Ettercap-多功能交換局域網(wǎng)截包工具sniffer的發(fā)展歷史和使用

Ettercap最初設(shè)計(jì)為交換網(wǎng)上的sniffer，但是隨著發(fā)展，它獲得了越來(lái)越多的功能，成為一款有效的、靈活的中介攻擊工具。它支持主動(dòng)及被動(dòng)的協(xié)議解析并包含了許多網(wǎng)絡(luò)和主機(jī)特性（如OS指紋等）分析。

Ettercap有5種sniffing工作方式：

1、IPBASED

在基于IP地址的sniffing方式下，Ettercap將根據(jù)源IP-PORT和目的IP-PORT來(lái)捕獲數(shù)據(jù)包。

2、MACBASED

在基于MAC地址的方式下，Ettercap將根據(jù)源MAC和目的MAC來(lái)捕獲數(shù)據(jù)包（在捕獲通過(guò)網(wǎng)關(guān)的數(shù)據(jù)包時(shí)，這種方式很有用）

3、ARPBASED

在基于ARP欺騙的方式下，Ettercap利用ARP欺騙在交換局域網(wǎng)內(nèi)監(jiān)聽兩個(gè)主機(jī)之間的通信（全雙工）。

4、SMARTARP

在SMARTARP方式下，Ettercap利用ARP欺騙，監(jiān)聽交換網(wǎng)上某臺(tái)主機(jī)與所有已知的其他主機(jī)（存在于主機(jī)表中的主機(jī)）之間的通信（全雙工）。

5、PUBLICARP

在PUBLICARP方式下，Ettercap利用ARP欺騙，監(jiān)聽交換網(wǎng)上某臺(tái)主機(jī)與所有其它主機(jī)之間的通信（半雙工）。此方式以廣播方式發(fā)送ARP響應(yīng)，但是如果Ettercap已經(jīng)擁有了完整的主機(jī)地址表（或在Ettercap啟動(dòng)時(shí)已經(jīng)對(duì)LAN上的主機(jī)進(jìn)行了掃描），Ettercap會(huì)自動(dòng)選取SMARTARP方式，而且ARP響應(yīng)會(huì)發(fā)送給被監(jiān)聽主機(jī)之外的所有主機(jī)，以避免在Win2K上出現(xiàn)IP地址沖突的消息。

Ettercap中最常用的一些功能包括：

1、在已有連接中注入數(shù)據(jù)：你可以在維持原有連接不變的基礎(chǔ)上向服務(wù)器或客戶端注入數(shù)據(jù)，以達(dá)到模擬命令或響應(yīng)的目的。

2、SSH1支持：你可以捕獲SSH1連接上的User和PASS信息，甚至其他數(shù)據(jù)。Ettercap是第一個(gè)在全雙工的條件下監(jiān)聽SSH連接的軟件。

3、HTTPS支持：你可以監(jiān)聽http SSL連接上加密數(shù)據(jù)，甚至通過(guò)PROXY的連接。

4、監(jiān)聽通過(guò)GRE通道的遠(yuǎn)程通信：你可以通過(guò)監(jiān)聽來(lái)自遠(yuǎn)程cisco路由器的GRE通道的數(shù)據(jù)流，并對(duì)它進(jìn)行中間人攻擊。

5、Plug-in支持：你可以通過(guò)Ettercap的API創(chuàng)建自己的Plug-in。

6、口令收集：你可以收集以下協(xié)議的口令信息，TELNET、FTP、POP、RLOGIN、SSH1、ICQ、SMB、MySQL、HTTP、NNTP、X11、NAPSTER、IRC、RIP、BGP、SOCK5、IMAP4、VNC、LDAP、NFS、SNMP、HALFLIFE、QUAKE3、MSNYMSG（不久還會(huì)有新的協(xié)議獲得支持）。

7、數(shù)據(jù)包過(guò)濾和丟棄：你可以建立一個(gè)查找特定字符串（甚至包括十六近制數(shù)）的過(guò)濾鏈，根據(jù)這個(gè)過(guò)濾鏈對(duì)TCP/UDP數(shù)據(jù)包進(jìn)行過(guò)濾并用自己的數(shù)據(jù)替換這些數(shù)據(jù)包，或丟棄整個(gè)數(shù)據(jù)包。

8、被動(dòng)的OS指紋提�。耗憧梢员粍�(dòng)地（不必主動(dòng)發(fā)送數(shù)據(jù)包）獲取局域網(wǎng)上計(jì)算機(jī)系統(tǒng)的詳細(xì)信息，包括操作系統(tǒng)版本、運(yùn)行的服務(wù)、打開的端口、IP地址、MAC地址和網(wǎng)卡的生產(chǎn)廠家等信息。

9、OS指紋：你可以提取被控主機(jī)的OS指紋以及它的網(wǎng)卡信息（利用NMAP Fyodor數(shù)據(jù)庫(kù)）。

10、殺死一個(gè)連接：殺死當(dāng)前連接表中的連接，甚至所有連接。

11、數(shù)據(jù)包生產(chǎn)：你可以創(chuàng)建和發(fā)送偽造的數(shù)據(jù)包。允許你偽造從以太報(bào)頭到應(yīng)用層的所有信息。

12、把捕獲的數(shù)據(jù)流綁定到一個(gè)本地端口：你可以通過(guò)一個(gè)客戶端軟件連接到該端口上，進(jìn)行進(jìn)一步的協(xié)議解碼或向其中注入數(shù)據(jù)（僅適用于基于 ARP的方式）。

Ettercap的優(yōu)點(diǎn)在于：

1、它不需要libpcap、libnet等常用庫(kù)的支持。

2、基于ARP欺騙的sniffing不需要把執(zhí)行ettercap的主機(jī)的網(wǎng)卡設(shè)置為全收方式。

3、支持后臺(tái)執(zhí)行。

是不是很酷呀？！

Ettercap的選項(xiàng)說(shuō)明：

<1> 監(jiān)聽方式：

-a,--arpsniff

基于ARP的sniffing。
指定監(jiān)聽交換網(wǎng)的方式，如果你想要采用中間人技術(shù)進(jìn)行攻擊，必須選用這個(gè)選項(xiàng)。如果這個(gè)參數(shù)與靜音方式（-z選項(xiàng)）連用，你必須為ARPBASED方式指定兩對(duì)IP-MAC地址（全雙工），或者為PUBLICARP方式指定一個(gè)IP-MAC地址（半雙工）。在PUBLICARP方式下，ARP響應(yīng)是以廣播方式發(fā)送的，但是，如果Ettercap擁有了完整的主機(jī)表（在啟動(dòng)時(shí)對(duì)局域網(wǎng)進(jìn)行了掃描），Etercap會(huì)自動(dòng)選擇SMARTARP方式，ARP響應(yīng)會(huì)發(fā)送給處被控主機(jī)以外的所有主機(jī)，并建立一個(gè)哈希表，以便以后在全雙工條件下的中間人攻擊中可以將數(shù)據(jù)包從監(jiān)聽主機(jī)發(fā)送給以這種方式截獲的客戶。
注釋：如果你采用 SMARTARP方式的ARP欺騙，要在配置文件中設(shè)置網(wǎng)關(guān)的IP地址（GWIP選項(xiàng)），并通過(guò)-e選項(xiàng)加載這個(gè)文件。否則這個(gè)客戶將無(wú)法連接到遠(yuǎn)程主機(jī)。需要進(jìn)行包替換或包丟棄的數(shù)據(jù)包過(guò)濾功能僅僅可以在ARPBASED方式下使用，因?yàn)闉榱吮３诌B接必須調(diào)整數(shù)據(jù)包的TCP序列號(hào)。

-s,--sniff

基于IP的監(jiān)聽。
這是最早的監(jiān)聽方式。它適用與HUB環(huán)境，但是在交換網(wǎng)下就沒(méi)有作用了。你可以僅僅指定源或目的IP地址，可以指定也可以不指定端口，或者干脆什么也不指定，這樣意味著監(jiān)聽網(wǎng)上的所有主機(jī)。可以用“ANY”來(lái)表示IP地址，它的意思是來(lái)自或去往每一個(gè)主機(jī)。

-m,-macsniff

基于MAC的監(jiān)聽
適用于監(jiān)聽遠(yuǎn)程的TCP通信。在HUB環(huán)境下，如果你想要監(jiān)聽通過(guò)網(wǎng)關(guān)的連接，僅僅指定欲監(jiān)視主機(jī)的IP和網(wǎng)關(guān)的IP是不行的，因?yàn)閿?shù)據(jù)包是從外部主機(jī)發(fā)送的，而不是從網(wǎng)關(guān)發(fā)送的，所以你不能采取指定IP地址的方法。為了達(dá)到監(jiān)視內(nèi)外通信的目的，你只要指定被監(jiān)視主機(jī)的MAC地址和網(wǎng)關(guān)的MAC地址，這樣就可以監(jiān)視被監(jiān)聽主機(jī)的所有Internet通信。

<2> 脫機(jī)sniffing：

-T,--readpcapfile

脫機(jī)sniffing。
如果使能了這個(gè)參數(shù)，Ettercap將監(jiān)聽一個(gè)pcap兼容文件中存儲(chǔ)的網(wǎng)絡(luò)數(shù)據(jù)包，而不是直接監(jiān)聽網(wǎng)絡(luò)上的數(shù)據(jù)包。如果你有tcpdump或etereal轉(zhuǎn)儲(chǔ)的數(shù)據(jù)文件，并想對(duì)這些文件進(jìn)行分析的時(shí)候，這個(gè)選項(xiàng)非常合適。

-Y,--writepcapfile
把數(shù)據(jù)包轉(zhuǎn)儲(chǔ)到一個(gè)pcap格式的文件中。
如果你必須要在一個(gè)交換的局域網(wǎng)上使用主動(dòng)sniffing（通過(guò)ARP欺騙）方式監(jiān)聽，但是又希望利用tcpdump或etereal對(duì)截獲的數(shù)據(jù)包進(jìn)行分析，可以選用這個(gè)選項(xiàng)。你可以利用這個(gè)選項(xiàng)把監(jiān)聽到的數(shù)據(jù)包轉(zhuǎn)儲(chǔ)在一個(gè)文件中，然后加載到適當(dāng)?shù)膽?yīng)用程序中進(jìn)行分析。

<3> 通用選項(xiàng)

-N,--simple

非交互方式。
如果你希望從一個(gè)腳本提交Ettercap，或者你已經(jīng)了解一些目標(biāo)信息，或者你想要在后臺(tái)提交Ettercap，讓它收集數(shù)據(jù)或口令信息（與-quite選項(xiàng)連用）的時(shí)候，可以采用這個(gè)選項(xiàng)。在這種工作方式下，Ettercap的某些功能無(wú)法實(shí)現(xiàn)，如字符注入等需要交互式處理的功能。但其他功能仍得到全面支持，如過(guò)濾功能。所以可以讓Ettercap對(duì)兩個(gè)主機(jī)進(jìn)行ARP欺騙（一臺(tái)被監(jiān)視主機(jī)和它的網(wǎng)關(guān)），并過(guò)濾它的所有在80端口的連接，并用一些字符串進(jìn)行替換，那么它到Internet的所有通信都會(huì)按照你的要求而改變。

-z,--silent

以靜音方式啟動(dòng)（在啟動(dòng)時(shí)沒(méi)有ARP風(fēng)暴）。
如果你希望以非攻擊方式啟動(dòng)Ettercap（某些NIDS檢測(cè)到過(guò)多的ARP請(qǐng)求時(shí)會(huì)產(chǎn)生報(bào)警信息）。若要選用這個(gè)選項(xiàng)，你必須了解有關(guān)目標(biāo)系統(tǒng)的所有必要的信息。例如，如果你要求欺騙兩臺(tái)主機(jī)，你需要知道這兩臺(tái)主機(jī)的IP地址和MAC地址。如果你選擇了IP監(jiān)聽或MAC監(jiān)聽，會(huì)自動(dòng)選擇這個(gè)選項(xiàng)，因?yàn)槟悴恍枰�知道局域網(wǎng)上的主機(jī)列表。如果你想要了解全部主機(jī)信息，使用“ettercao -Nl”選項(xiàng)，需要注意的是，這是帶有攻擊性的方式。

-O,--passive

以被動(dòng)方式收集信息。
這種方式不會(huì)向網(wǎng)上發(fā)送任何數(shù)據(jù)包，它會(huì)將網(wǎng)卡置于全收方式，并查看流經(jīng)的數(shù)據(jù)包。它將分析每一個(gè)需關(guān)注的數(shù)據(jù)包（SYN和SYN + ACK），并利用這些信息建立完整的局域網(wǎng)主機(jī)映射圖。所收集的信息包括：主機(jī)的IP和MAC地址、網(wǎng)卡生產(chǎn)廠家、操作系統(tǒng)類型（被動(dòng)OS指紋）和運(yùn)行的服務(wù)等。在這個(gè)列表中還會(huì)包含其他一些信息，如：“GW”，如果該主機(jī)是一個(gè)網(wǎng)關(guān)的話，“NL”，如果這個(gè)IP不屬于本網(wǎng)段，以及“RT”，如果該主機(jī)發(fā)揮了路由器的功能。如果你需要通過(guò)被動(dòng)方式建立一個(gè)完整的主機(jī)列表的時(shí)候，可以選擇這個(gè)選項(xiàng)。當(dāng)你對(duì)所收集的信息感到滿意的時(shí)候，可以通過(guò)按下“C”鍵，把收集的信息轉(zhuǎn)換為主機(jī)列表，然后按照通常的方式工作。在下一節(jié)中將解釋在sample方式下，本選項(xiàng)的作用。

-b,--broadping

在啟動(dòng)時(shí)利用廣播ping，而不是ARP風(fēng)暴來(lái)獲得網(wǎng)絡(luò)主機(jī)信息。
這種方法的可靠性差，準(zhǔn)確性也低。有些主機(jī)不會(huì)響應(yīng)廣播ping（如windows），所在這種方式下，這些主機(jī)是不可見的。如果你想要掃描局域網(wǎng)上的Linux主機(jī)，這個(gè)選項(xiàng)是非常有用的。通常你可以把這個(gè)選項(xiàng)--list選項(xiàng)連用以便獲得主機(jī)列表“ettercap -Nlb”

-D,--delay

如果你選擇了ARP欺騙方式，可以利用這個(gè)選項(xiàng)來(lái)控制ARP響應(yīng)之間的延遲秒數(shù)。如果你希望這種欺騙數(shù)據(jù)流不要過(guò)于集中，這個(gè)選項(xiàng)是很有幫助的。在大多數(shù)OS中，缺省的arp緩存有效時(shí)間間隔超過(guò)一分鐘（在FreeBSD系統(tǒng)中為1200秒）。缺省的延遲為30秒。

-Z,--stormdelay

指定在arp風(fēng)暴開始后arp請(qǐng)求之間的延遲微秒數(shù)。如果你希望掃描不要過(guò)于集中可以使用這個(gè)選項(xiàng)。許多IDS 對(duì)于過(guò)于大量的arp請(qǐng)求會(huì)產(chǎn)生報(bào)警信息，但是如果你用低一些的速率發(fā)送arp數(shù)據(jù)包，IDS將不會(huì)報(bào)告任何異常事件。缺省的延遲時(shí)間為1500微秒。

-S,--spoof

如果你想欺騙IDS，可以利用一個(gè)偽造的IP來(lái)進(jìn)行局域網(wǎng)arp掃描。但是我們不能偽造源MAC地址，因?yàn)榱己门渲玫慕粨Q機(jī)會(huì)阻斷你的請(qǐng)求包。

-H,--hosts

指定在啟動(dòng)是僅掃描這些主機(jī)。
如果你希望僅對(duì)某些IP進(jìn)行arp掃描的時(shí)候，可以選用這個(gè)選項(xiàng)。這樣，你既可以從arp掃描中獲得好處，又可以盡量保持低攻擊性。甚至在你希望采用PUBLIC ARP方式，但又想僅僅欺騙某幾個(gè)主機(jī)的時(shí)候，這個(gè)選項(xiàng)也是很有用的。由于在擁有主機(jī)列表的情況下PUBLIC ARP方式會(huì)自動(dòng)轉(zhuǎn)換為SMARTARP方式，只有這些主機(jī)被欺騙，可以保持其他主機(jī)的arp緩存不受影響。IP地址表的表示法為：點(diǎn)分制表示的IP地址，地址之間用分號(hào)分隔（在它們之間沒(méi)有空格），還可以用中橫線表示一個(gè)IP地址范圍或一個(gè)IP地址表（使用逗號(hào)）。
例：
192.168.0.2-25 ：從2到25
192.168.0.1,3,5 ：主機(jī)1、3和5。
192.168.0.-3.1-10;192.168.4,5,7 ：將要在子網(wǎng)192.168.0，192.168.1，192.168.2，192.168.3中掃描主機(jī)1到10，以及在子網(wǎng)192.168.4中掃描主機(jī)5和7。

-d,--dontresolve

在啟動(dòng)時(shí)不解決IP。
如果你在啟動(dòng)程序時(shí)遭遇瘋狂的“Resolving n hostnames…”消息時(shí)，這個(gè)選項(xiàng)會(huì)有所幫助。這種情況是由于你的網(wǎng)絡(luò)中的DNS非常慢而造成的。

-I,--iface

用于所有操作所針對(duì)的網(wǎng)絡(luò)接口。
你甚至可以指定一個(gè)網(wǎng)絡(luò)別名，以便掃描與你的當(dāng)前IP不同的子網(wǎng)。

-n,--netmask

用于掃描局域網(wǎng)絡(luò)的網(wǎng)絡(luò)掩碼（以點(diǎn)分制表示）。
缺省的網(wǎng)絡(luò)掩碼為當(dāng)前ifconfig中定義的掩碼。但是，如果你的掩碼為，比如255.255.0.0，那么如果你要在啟動(dòng)時(shí)進(jìn)行arp掃描的話，鼓勵(lì)你另外指定一個(gè)限制更強(qiáng)的掩碼。

-e,--etterconf

使用配置文件，而不是命令行參數(shù)。
在軟件的tar包中有一個(gè)etter.conf文件，其中包含一些配置范例，參考這些范例來(lái)了解如何編寫配置文件，在這些例子中給出了所有的指導(dǎo)信息。通過(guò)配置文件，你可以選擇性地禁止某個(gè)協(xié)議分析或把它轉(zhuǎn)移到另一個(gè)端口。命令行選項(xiàng)和配置文件可以非常靈活地混合使用，需要記住的是配置文件中的選項(xiàng)壓倒命令行選項(xiàng)，所以，如果在etter.conf指定了IFACE:eth0，并且你在啟動(dòng)程序的時(shí)候指定了“ettercap -i eth1 -e etter.conf”，那么最終的選擇結(jié)果是eth0。
注意：“-e etter.conf”選項(xiàng)必須在所有選項(xiàng)的后面出現(xiàn)，也就是說(shuō)它必須是最后一個(gè)選項(xiàng)。

-g,--linktype

這個(gè)標(biāo)志有兩個(gè)補(bǔ)充功能，因此要注意它。
如果這個(gè)標(biāo)志用于交互式方式，它不檢查局域網(wǎng)的類型。另一方面，如果與命令行方式(-N)連用，它要對(duì)局域網(wǎng)進(jìn)行檢查，以了解它是否是一個(gè)交換網(wǎng)。有時(shí)，如果在局域網(wǎng)內(nèi)只有兩臺(tái)主機(jī)，這種發(fā)現(xiàn)方法有可能失敗。

-j,--loadhosts

用于從指定的文件中加載主機(jī)表，該文件是通過(guò)-k選項(xiàng)創(chuàng)建的。

-k,--savehosts

把主機(jī)列表保存到文件中。
當(dāng)目標(biāo)網(wǎng)絡(luò)中有很多主機(jī)，并且你不希望在每一次啟動(dòng)的時(shí)候都做一次arp風(fēng)暴的時(shí)候，這個(gè)選項(xiàng)是很有幫助的。你只要指定這個(gè)選項(xiàng)，并把列表轉(zhuǎn)儲(chǔ)到一個(gè)文件中。然后加載這個(gè)利用-j 選項(xiàng)從文件中加載這些信息。文件名的形式為：“netaddress_neymask.etl”

-v,--version

檢查最新的ettercap版本。
所有的操作都在你的控制之下。每一個(gè)步驟都需要用戶確認(rèn)。利用這個(gè)選項(xiàng)ettercap將連接到http://ettercap.sourceforge.net:80 web站點(diǎn)，并請(qǐng)求/latest.php，然后分析查詢結(jié)果并與你的當(dāng)前版本進(jìn)行比較。如果有一個(gè)更新的版本可用，ettercap將詢問(wèn)你是否要需要wget（必須在路徑中）。如果你想要對(duì)所有的問(wèn)題自動(dòng)回答yes，增加選項(xiàng)-y。

-h,--help

在屏幕上顯示幫助信息，對(duì)每一個(gè)選項(xiàng)都有一個(gè)簡(jiǎn)短的描述。

<4> 靜音方式選項(xiàng)（僅可以和-N選項(xiàng)連用）

-t,-proto

僅監(jiān)聽協(xié)議PROTO的數(shù)據(jù)包（缺省為TCP+UDP）。
這個(gè)選項(xiàng)僅在simple方式下有用，如果你以交互式方式啟動(dòng)ettercap，TCP和UDP數(shù)據(jù)包都將被監(jiān)聽。PROTO可以是tcp或udp或all。

-J,--onlypoison

這個(gè)選項(xiàng)使ettercap不監(jiān)聽任何數(shù)據(jù)流，但僅僅對(duì)目標(biāo)進(jìn)行欺騙。如果你需要利用ettercap進(jìn)行欺騙，而用其他的軟件tcpdump或ethereal進(jìn)行監(jiān)聽時(shí)，可以利用這個(gè)選項(xiàng)（注意在這種方式下要使能IP_forwarding）。
另外一種用法是多目標(biāo)監(jiān)聽。正如你所了解的，你可以利用ettercap監(jiān)聽兩個(gè)目標(biāo)之間的連接信息（ARPBASED）,或某一個(gè)目標(biāo)的進(jìn)出信息（SMART ARP）。利用這個(gè)選項(xiàng)，你可以同時(shí)監(jiān)聽若干目標(biāo)（因?yàn)橥瑫r(shí)啟動(dòng)了多個(gè)程序）。啟動(dòng)第一個(gè)程序時(shí)選用SMART ARP，并用-H選項(xiàng)限制smart功能僅針對(duì)你想要欺騙的主機(jī)進(jìn)行（記住如果在欺騙中涉及了網(wǎng)關(guān)，必須在以smart方式運(yùn)行的實(shí)例中指定它）。然后在啟動(dòng)其他的“ettercap -J”。

-R,--reverse

監(jiān)聽除選擇的連接以外的所有連接。如果你在一個(gè)遠(yuǎn)程主機(jī)上使用ettercap，并且要求監(jiān)聽除了你自己的從本地到遠(yuǎn)程的連接以外的所有其他連接時(shí)，可以選擇這個(gè)選項(xiàng)。因?yàn)槿绻�包含了這樣的連接將會(huì)使ettercap監(jiān)聽自己的輸出，并不斷迭加上去。

-O,passive

以被動(dòng)的方式收集信息。在simple方式下，我們可以在許多方式中選擇這個(gè)選項(xiàng)。“ettercap -NO”將以半交互的方式啟動(dòng)ettercap，輸入“h”來(lái)獲得幫助信息。你可以查看收集的信息，也可以把它們記錄到日志文件中，或簡(jiǎn)單地瀏覽分析的數(shù)據(jù)包。“ettercap -NOL”與上面的方式相類似，不過(guò)它會(huì)自動(dòng)地把數(shù)據(jù)記錄到文件中，記錄的時(shí)間間隔是5分鐘。“ettercap -NOLq”使ettercap每5分鐘把日志寫到文件中。你可以走開，抽支香煙，返回時(shí)就會(huì)有一個(gè)有關(guān)局域網(wǎng)的完整報(bào)告在等待著你…J

-p,--plugin

運(yùn)行外部插件“NAME”
大多數(shù)插件需要一個(gè)目標(biāo)主機(jī)，這只要在插件的名字后面指定目標(biāo)主機(jī)就可以了。事實(shí)上，命令行上的主機(jī)解析中，第一個(gè)主機(jī)為DEST，SOURCE也同樣。為了獲得可用的外部插件列表，使用“list”(不包括引號(hào))作為插件的名字。由于ettercap 0.6.2提供了鉤子插件系統(tǒng)，所以一些插件并不是作為獨(dú)立的程序運(yùn)行，它們可以和ettercap交互，可以通過(guò)接口或配置文件使能或禁止。有關(guān)插件的詳細(xì)信息以及如何編寫自己的插件，可以在README.PLUGING文件中找到。

-l,--list

列出局域網(wǎng)中的所有主機(jī)，報(bào)告每一個(gè)MAC地址。
通常與-b(ping廣播)選項(xiàng)和-d（不解決主機(jī)名）選項(xiàng)連用。

-C,--collect

收集在命令行上指定的那些主機(jī)的所有用戶和口令信息。
在配置文件（etter.conf）中配置口令收集器，如果需要的話，可以有選擇性地禁止它們，或者把它們轉(zhuǎn)移到另一個(gè)端口。如果你不希望收集SSH連接信息，但收集其他所有協(xié)議的數(shù)據(jù)的時(shí)候，這個(gè)選項(xiàng)很有用。如果你已知某一臺(tái)主機(jī)在端口4567上提供telnet服務(wù)，只要把telnet解碼移動(dòng)到4567/tcp就可以了。

-f,--fingerprint

對(duì)主機(jī)進(jìn)行OS指紋收集。
這個(gè)選項(xiàng)利用與nmap所使用的相同的方法和數(shù)據(jù)庫(kù)：Fyodor fyodor@insecure.org，所以引用一段其man手冊(cè)頁(yè)中的一段：
這個(gè)選項(xiàng)通過(guò)TCP/IP指紋來(lái)標(biāo)識(shí)遠(yuǎn)程主機(jī)。換句話說(shuō)，它通過(guò)一套技術(shù)來(lái)檢測(cè)被掃描主機(jī)的網(wǎng)絡(luò)協(xié)議棧的特征。它利用這些信息建立一個(gè)指紋，這個(gè)指紋將同已知OS指紋庫(kù)相比較，從而確定所掃描主機(jī)的系統(tǒng)類型。
-f選項(xiàng)甚至可以向你提供被掃描主機(jī)所用的網(wǎng)絡(luò)適配器的生產(chǎn)廠家。這些信息被存放在mac-fingerprints數(shù)據(jù)庫(kù)中。

-x,--hexview

以十六進(jìn)制數(shù)方式轉(zhuǎn)儲(chǔ)數(shù)據(jù)。
提示：在監(jiān)聽的時(shí)候，可以改變顯示效果，只要按”x”或”h”鍵就可以實(shí)現(xiàn)按16進(jìn)制數(shù)顯示或按Ascii字符顯示。

-L,--logtofile

如果這個(gè)參數(shù)單獨(dú)使用的話，會(huì)把所有的數(shù)據(jù)保存到特定的文件中。它會(huì)為每一個(gè)連接建立一個(gè)單獨(dú)的文件，在UNIX系統(tǒng)下文件名為YYYYMMDD-P-IP:PORT-IP:PORT.log，
在Windows環(huán)境下的文件名為P-IP[PORT]-IP[PORT].log。如果與C參數(shù)連用，它會(huì)創(chuàng)建一個(gè)名為YYYYMMDD-collected-pass.log文件，其中記錄了所有監(jiān)聽到的口令信息。

-q,--quiet

魔鬼化ettercap。
如果你希望以后臺(tái)工作方式記錄所有的數(shù)據(jù)，可以使用這個(gè)選項(xiàng)。這個(gè)選項(xiàng)將使ettercap脫離當(dāng)前的tty，并把它設(shè)置為一個(gè)daemon。這個(gè)選項(xiàng)必須與-NL(或-NCL)選項(xiàng)聯(lián)合使用，否則的話沒(méi)有任何作用。顯然，還需要指定一種監(jiān)聽方式，因此這個(gè)選項(xiàng)還要和一個(gè)表示監(jiān)聽方式的選項(xiàng)相配合。

-w,--newcert

為HTTPS中介攻擊方式創(chuàng)建一個(gè)新的cert文件。
如果你想要利用社會(huì)工程方式獲得的信息創(chuàng)建一個(gè)cert文件，可以使用這個(gè)選項(xiàng)。新創(chuàng)建的文件保存在當(dāng)前工作目錄下。為了長(zhǎng)期替換缺省的cert文件（etter.ssl.crt），必須改寫/usr.local/share/etter.ssl.crt。

-F,--filter

從文件FILENAME中加載過(guò)濾鏈。
過(guò)濾鏈文件是用偽XML格式編寫的。你可以通過(guò)手工改寫文件或通過(guò)ettercap的用戶界面來(lái)讓ettercap創(chuàng)建這個(gè)文件（在連接表界面中按’F’鍵）。如果你很熟悉XML語(yǔ)言分析，可以寫自己的程序來(lái)建立過(guò)濾鏈文件。

過(guò)濾規(guī)則很簡(jiǎn)單：
如果 協(xié)議 源端口 目的端口 數(shù)據(jù)流 與規(guī)則匹配，在過(guò)濾器完成了它的響應(yīng) 之后，跳轉(zhuǎn)到在 域中定義的過(guò)濾器id，否則它跳轉(zhuǎn)到 。如果這些域是空的，鏈就中斷了。如果源端口和目的端口為0，意味著任意端口。在查找串中可一使用通配符（細(xì)節(jié)見README）。

注意：這個(gè)選項(xiàng)使能了過(guò)濾器，如果需要禁止它，在監(jiān)聽過(guò)程中按“S”（源）或“D”（目的）。

注意：在命令行上，對(duì)主機(jī)的解析為：ettercap –F etter.filter DEST SOURCE。所以第一個(gè)主機(jī)被綁定到目的鏈，第二個(gè)主機(jī)被綁定到源鏈。
重要注意事項(xiàng)：源鏈規(guī)則應(yīng)用到從源發(fā)出的數(shù)據(jù)上，而不是發(fā)送到源的數(shù)據(jù)上，千萬(wàn)牢記！��！對(duì)于目的地址也是同樣。

-c,--check

檢查你是否被局域網(wǎng)上特定目標(biāo)中的其他欺騙者所欺騙。
對(duì)命令行上的目標(biāo)主機(jī)的解析是反向的。第一個(gè)主機(jī)是DEST，第二個(gè)主機(jī)是SOURCE。如果你在基于IP的方式下監(jiān)聽，這個(gè)順序沒(méi)有關(guān)系，因?yàn)樵春湍康亩急缓雎粤�。但是如果你在�?duì)連接進(jìn)行過(guò)濾，這個(gè)順序?qū)τ诮壎ǖ较嚓P(guān)的過(guò)濾鏈就很重要了。
這個(gè)反向的順序是由于與插件的更加靈活接口。因?yàn)橛行┎寮�需要指定目�?biāo)主機(jī)，那么ettercap –Np ooze victim這種形式要比ettercap –Np ooze NOONE victim簡(jiǎn)單一些。
可以用點(diǎn)分制的格式來(lái)輸入目標(biāo)（192.168.0.1）或者以域名的格式來(lái)輸入目標(biāo)（victim.mynet.org）。只有在-H選項(xiàng)中可以使用通配符。

<5> 交互模式

如果啟動(dòng)ettercap的時(shí)候沒(méi)有指定-N選項(xiàng)，那么就自動(dòng)選取了交互模式。如果在某些情況下不知到可以做什么，只要鍵入‘H’就可以彈出幫助畫面。在那里可以看到可執(zhí)行命令的消息列表。

<6> 脫機(jī)工作

如果你想要分析由tcpdump或ethereal保存的libpcap格式文件，可以使用Script插件�？梢杂盟鼇�(lái)重構(gòu)連接列表，進(jìn)行口令收集工作或被動(dòng)OS指紋收集。要實(shí)現(xiàn)這些只要指定-T選項(xiàng)，然后以與收集網(wǎng)絡(luò)數(shù)據(jù)同樣的方式使用ettercap。為了保存tcpdump文件以便進(jìn)行進(jìn)一步的分析，使用-Y選項(xiàng)。