Ettercap是一個(gè)非常強(qiáng)大的中間人攻擊工具给赞；本博客之前日志也有多次涉獵，這里詳細(xì)了解下ettercap的參數(shù)恭取，算是入門(mén)篇钞瀑。

關(guān)于界面：ettercap提供 4 種運(yùn)行界面：

Text??????????? #文本模式，參數(shù) -T 励幼，一般配合 -q（安靜模式）使用

Curses/GTK???????? #圖形模式汰寓，參數(shù) -C/-G

Daemonize????????? #守護(hù)模式（后臺(tái)模式），參數(shù) -D

運(yùn)行模式：

兩種模式（UNIFIED和BRIDGED）

Unified?????????????????? #中間人模式苹粟，即兩臺(tái)終端間進(jìn)行欺騙有滑，參數(shù) -M

Bridged????????????????? #雙網(wǎng)卡之間進(jìn)行欺騙，參數(shù) -B

目標(biāo)寫(xiě)法：

目標(biāo)的寫(xiě)法為 MAC/IPs/PORTs 六水，或 MAC/IPs/IPv6/PORTs俺孙，即 mac地址，ip地址掷贾，端口號(hào)中間用 "/" 符號(hào)隔開(kāi)睛榄，留空不寫(xiě)表示 “ANY”，即所有想帅；如 /192.168.1.1/ 表示 192.168.1.1 的所有端口號(hào)场靴，aa:bb:cc:dd:ee:ff//80 表示 aa:bb:cc:dd:ee:ff 的80端口；其中多個(gè)mac地址用英文符號(hào)逗號(hào) ';' 隔開(kāi)港准，多個(gè)ip地址和端口號(hào)可以用符號(hào) '-' 表示連續(xù)和英文符號(hào)分號(hào) ';' 隔開(kāi)旨剥；如 /192.168.1.100-120;192.168.2.130/ 表示 /192.168.1.100,101,102,103,～～120;192.168.12.130/

參數(shù)介紹：攻擊和嗅探類

-M, --mitm

ARP欺騙，參數(shù) -M arp

remote#雙向模式浅缸，同時(shí)arp欺騙通信的雙方轨帜，參數(shù) -M arp:remote

oneway#單向模式，只arp欺騙第一個(gè)目標(biāo)到第二個(gè)目標(biāo)的通信衩椒，參數(shù) -M arp:oneway

icmp欺騙蚌父，參數(shù) -M icmp:(MAC/IP)

DHCP欺騙，參數(shù) -M dhcp:(ip_pool/netmask/dns)毛萌，如-M dhcp:192.168.0.30,35,50-60/255.255.255.0/192.168.0.1是給新接入的主機(jī)提供ip地址苟弛，子網(wǎng)掩碼和網(wǎng)關(guān)，-M dhcp:/255.255.255.0/192.168.0.1則不提供ip地址阁将，只欺騙子網(wǎng)掩碼和網(wǎng)關(guān)

Port Stealing膏秫，這個(gè)沒(méi)搞懂～

-o, --only-mitm#只進(jìn)行中間人攻擊，不進(jìn)行嗅探

-f , --pcapfilter#加載過(guò)濾器

-B, --bridge#Bridged sniffing

離線類參數(shù)

-r, --read#讀取本地文件

-w, --write#將嗅探數(shù)據(jù)保存到本地

界面顯示類

-T, --text#文本模式顯示

-q, --quiet#安靜模式做盅，不顯示嗅探數(shù)據(jù)

-s, --script#加載腳本

-C, --curses#curses-UI模式

-G, --gtk#GTK-UI模式

-D, --daemonize#daemonize后臺(tái)模式

普通選項(xiàng)：

-b, --broadcast#嗅探廣播地址

-i, --iface#選擇網(wǎng)卡

-I, --iflist#列出可用網(wǎng)卡

-Y, --secondary#后備網(wǎng)卡

-A, --address#ip地址缤削，針對(duì)一網(wǎng)卡多ip的情況

-n, --netmask

-R, --reversed

-z, --silent#不進(jìn)行arp毒化和主機(jī)掃描

-p, --nopromisc

-S, --nosslmitm#不使用ssl中間人攻擊

-t, --proto#協(xié)議，tcp/udp/all吹榴，默認(rèn)為all

-u, --unoffensive

-j, --load-hosts#加載保存的主機(jī)地址

-k, --save-hosts#保存掃描到的主機(jī)地址

-P, --plugin#載入插件

-F, --filter#載入過(guò)濾器文件

-W, --wifi-key#載入wifi密碼：

--wifi-key wep:128:p:secret

--wifi-key wep:128:s:ettercapwep0

--wifi-key 'wep:64:s:\x01\x02\x03\x04\x05'

--wifi-key wpa:pwd:ettercapwpa:ssid

--wifi-key wpa:psk:663eb260e87cf389c6bd7331b28d82f5203b0cae4e315f9cbb7602f3236708a6

-a, --config#載入并使用一個(gè)非默認(rèn)配置文件

--certificate#ssl攻擊使用指定的 證書(shū)文件

--private-key#ssl攻擊使用指定的私鑰文件

可視化參數(shù)

-e, --regex#使用一個(gè)正則表達(dá)式

-V, --visual#顯示方式

hex#16進(jìn)制

ascii#ASCII碼

text

ebcdic

html

utf8

-d, --dns#把ip地址轉(zhuǎn)化為主機(jī)名

-E, --ext-headers

-Q, --superquiet#超級(jí)安靜模式僻他，啥信息都不顯示，只保存

日志記錄選項(xiàng)

-L, --log#把所有數(shù)據(jù)包保存log文件

-l, --log-info#讀取離線log文件信息

-m, --log-msg#顯示存儲(chǔ)在log文件里所有用戶用ettercap抓取的信息

-c, --compress#通過(guò)gzip算法壓縮log文件

-o, --only-local#只存儲(chǔ)本地局域網(wǎng)主機(jī)配置信息

-O, --only-remote#只存儲(chǔ)遠(yuǎn)程主機(jī)配置信息

常見(jiàn)的參數(shù)組合：

ettercap -Tqi eth0 -M ARP // //#arp毒化eth0所在的網(wǎng)段腊尚，安靜模式文本顯示

ettercap -Tzq /10.0.0.1/21,22,23? -w hack.pcap#監(jiān)聽(tīng)10.0.0.1的ftp吨拗，ssh，telnet信息,并保存到本地

ettercap -Tq -P dns_spoof -M arp /192.168.1.120/ //#對(duì)192.168.1.120進(jìn)行dns欺騙婿斥，使用默認(rèn)網(wǎng)卡eth0,文本模式安靜顯示

ettercap -Tqi eth0 -L sniffed_data -F filter.ef -M arp:remote /10.0.0.2/80 //#使用過(guò)濾并監(jiān)聽(tīng)10.0.0.2在80端口的所有通信劝篷，安靜模式文本顯示，保存數(shù)據(jù)到本地

參考資料：

man ettercap

http://linux.die.net/man/8/ettercap