сниффить только пакеты ПРОТОКОЛА (по умолчанию это TCP + UDP).

Это полезно если вы хотите выбрать порт посредством указания ЦЕЛИ, но вы хотите дифференцировать tcp и udp.

ПРОТОКОЛ может быть "tcp", "udp" или "all" для обоих.

-6, --ip6scan

Отправлять ICMPv6 зонды для обнаружения ICMPv6 узлов на линии. Эта опция отправляет запросы пинга адресам всех-узлов, чтобы мотивировать активные IPv6 ответить. Вам не следует использовать эту опцию если вы пытаетесь скрыть себе. Следовательно, эта опция необязательная.

ПРИМЕЧАНИЕ: Эта опция доступна только если была включена поддержка IPv6.

-z, --silent

Не выполнять начальное ARP сканирование LAN.

ПРИМЕЧАНИЕ: у вас не будет списка хостов, следовательно, вы не сможете использовать функцию множественного отравления. Вы можете только выбрать два хоста для атаки ARP отравления, указав их в ЦЕЛЯХ.

-p, --nopromisc

Обычно ettercap переводит интерфейс в неразборчивый режим для сниффинга всего трафика на проводе. Если вы хотите сниффить только ваши подключения, используйте этот флаг для НЕ включения неразборчивого режима.

-S, --nosslmitm

Обычно ettercap подделывает SSL сертификаты чтобы перехватить https трафик. Эта опция отключает это поведение

-u, --unoffensive

Каждый раз при запуске ettercap, от отключает IP форвардинг в ядре и начинает перенаправлять пакеты самостоятельно. Эта опция предотвращает это, поэтому ответственность за IP форвардинг остаётся на ядре.

Эта опция полезна если вы хотите запустить множество экземпляров ettercap. Вы будете иметь один экземпляр (один без опции -u) который будет перенаправлять пакеты, а другие экземпляры будут делать свою работу без перенаправления их. Иначе вы получите дубликаты пакетов.

Она также отключает внутреннее создание сессий для каждого подключения. Она увеличивает производительность, но вы будете неспособны модифицировать пакеты на лету.

Если вы хотите использовать атаку mitm, вы должны использовать различные экземпляры.

Вы должны использовать эту опцию интерфейс не настроен (без IP адреса.)

Это также полезно если вы хотите запустить ettercap на шлюз. Он не будет отключать форвардинг и шлюз будет корректно перенаправлять пакеты.

-j, --load-hosts <ИМЯ_ФАЙЛА>

Она может использоваться для загрузки списка хостов из файла, созданного с опцией -k. (смотри ниже)

-k, --save-hosts <ИМЯ_ФАЙЛА>

Сохраняет список хостов в файл. Полезна когда вы имеете много хостов и вы не хотите делать ARP шторм при запуске каждый раз, когда вы используете ettercap. Просто используйте эту опцию и соберите их все в файл, затем загрузить эту информацию из него используя опцию -j <имя_файла>.

-P, --plugin <ПЛАГИН>

Запустить выбранный ПЛАГИН. Многие плагины требуют указание цели, используйте ЦЕЛЬ как всегда. Используйте этот параметр несколько раз для выбора нескольких плагинов.

В консольном режиме (опция -C) отдельные плагины выполняются и затем приложение завершает свою работу. Активирован подхват плагинов и выполнение нормального сниффинга.

Чтобы получить список доступных внешних плагинов используйте "list" (без кавычек) как имя плагина (к примеру, ./ettercap -P list).

ПРИМЕЧАНИЕ: вы также можете активировать плагин непосредственно из интерфейсов (всегда нажимайте "h" для получения внутристроковой помощи).

Больше подробностей о плагина и о том, как их писать самому, смотрите на странице man ettercap_plugin(8).

-F, --filter <ФАЙЛ>

Загрузить фильтр из файла <ФАЙЛ>. Фильтр должен быть скомпилирован с etterfilter. Эта утилита скомпилирует скрипт фильтра и создаст совместимый с ettercap бинарный файл фильтра. Прочитайте руководство etterfilter для списка функций, которые вы можете использовать внутри скрипта фильтра. Любое количество фильтров может быть загружено указанием этой опции множество раз: пакеты проходят через каждый фильтр в том порядке, как они указаны в командной строке. Вы также можете загрузить скрипт без его включения, для этого добавьте к имени файла :0.

ПРИМЕЧАНИЕ: эти фильтры отличаются от тех, которые с --pcapfilter. Фильтр ettercap — это фильтр контента и может модифицировать полезную нагрузку пакета до его перенаправления. Фильтр Pcap используется для захвата только конкретных пакетов.

ПРИМЕЧАНИЕ: вы можете использовать фильтры на pcapfile для модификации его и сохранения в другой файл, но в этом случае вы должны обратить внимание что вы делаете, поскольку ettercap не будет повтор считать контрольные суммы, не будет расщеплять пакеты превышающие MTU (snaplen), вообще не будет ничего делать в этом роде.

