+设为首页 +添加到收藏夹
ettercap - 多功能交换局域网sniffer作者:yaojs@263.net日期:2002-08-16ettercap最初设计为交换网上的sniffer,但是随着发展,它获得了越来越多的功能,成为一款有效的.灵活的中介攻击工具.它支持主动及被动的协议解析并包含了许多网络与主机特性(如os指纹等)分析.
ettercap有5种sniffing工作方式:
1.ipbased
在基于ip地址的sniffing方式下,ettercap将根据源ip-port与目的ip-port来捕获数据包.
2.macbased
在基于mac地址的方式下,ettercap将根据源mac与目的mac来捕获数据包(在捕获通过网关的数据包时,这种方式很有用)
3.arpbased
在基于arp欺骗的方式下,ettercap利用arp欺骗在交换局域网内监听两个主机之间的通信(全双工).
4.smartarp
在smartarp方式下,ettercap利用arp欺骗,监听交换网上某台主机与所有已知的其他主机(存在于主机表中的主机)之间的通信(全双工).
5.publicarp
在publicarp方式下,ettercap利用arp欺骗,监听交换网上某台主机与所有其它主机之间的通信(半双工).此方式以广播方式发送arp响
应,但是如果ettercap已经拥有了完整的主机地址表(或在ettercap启动时已经对lan上的主机进行了扫描),ettercap会自动选取
smartarp方式,而且arp响应会发送给被监听主机之外的所有主机,以避免在win2k上出现ip地址冲突的消息.
ettercap中最常用的一些功能包括:
1.在已有连接中注入数据:你可以在维持原有连接不变的基础上向服务器或客户端注入数据,以达到模拟命令或响应的目的.
2.ssh1支持:你可以捕获ssh1连接上的user与pass信息,甚至其他数据.ettercap是第一个在全双工的条件下监听ssh连接的软件.
3.https支持:你可以监听http ssl连接上加密数据,甚至通过proxy的连接.
4.监听通过gre通道的远程通信:你可以通过监听来自远程cisco路由器的gre通道的数据流,并对它进行中间人攻击.
5.plug-in支持:你可以通过ettercap的api创建自己的plug-in.
6.口令收集:你可以收集以下协议的口令信息,telnet.ftp.pop.rlogin.ssh1.icq.smb.mysql.http.
nntp.x11.napster.irc.rip.bgp.sock5.imap4.vnc.ldap.nfs.snmp.halflife.
quake3.msnymsg(不久还会有新的协议获得支持).
7.数据包过滤与丢弃:你可以建立一个查找特定字符串(甚至包括十六近制数)的过滤链,根据这个过滤链对tcp/udp数据包进行过滤并用自己的数据替换这些数据包,或丢弃整个数据包.
8.被动的os指纹提取:你可以被动地(不必主动发送数据包)获取局域网上计算机系统的详细信息,包括操作系统版本.运行的服务.打开的端口.ip地址.mac地址与网卡的生产厂家等信息.
9.os指纹:你可以提取被控主机的os指纹以及它的网卡信息(利用nmap fyodor数据库).
10.杀死一个连接:杀死当前连接表中的连接,甚至所有连接.
11.数据包生产:你可以创建与发送伪造的数据包.允许你伪造从以太报头到应用层的所有信息.... 下一页