Ettercap-多功能交換局域網(wǎng)截包工具sniffer的發(fā)展歷史和使用

Ettercap最初設(shè)計為交換網(wǎng)上的sniffer，但是隨著發(fā)展，它獲得了越來越多的功能，成為一款有效的、靈活的中介攻擊工具。它支持主動及被動的協(xié)議解析并包含了許多網(wǎng)絡(luò)和主機特性（如OS指紋等）分析。

Ettercap有5種sniffing工作方式：

1、IPBASED

在基于IP地址的sniffing方式下，Ettercap將根據(jù)源IP-PORT和目的IP-PORT來捕獲數(shù)據(jù)包。

2、MACBASED

在基于MAC地址的方式下，Ettercap將根據(jù)源MAC和目的MAC來捕獲數(shù)據(jù)包（在捕獲通過網(wǎng)關(guān)的數(shù)據(jù)包時，這種方式很有用）

3、ARPBASED

在基于ARP欺騙的方式下，Ettercap利用ARP欺騙在交換局域網(wǎng)內(nèi)監(jiān)聽兩個主機之間的通信（全雙工）。

4、SMARTARP

在SMARTARP方式下，Ettercap利用ARP欺騙，監(jiān)聽交換網(wǎng)上某臺主機與所有已知的其他主機（存在于主機表中的主機）之間的通信（全雙工）。

5、PUBLICARP

在PUBLICARP方式下，Ettercap利用ARP欺騙，監(jiān)聽交換網(wǎng)上某臺主機與所有其它主機之間的通信（半雙工）。此方式以廣播方式發(fā)送ARP響應(yīng)，但是如果Ettercap已經(jīng)擁有了完整的主機地址表（或在Ettercap啟動時已經(jīng)對LAN上的主機進行了掃描），Ettercap會自動選取SMARTARP方式，而且ARP響應(yīng)會發(fā)送給被監(jiān)聽主機之外的所有主機，以避免在Win2K上出現(xiàn)IP地址沖突的消息。

Ettercap中最常用的一些功能包括：

1、在已有連接中注入數(shù)據(jù)：你可以在維持原有連接不變的基礎(chǔ)上向服務(wù)器或客戶端注入數(shù)據(jù)，以達到模擬命令或響應(yīng)的目的。

2、SSH1支持：你可以捕獲SSH1連接上的User和PASS信息，甚至其他數(shù)據(jù)。Ettercap是第一個在全雙工的條件下監(jiān)聽SSH連接的軟件。

3、HTTPS支持：你可以監(jiān)聽http SSL連接上加密數(shù)據(jù)，甚至通過PROXY的連接。

4、監(jiān)聽通過GRE通道的遠程通信：你可以通過監(jiān)聽來自遠程cisco路由器的GRE通道的數(shù)據(jù)流，并對它進行中間人攻擊。

5、Plug-in支持：你可以通過Ettercap的API創(chuàng)建自己的Plug-in。

6、口令收集：你可以收集以下協(xié)議的口令信息，TELNET、FTP、POP、RLOGIN、SSH1、ICQ、SMB、MySQL、HTTP、NNTP、X11、NAPSTER、IRC、RIP、BGP、SOCK5、IMAP4、VNC、LDAP、NFS、SNMP、HALFLIFE、QUAKE3、MSNYMSG（不久還會有新的協(xié)議獲得支持）。

7、數(shù)據(jù)包過濾和丟棄：你可以建立一個查找特定字符串（甚至包括十六近制數(shù)）的過濾鏈，根據(jù)這個過濾鏈對TCP/UDP數(shù)據(jù)包進行過濾并用自己的數(shù)據(jù)替換這些數(shù)據(jù)包，或丟棄整個數(shù)據(jù)包。

8、被動的OS指紋提�。耗憧梢员粍拥兀ú槐刂鲃影l(fā)送數(shù)據(jù)包）獲取局域網(wǎng)上計算機系統(tǒng)的詳細信息，包括操作系統(tǒng)版本、運行的服務(wù)、打開的端口、IP地址、MAC地址和網(wǎng)卡的生產(chǎn)廠家等信息。

9、OS指紋：你可以提取被控主機的OS指紋以及它的網(wǎng)卡信息（利用NMAP Fyodor數(shù)據(jù)庫）。

10、殺死一個連接：殺死當(dāng)前連接表中的連接，甚至所有連接。

11、數(shù)據(jù)包生產(chǎn)：你可以創(chuàng)建和發(fā)送偽造的數(shù)據(jù)包。允許你偽造從以太報頭到應(yīng)用層的所有信息。