-W, --wifi-key <KEY>

Вы можете указать ключ для расшифровки WiFi пакетов (WEP или WPA). Только успешно расшифрованные пакеты будут пропущены в декодерский стэк, другие будут пропущены с выдачей сообщения.

Этот параметр имеет следующий синтаксис: type:bits:t:string. Где 'type' может быть: wep, wpa-pws или wpa-psk, 'bits' это битовая длина ключа (64, 128 или 256), 't' — это тип строки ('s' для строки и 'p' для пароля). 'string' строкой или экранированной шестнадцатеричной последовательностью.

пример:

--wifi-key wep:128:p:secret

--wifi-key wep:128:s:ettercapwep0

--wifi-key 'wep:64:s:\x01\x02\x03\x04\x05'

--wifi-key wpa:pwd:ettercapwpa:ssid

--wifi-key wpa:psk:

663eb260e87cf389c6bd7331b28d82f5203b0cae4e315f9cbb7602f3236708a6

-a, --config <КОНФИГ>

Загружает альтернативный файл конфигурации вместо дефолтного /etc/etter.conf. Это полезно, если вы имеете много предварительно настроенных файлов для различных ситуаций.

--certificate <ФАЙЛ>

Говорит Ettercap использовать указанный файл сертификата для атаки SSL MiTM.

--private-key <ФАЙЛ>

Говорит Ettercap использовать указанный файл частного ключа для атаки SSL MiTM.

ОПЦИИ ВИЗУАЛИЗАЦИИ

-e, --regex <РЕГУЛЯРНОЕ ВЫРАЖЕНИЕ>

Обрабатывать только пакеты, которые соответствуют этому регулярному выражению.

Эта опция полезна с -L. Она записывает только пакеты, которые соответствуют РЕГУЛЯРНОМУ ВЫРАЖЕНИЮ posix.

Она воздействует даже на визуализацию сниффленных пакетов. Она устанавливает показывать пакеты только соответствующие этому регулярному выражению.

-V, --visual <ФОРМАТ>

Используйте эту опцию для установления метода визуализации для отображаемых пакетов.

ФОРМАТ может быть следующим:

         hex Печатать пакеты в шестнадцатеричном формате.

 

                пример:

 

                строка "HTTP/1.1 304 Not Modified" становится:

 

                0000: 4854 5450 2f31 2e31 2033 3034 204e 6f74 HTTP/1.1 304 Not

                0010: 204d 6f64 6966 6965 64              Modified

 

         ascii Печатать только "печатные" символы, другие отображаются как точки '.'

 

         text Печатать только "печатные" символы, а остальные пропускать.

 

         ebcdic Конвертировать текст EBCDIC в ASCII.

 

         html Убрать все html тэги из текста. Тэгом является строка между < и >.

 

                пример:

 

                <title>Это заголовок</title>, но последующая <строка> не будет отображена.

 

                Это заголовок, но последующая не будет отображена.

 

         utf8 Печатать пакеты в формате UTF-8. Используемая при преобразовании

                кодировка устанавливается в файле etter.conf(5).

-d, --dns

Преобразовывать IP адреса в имена хостов.

ПРИМЕЧАНИЕ: это может серьёзно замедлить ettercap во время записи пассивной информации. Каждый раз при обнаружении нового хоста, будет выполнен запрос на dns. Ettercap хранит в кэше для уже преобразованных хостов для ускорения, но новые хосты требуют нового запроса и dns может понадобиться до 2 или 3 секунд для ответа по незнакомому хосту.

СОВЕТ: ettercap собирает dns ответы, он сниффит их в таблице преобразования, поэтому если вы указали не резолвить имена хостов, некоторые из них окажутся преобразованными, поскольку ответы были перехвачены ранее, воспринимайте это как бесплатное пассивное dns преобразование…

 

-E, --ext-headers

Печатать расширенные заголовки для каждого отображаемого пакета. (например mac адреса)

-Q, --superquiet

Супер тихий режим. Не печатать собранных пользователей и пароли. Только сохранять их в профилях. Это может быть полезно для запуска ettercap только в текстовом режиме, но вы не хотите, чтобы зав зафлудили сообщениями диссекторов. Полезно при использовании плагинов, поскольку процесс сниффинга всегда активный, он будет печатать всю собранную информацию, с этой опцией вы можете подавить эти сообщения.

ПРИМЕЧАНИЕ: эта опция автоматически устанавливает опцию -q.

пример:

ettercap -TzQP finger /192.168.0.1/22

ОПЦИИ ЛОГГИРОВАНИЯ

-L, --log <ФАЙЛ_ЛОГА>

Записывать все пакеты в бинарные файлы. Эти файлы могут быть пропарсены в etterlogдля извлечения человечески читаемых данных. С этой опцией все перехваченные в ettercap пакеты будут записаны вместе со всей пассивной информацией (информация о хосте + пользователи и пароли) которую программа может собрать. По указанному ФАЙЛ_ЛОГА, ettercap создаст ФАЙЛ_ЛОГА.ecp (для пакетов) и ФАЙЛ_ЛОГА.eci (для информации).