12、把捕獲的數(shù)據(jù)流綁定到一個本地端口：你可以通過一個客戶端軟件連接到該端口上，進行進一步的協(xié)議解碼或向其中注入數(shù)據(jù)（僅適用于基于 ARP的方式）。

Ettercap的優(yōu)點在于：

1、它不需要libpcap、libnet等常用庫的支持。

2、基于ARP欺騙的sniffing不需要把執(zhí)行ettercap的主機的網(wǎng)卡設(shè)置為全收方式。

3、支持后臺執(zhí)行。

是不是很酷呀？！

Ettercap的選項說明：

<1> 監(jiān)聽方式：

-a,--arpsniff

基于ARP的sniffing。
指定監(jiān)聽交換網(wǎng)的方式，如果你想要采用中間人技術(shù)進行攻擊，必須選用這個選項。如果這個參數(shù)與靜音方式（-z選項）連用，你必須為ARPBASED方式指定兩對IP-MAC地址（全雙工），或者為PUBLICARP方式指定一個IP-MAC地址（半雙工）。在PUBLICARP方式下，ARP響應(yīng)是以廣播方式發(fā)送的，但是，如果Ettercap擁有了完整的主機表（在啟動時對局域網(wǎng)進行了掃描），Etercap會自動選擇SMARTARP方式，ARP響應(yīng)會發(fā)送給處被控主機以外的所有主機，并建立一個哈希表，以便以后在全雙工條件下的中間人攻擊中可以將數(shù)據(jù)包從監(jiān)聽主機發(fā)送給以這種方式截獲的客戶。
注釋：如果你采用 SMARTARP方式的ARP欺騙，要在配置文件中設(shè)置網(wǎng)關(guān)的IP地址（GWIP選項），并通過-e選項加載這個文件。否則這個客戶將無法連接到遠程主機。需要進行包替換或包丟棄的數(shù)據(jù)包過濾功能僅僅可以在ARPBASED方式下使用，因為為了保持連接必須調(diào)整數(shù)據(jù)包的TCP序列號。

-s,--sniff

基于IP的監(jiān)聽。
這是最早的監(jiān)聽方式。它適用與HUB環(huán)境，但是在交換網(wǎng)下就沒有作用了。你可以僅僅指定源或目的IP地址，可以指定也可以不指定端口，或者干脆什么也不指定，這樣意味著監(jiān)聽網(wǎng)上的所有主機�？梢杂�“ANY”來表示IP地址，它的意思是來自或去往每一個主機。

-m,-macsniff

基于MAC的監(jiān)聽
適用于監(jiān)聽遠程的TCP通信。在HUB環(huán)境下，如果你想要監(jiān)聽通過網(wǎng)關(guān)的連接，僅僅指定欲監(jiān)視主機的IP和網(wǎng)關(guān)的IP是不行的，因為數(shù)據(jù)包是從外部主機發(fā)送的，而不是從網(wǎng)關(guān)發(fā)送的，所以你不能采取指定IP地址的方法。為了達到監(jiān)視內(nèi)外通信的目的，你只要指定被監(jiān)視主機的MAC地址和網(wǎng)關(guān)的MAC地址，這樣就可以監(jiān)視被監(jiān)聽主機的所有Internet通信。

<2> 脫機sniffing：

-T,--readpcapfile

脫機sniffing。
如果使能了這個參數(shù)，Ettercap將監(jiān)聽一個pcap兼容文件中存儲的網(wǎng)絡(luò)數(shù)據(jù)包，而不是直接監(jiān)聽網(wǎng)絡(luò)上的數(shù)據(jù)包。如果你有tcpdump或etereal轉(zhuǎn)儲的數(shù)據(jù)文件，并想對這些文件進行分析的時候，這個選項非常合適。

-Y,--writepcapfile
把數(shù)據(jù)包轉(zhuǎn)儲到一個pcap格式的文件中。
如果你必須要在一個交換的局域網(wǎng)上使用主動sniffing（通過ARP欺騙）方式監(jiān)聽，但是又希望利用tcpdump或etereal對截獲的數(shù)據(jù)包進行分析，可以選用這個選項。你可以利用這個選項把監(jiān)聽到的數(shù)據(jù)包轉(zhuǎn)儲在一個文件中，然后加載到適當(dāng)?shù)膽?yīng)用程序中進行分析。

<3> 通用選項

-N,--simple

非交互方式。
如果你希望從一個腳本提交Ettercap，或者你已經(jīng)了解一些目標(biāo)信息，或者你想要在后臺提交Ettercap，讓它收集數(shù)據(jù)或口令信息（與-quite選項連用）的時候，可以采用這個選項。在這種工作方式下，Ettercap的某些功能無法實現(xiàn)，如字符注入等需要交互式處理的功能。但其他功能仍得到全面支持，如過濾功能。所以可以讓Ettercap對兩個主機進行ARP欺騙（一臺被監(jiān)視主機和它的網(wǎng)關(guān)），并過濾它的所有在80端口的連接，并用一些字符串進行替換，那么它到Internet的所有通信都會按照你的要求而改變。

-z,--silent

以靜音方式啟動（在啟動時沒有ARP風(fēng)暴）。
如果你希望以非攻擊方式啟動Ettercap（某些NIDS檢測到過多的ARP請求時會產(chǎn)生報警信息）。若要選用這個選項，你必須了解有關(guān)目標(biāo)系統(tǒng)的所有必要的信息。例如，如果你要求欺騙兩臺主機，你需要知道這兩臺主機的IP地址和MAC地址。如果你選擇了IP監(jiān)聽或MAC監(jiān)聽，會自動選擇這個選項，因為你不需要知道局域網(wǎng)上的主機列表。如果你想要了解全部主機信息，使用“ettercao -Nl”選項，需要注意的是，這是帶有攻擊性的方式。

-O,--passive

以被動方式收集信息。
這種方式不會向網(wǎng)上發(fā)送任何數(shù)據(jù)包，它會將網(wǎng)卡置于全收方式，并查看流經(jīng)的數(shù)據(jù)包。它將分析每一個需關(guān)注的數(shù)據(jù)包（SYN和SYN + ACK），并利用這些信息建立完整的局域網(wǎng)主機映射圖。所收集的信息包括：主機的IP和MAC地址、網(wǎng)卡生產(chǎn)廠家、操作系統(tǒng)類型（被動OS指紋）和運行的服務(wù)等。在這個列表中還會包含其他一些信息，如：“GW”，如果該主機是一個網(wǎng)關(guān)的話，“NL”，如果這個IP不屬于本網(wǎng)段，以及“RT”，如果該主機發(fā)揮了路由器的功能。如果你需要通過被動方式建立一個完整的主機列表的時候，可以選擇這個選項。當(dāng)你對所收集的信息感到滿意的時候，可以通過按下“C”鍵，把收集的信息轉(zhuǎn)換為主機列表，然后按照通常的方式工作。在下一節(jié)中將解釋在sample方式下，本選項的作用。

-b,--broadping

在啟動時利用廣播ping，而不是ARP風(fēng)暴來獲得網(wǎng)絡(luò)主機信息。
這種方法的可靠性差，準(zhǔn)確性也低。有些主機不會響應(yīng)廣播ping（如windows），所在這種方式下，這些主機是不可見的。如果你想要掃描局域網(wǎng)上的Linux主機，這個選項是非常有用的。通常你可以把這個選項--list選項連用以便獲得主機列表“ettercap -Nlb”

-D,--delay

如果你選擇了ARP欺騙方式，可以利用這個選項來控制ARP響應(yīng)之間的延遲秒數(shù)。如果你希望這種欺騙數(shù)據(jù)流不要過于集中，這個選項是很有幫助的。在大多數(shù)OS中，缺省的arp緩存有效時間間隔超過一分鐘（在FreeBSD系統(tǒng)中為1200秒）。缺省的延遲為30秒。

-Z,--stormdelay

指定在arp風(fēng)暴開始后arp請求之間的延遲微秒數(shù)。如果你希望掃描不要過于集中可以使用這個選項。許多IDS 對于過于大量的arp請求會產(chǎn)生報警信息，但是如果你用低一些的速率發(fā)送arp數(shù)據(jù)包，IDS將不會報告任何異常事件。缺省的延遲時間為1500微秒。

-S,--spoof

如果你想欺騙IDS，可以利用一個偽造的IP來進行局域網(wǎng)arp掃描。但是我們不能偽造源MAC地址，因為良好配置的交換機會阻斷你的請求包。

-H,--hosts

指定在啟動是僅掃描這些主機。
如果你希望僅對某些IP進行arp掃描的時候，可以選用這個選項。這樣，你既可以從arp掃描中獲得好處，又可以盡量保持低攻擊性。甚至在你希望采用PUBLIC ARP方式，但又想僅僅欺騙某幾個主機的時候，這個選項也是很有用的。由于在擁有主機列表的情況下PUBLIC ARP方式會自動轉(zhuǎn)換為SMARTARP方式，只有這些主機被欺騙，可以保持其他主機的arp緩存不受影響。IP地址表的表示法為：點分制表示的IP地址，地址之間用分號分隔（在它們之間沒有空格），還可以用中橫線表示一個IP地址范圍或一個IP地址表（使用逗號）。
例：
192.168.0.2-25 ：從2到25
192.168.0.1,3,5 ：主機1、3和5。
192.168.0.-3.1-10;192.168.4,5,7 ：將要在子網(wǎng)192.168.0，192.168.1，192.168.2，192.168.3中掃描主機1到10，以及在子網(wǎng)192.168.4中掃描主機5和7。

-d,--dontresolve

在啟動時不解決IP。
如果你在啟動程序時遭遇瘋狂的“Resolving n hostnames…”消息時，這個選項會有所幫助。這種情況是由于你的網(wǎng)絡(luò)中的DNS非常慢而造成的。

-I,--iface

用于所有操作所針對的網(wǎng)絡(luò)接口。
你甚至可以指定一個網(wǎng)絡(luò)別名，以便掃描與你的當(dāng)前IP不同的子網(wǎng)。

-n,--netmask

用于掃描局域網(wǎng)絡(luò)的網(wǎng)絡(luò)掩碼（以點分制表示）。
缺省的網(wǎng)絡(luò)掩碼為當(dāng)前ifconfig中定義的掩碼。但是，如果你的掩碼為，比如255.255.0.0，那么如果你要在啟動時進行arp掃描的話，鼓勵你另外指定一個限制更強的掩碼。

-e,--etterconf

使用配置文件，而不是命令行參數(shù)。
在軟件的tar包中有一個etter.conf文件，其中包含一些配置范例，參考這些范例來了解如何編寫配置文件，在這些例子中給出了所有的指導(dǎo)信息。通過配置文件，你可以選擇性地禁止某個協(xié)議分析或把它轉(zhuǎn)移到另一個端口。命令行選項和配置文件可以非常靈活地混合使用，需要記住的是配置文件中的選項壓倒命令行選項，所以，如果在etter.conf指定了IFACE:eth0，并且你在啟動程序的時候指定了“ettercap -i eth1 -e etter.conf”，那么最終的選擇結(jié)果是eth0。
注意：“-e etter.conf”選項必須在所有選項的后面出現(xiàn)，也就是說它必須是最后一個選項。

-g,--linktype

這個標(biāo)志有兩個補充功能，因此要注意它。
如果這個標(biāo)志用于交互式方式，它不檢查局域網(wǎng)的類型。另一方面，如果與命令行方式(-N)連用，它要對局域網(wǎng)進行檢查，以了解它是否是一個交換網(wǎng)。有時，如果在局域網(wǎng)內(nèi)只有兩臺主機，這種發(fā)現(xiàn)方法有可能失敗。

-j,--loadhosts

用于從指定的文件中加載主機表，該文件是通過-k選項創(chuàng)建的。

-k,--savehosts

把主機列表保存到文件中。
當(dāng)目標(biāo)網(wǎng)絡(luò)中有很多主機，并且你不希望在每一次啟動的時候都做一次arp風(fēng)暴的時候，這個選項是很有幫助的。你只要指定這個選項，并把列表轉(zhuǎn)儲到一個文件中。然后加載這個利用-j 選項從文件中加載這些信息。文件名的形式為：“netaddress_neymask.etl”

-v,--version

檢查最新的ettercap版本。
所有的操作都在你的控制之下。每一個步驟都需要用戶確認。利用這個選項ettercap將連接到http://ettercap.sourceforge.net:80 web站點，并請求/latest.php，然后分析查詢結(jié)果并與你的當(dāng)前版本進行比較。如果有一個更新的版本可用，ettercap將詢問你是否要需要wget（必須在路徑中）。如果你想要對所有的問題自動回答yes，增加選項-y。

-h,--help

在屏幕上顯示幫助信息，對每一個選項都有一個簡短的描述。

<4> 靜音方式選項（僅可以和-N選項連用）

-t,-proto

僅監(jiān)聽協(xié)議PROTO的數(shù)據(jù)包（缺省為TCP+UDP）。
這個選項僅在simple方式下有用，如果你以交互式方式啟動ettercap，TCP和UDP數(shù)據(jù)包都將被監(jiān)聽。PROTO可以是tcp或udp或all。

-J,--onlypoison

這個選項使ettercap不監(jiān)聽任何數(shù)據(jù)流，但僅僅對目標(biāo)進行欺騙。如果你需要利用ettercap進行欺騙，而用其他的軟件tcpdump或ethereal進行監(jiān)聽時，可以利用這個選項（注意在這種方式下要使能IP_forwarding）。
另外一種用法是多目標(biāo)監(jiān)聽。正如你所了解的，你可以利用ettercap監(jiān)聽兩個目標(biāo)之間的連接信息（ARPBASED）,或某一個目標(biāo)的進出信息（SMART ARP）。利用這個選項，你可以同時監(jiān)聽若干目標(biāo)（因為同時啟動了多個程序）。啟動第一個程序時選用SMART ARP，并用-H選項限制smart功能僅針對你想要欺騙的主機進行（記住如果在欺騙中涉及了網(wǎng)關(guān)，必須在以smart方式運行的實例中指定它）。然后在啟動其他的“ettercap -J”。

-R,--reverse

監(jiān)聽除選擇的連接以外的所有連接。如果你在一個遠程主機上使用ettercap，并且要求監(jiān)聽除了你自己的從本地到遠程的連接以外的所有其他連接時，可以選擇這個選項。因為如果包含了這樣的連接將會使ettercap監(jiān)聽自己的輸出，并不斷迭加上去。

-O,passive

以被動的方式收集信息。在simple方式下，我們可以在許多方式中選擇這個選項。“ettercap -NO”將以半交互的方式啟動ettercap，輸入“h”來獲得幫助信息。你可以查看收集的信息，也可以把它們記錄到日志文件中，或簡單地瀏覽分析的數(shù)據(jù)包。“ettercap -NOL”與上面的方式相類似，不過它會自動地把數(shù)據(jù)記錄到文件中，記錄的時間間隔是5分鐘。“ettercap -NOLq”使ettercap每5分鐘把日志寫到文件中。你可以走開，抽支香煙，返回時就會有一個有關(guān)局域網(wǎng)的完整報告在等待著你…J

-p,--plugin

運行外部插件“NAME”
大多數(shù)插件需要一個目標(biāo)主機，這只要在插件的名字后面指定目標(biāo)主機就可以了。事實上，命令行上的主機解析中，第一個主機為DEST，SOURCE也同樣。為了獲得可用的外部插件列表，使用“list”(不包括引號)作為插件的名字。由于ettercap 0.6.2提供了鉤子插件系統(tǒng)，所以一些插件并不是作為獨立的程序運行，它們可以和ettercap交互，可以通過接口或配置文件使能或禁止。有關(guān)插件的詳細信息以及如何編寫自己的插件，可以在README.PLUGING文件中找到。

-l,--list

列出局域網(wǎng)中的所有主機，報告每一個MAC地址。
通常與-b(ping廣播)選項和-d（不解決主機名）選項連用。

-C,--collect

收集在命令行上指定的那些主機的所有用戶和口令信息。
在配置文件（etter.conf）中配置口令收集器，如果需要的話，可以有選擇性地禁止它們，或者把它們轉(zhuǎn)移到另一個端口。如果你不希望收集SSH連接信息，但收集其他所有協(xié)議的數(shù)據(jù)的時候，這個選項很有用。如果你已知某一臺主機在端口4567上提供telnet服務(wù)，只要把telnet解碼移動到4567/tcp就可以了。

-f,--fingerprint

對主機進行OS指紋收集。
這個選項利用與nmap所使用的相同的方法和數(shù)據(jù)庫：Fyodor fyodor@insecure.org，所以引用一段其man手冊頁中的一段：
這個選項通過TCP/IP指紋來標(biāo)識遠程主機。換句話說，它通過一套技術(shù)來檢測被掃描主機的網(wǎng)絡(luò)協(xié)議棧的特征。它利用這些信息建立一個指紋，這個指紋將同已知OS指紋庫相比較，從而確定所掃描主機的系統(tǒng)類型。
-f選項甚至可以向你提供被掃描主機所用的網(wǎng)絡(luò)適配器的生產(chǎn)廠家。這些信息被存放在mac-fingerprints數(shù)據(jù)庫中。

-x,--hexview

以十六進制數(shù)方式轉(zhuǎn)儲數(shù)據(jù)。
提示：在監(jiān)聽的時候，可以改變顯示效果，只要按”x”或”h”鍵就可以實現(xiàn)按16進制數(shù)顯示或按Ascii字符顯示。

-L,--logtofile

如果這個參數(shù)單獨使用的話，會把所有的數(shù)據(jù)保存到特定的文件中。它會為每一個連接建立一個單獨的文件，在UNIX系統(tǒng)下文件名為YYYYMMDD-P-IP:PORT-IP:PORT.log，
在Windows環(huán)境下的文件名為P-IP[PORT]-IP[PORT].log。如果與C參數(shù)連用，它會創(chuàng)建一個名為YYYYMMDD-collected-pass.log文件，其中記錄了所有監(jiān)聽到的口令信息。

-q,--quiet

魔鬼化ettercap。
如果你希望以后臺工作方式記錄所有的數(shù)據(jù)，可以使用這個選項。這個選項將使ettercap脫離當(dāng)前的tty，并把它設(shè)置為一個daemon。這個選項必須與-NL(或-NCL)選項聯(lián)合使用，否則的話沒有任何作用。顯然，還需要指定一種監(jiān)聽方式，因此這個選項還要和一個表示監(jiān)聽方式的選項相配合。

-w,--newcert

為HTTPS中介攻擊方式創(chuàng)建一個新的cert文件。
如果你想要利用社會工程方式獲得的信息創(chuàng)建一個cert文件，可以使用這個選項。新創(chuàng)建的文件保存在當(dāng)前工作目錄下。為了長期替換缺省的cert文件（etter.ssl.crt），必須改寫/usr.local/share/etter.ssl.crt。

-F,--filter

從文件FILENAME中加載過濾鏈。
過濾鏈文件是用偽XML格式編寫的。你可以通過手工改寫文件或通過ettercap的用戶界面來讓ettercap創(chuàng)建這個文件（在連接表界面中按’F’鍵）。如果你很熟悉XML語言分析，可以寫自己的程序來建立過濾鏈文件。

過濾規(guī)則很簡單：
如果 協(xié)議 源端口 目的端口 數(shù)據(jù)流 與規(guī)則匹配，在過濾器完成了它的響應(yīng) 之后，跳轉(zhuǎn)到在 域中定義的過濾器id，否則它跳轉(zhuǎn)到 。如果這些域是空的，鏈就中斷了。如果源端口和目的端口為0，意味著任意端口。在查找串中可一使用通配符（細節(jié)見README）。

注意：這個選項使能了過濾器，如果需要禁止它，在監(jiān)聽過程中按“S”（源）或“D”（目的）。

注意：在命令行上，對主機的解析為：ettercap –F etter.filter DEST SOURCE。所以第一個主機被綁定到目的鏈，第二個主機被綁定到源鏈。
重要注意事項：源鏈規(guī)則應(yīng)用到從源發(fā)出的數(shù)據(jù)上，而不是發(fā)送到源的數(shù)據(jù)上，千萬牢記�。。τ谀康牡刂芬彩峭瑯�。

-c,--check

檢查你是否被局域網(wǎng)上特定目標(biāo)中的其他欺騙者所欺騙。
對命令行上的目標(biāo)主機的解析是反向的。第一個主機是DEST，第二個主機是SOURCE。如果你在基于IP的方式下監(jiān)聽，這個順序沒有關(guān)系，因為源和目的都被忽略了。但是如果你在對連接進行過濾，這個順序?qū)τ诮壎ǖ较嚓P(guān)的過濾鏈就很重要了。
這個反向的順序是由于與插件的更加靈活接口。因為有些插件需要指定目標(biāo)主機，那么ettercap –Np ooze victim這種形式要比ettercap –Np ooze NOONE victim簡單一些。
可以用點分制的格式來輸入目標(biāo)（192.168.0.1）或者以域名的格式來輸入目標(biāo)（victim.mynet.org）。只有在-H選項中可以使用通配符。

<5> 交互模式

如果啟動ettercap的時候沒有指定-N選項，那么就自動選取了交互模式。如果在某些情況下不知到可以做什么，只要鍵入‘H’就可以彈出幫助畫面。在那里可以看到可執(zhí)行命令的消息列表。

<6> 脫機工作

如果你想要分析由tcpdump或ethereal保存的libpcap格式文件，可以使用Script插件。可以用它來重構(gòu)連接列表，進行口令收集工作或被動OS指紋收集。要實現(xiàn)這些只要指定-T選項，然后以與收集網(wǎng)絡(luò)數(shù)據(jù)同樣的方式使用ettercap。為了保存tcpdump文件以便進行進一步的分析，使用-Y選項。