ПРИМЕЧАНИЕ: если в командной строке вы укажите эту опцию, вам не обязательно заботиться о привилегиях, поскольку файлы для записи открываются в фазе старта программы (с высокими привилегиями). Но если вы включили опцию логирования уже после старта ettercap, вы должны быть в директории, где может записывать uid = 65535 или uid = EC_UID.

ПРИМЕЧАНИЕ: лог файлы могут быть сжаты алгоритмом для уменьшения размеров данных опцией -c.

-l, --log-info <ФАЙЛ_ЛОГА>

Очень похоже на -L, но она записывает только пассивную информацию + пользователей и пароли для каждого хоста. Файл будет назван ФАЙЛ_ЛОГА.eci.

-m, --log-msg <ФАЙЛ_ЛОГА>

Она сохраняет в <ФАЙЛЕ_ЛОГА> все пользовательские сообщения, которые выводит ettercap. Это может быть полезно, когда вы используете ettercap в режиме демона или вы хотите отслеживать все сообщения. На самом деле, некоторые диссекторы печатают сообщения, но их информация нигде не сохраняется, поэтому это единственный способ ведение их учёта.

-c, --compress

Сжать файл лога алгоритмом gzip во время его дампа. Etterlog способен работать как с жатыми так и с несжатыми файлами логов.

-o, --only-local

Записывать информацию профилей принадлежащую только локальным хостам.

ПРИМЕЧАНИЕ: эта опция эффективна только в отношении профилей, собранных в памяти. Во время записи в файл ВСЕ хосты будут сохранены. Если вы хотите разбить их, используйте соответствующую опцию etterlog.

-O, --only-remote

Сохраняет информацию о профилях принадлежащую удалённым хостам.

СТАНДАРТНЫЕ ОПЦИИ

-v, --version

Напечатать версию и выйти.

-h, --help

напечатать справку.

ПРИМЕРЫ

Здесь несколько примеров использования ettercap.

Ettercap -Tp

Использовать консольный интерфейс и не переводить сетевой интерфейс в неразборчивый режим. Вы будете видеть только ваш трафик.

Ettercap -Tzq

Использовать консольный интерфейс и не проводить ARP сканирования сети и быть тихим. Содержимое пакетов не будет отображено, но пользователи и пароли, а также другие сообщения, будут показаны.

ettercap -T -j /tmp/victims -M arp /10.0.0.1-7/ /10.0.0.10-20/

Загрузить список хостов из /tmp/victims и выполнит ARP атаку травления в отношении двух целей. Список будет объединён в целями и полученный список использован для ARP отравления.

ettercap -T -M arp // //

Выполнить атаку ARP сканирования в отношении всех хостов в локальной сети. БУДЬТЕ ОСТОРОЖНЫ!!

ettercap -T -M arp:remote /192.168.1.1/ /192.168.1.2-10/

Выполнить ARP отравление в отношении шлюза и хостов в локальной сети между 2 и 10. Опция 'remote' необходима для способности сниффить удалённый трафик, который хосты создают через шлюз.

Ettercap -Tzq //110

Сниффить только протокол pop3 для каждого хоста.

Ettercap -Tzq /10.0.0.1/21,22,23

Сниффить telnet, ftp и ssh подключения на 10.0.0.1.

Ettercap -P list

Напечатать список доступных плагинов.

ФАЙЛЫ

~/.config/ettercap_gtk

Сохраняет постоянную информацию (например, размещение окна) между сессиями.

Примеры запуска Ettercap

Переключите вашу машину в режим пересылки (форвардинга).

1

echo "1" > /proc/sys/net/ipv4/ip_forward

Запускаем графический интерфейс (-G):

1

sudo ettercap -G

В меню выбираем Sniff, далее Unified, выбираем желаемый интерфейс:

 

Теперь выбираем Hosts, в нём подпункт Scan for hosts. После окончания сканирования выберите Hosts list:

 

В качестве Цели1 выберите роутер (Add to Target 1), в качестве Цели2 выберите устройство, которое будете атаковать (Add to Target 2).

 

Теперь переходим к пункту меню Mitm. Там выберите ARP poisoning… Поставьте галочку на Sniff remote connections.

Теперь перейдите к меню Sniff и выберите там Start sniffing.

Чтобы убедиться, что сниффинг работает, можно запустить urlsnarf, чтобы увидеть посещаемые адреса:

1

urlsnarf -i eth0

или driftnet, чтобы увидеть открываемые на сайтах картинки:

1

driftnet -i eth0

Установка Ettercap

Программа предустановлена в Kali Linux.

Установка Ettercap в Linux (на примере Debian, Mint, Ubuntu)

Установка из репозитория

1

sudo apt-get install ettercap-common ettercap-graphical # только графический интерфейс

ИЛИ

1

sudo apt-get install ettercap-common ettercap-text-only # только текстовый интерфейс

Запускать обязательно от имени администратора. К примеру так:

1

sudo ettercap -G

⇐ Предыдущая234567891011

Поделиться: