Ettercap Project

Материал из Национальной библиотеки им. Н. Э. Баумана
Последнее изменение этой страницы: 11:40, 19 января 2019.
Ettercap
Создатели: Ettercap Dev. Team, ALoR, NaGA
Разработчики: Alberto Ornaghi (ALoR), Marco Valleri (NaGA), Emilio Escobar (exfil), Eric Milam (J0hnnyBrav0), Gianfranco Costamagna (LocutusOfBorg)
Выпущена: 25 января 2001
Постоянный выпуск: 0.8.2-Ferri / 14 марта 2015 года
Состояние разработки: Активное
Написана на: C
Операционная система: Кросс-платформенное программное обеспечение
Локализация: Английский
Тип ПО: Безопасность компьютера
Лицензия: GNU GPL (General Public License) v 2
Веб-сайт http://www.ettercap-project.org
Ettercap Project – это бесплатный инструмент для сетевой безопасности с открытым исходным кодом для атак типа «человек-посередине» в локальной сети. Он может использоваться для анализа протоколов компьютерной сети и аудита безопасности. Работает на различных UNIX-подобных операционных системах, включая Linux, Mac OS X, BSD и Solaris, а также в Microsoft Windows. Способен перехватывать трафик в сегменте сети, захватывать пароли и проводить активную подслушивание по нескольким общим протоколам.

Ettercap – это всеобъемлющий набор для атаки "человек посередине" (MitM). Он умеет сниффить (прослушивать) живые соединения, фильтровать на лету содержимое передаваемых данных и многие другие трюки. Он поддерживает активное и пассивное вскрытие многих протоколов и включает многие функции для анализа сети и

Функциональность

Ettercap работает, помещая сетевой интерфейс в беспорядочный режим, отравляя ARP-пакеты целевым машинам. Таким образом, он может действовать как «человек-посередине» и осуществлять различные атаки на жертв. Ettercap поддерживает плагины.

Ettercap был рождён как сниффер для коммутируемых локальных сетей (и, очевидно, даже для «захабленных»), но во время процесса разработки он получал больше и больше функций, которые изменили его в мощный и гибкий инструмент для атак человек-посередине. Он поддерживает активное и пассивное вскрытие многих протоколов (даже зашифрованных) и включает многие функции анализа сети и хостов (такие как отпечатки ОС).

Он имеет две главные опции сниффинга:

  • Unified (унифицированный), этот метод сниффит все пакеты, которые проходят через кабель. Вы можете выбрать переводить или не переводить интерфейс в неразборчивый режим (опция -p). Пакеты не направленные на хост с запущенным ettercap будут автоматически перенаправляться используя уровень 3 роутинга. Поэтому вы можете использовать атаку mitm запущенную из различных инструментов и позволить ettercap модифицировать пакеты и перенаправлять их для вас.
  • Ettercap всегда отключает ip_forwarding ядра. Это сделана для предотвращения пересылки пакета дважды (от посредством ettercap и один ядром). Это агрессивное поведение на шлюзе. Поэтому мы рекомендуем вам использовать ettercap только с включённым безобидным режимом (unoffensive mode enabled). Поскольку ettercap прослушивает только сетевой интерфейс, запуск его на шлюзе в наступательном режиме (offensive mode) не позволит пакетом быть перенаправленным обратно со вторичного интерфейса.
  • Bridged (мостом), он использует два сетевых интерфейса и перенаправляет трафик с одного на другой при этом выполняя сниффинг и фильтрацию содержимого. Этот метод сниффинга совершенно незаметен, поскольку нет способа узнать, что кто-то посередине кабеля. Вы можете смотреть на этот метод как атака mitm на уровне 1. Вы будете посередине кабеля между двумя объектами. Не используйте его на шлюзах или он трансформирует ваш шлюз в мост. Подсказка: вы можете использовать движок фильтрации содержимого для отбрасывания пакетов, которые не должны пройти. Таким образом ettercap будет работать как встроенный IPS.

Вы можете выполнить атаки человек посередине во время использования унифицированного (unified) сниффинга и фильтровать процесс, т. е. вы можете запустить несколько атак одновременно или использовать ваш собственный инструмент для атаки. Ключевым моментом является то, что пакеты должны прибывать в ettercap с корректным mac адресом и отличным ip адресом (только такие пакеты будут перенаправлены).

Наиболее важными особенностями ettercap являются:

  • Поддержка SSH1: вы можете сосниффить Пользователя и Пароль и даже данные SSH1 подключения. Ettercap является первой программой, способной сниффить SSH подключение в полном дуплексе.
  • Поддержка SSL: вы можете сниффить безопасные данные SSL. клиенту предоставляется фальшивый сертификат и сессия расшифровывается.
  • Вставка символов в установленном подключении: вы можете вставлять символы для сервера (эмулирующие команды) или для клиента (эмулирующие ответы) поддерживающие соединение живым.
  • Фильтрация/отбрасывание пакетов: Вы можете настроить скрипт фильтра для поиска конкретных строк (даже в шестнадцатеричном формате) в полезной нагрузке TCP или UDP и заменить их на ваши собственные или отбросить целый пакет. Движок фильтрации может искать на соответствие по любому полю сетевых протоколов и модифицировать любым образом на ваше усмотрение (смотрите Etterfilter).
  • Удалённый сниффинг трафика через туннели и коверканье маршрута: Вы можете поиграться с готовым интерфейсом Linux или использовать интегрированный плагин для сниффинга туннелированных или с искажённым маршрутом соединениями и выполнить атаки mitm на них.
  • Поддержка плагинов: Вы можете создавать ваши собственные плагины используя API ettercap'а.
  • Сбор паролей для: TELNET, FTP, POP, IMAP, rlogin, SSH, ICQ, SMB, MySQL , HTTP, NNTP, X11, Napster, IRC, RIP, BGP, SOCKS 5, VNC, LDAP, NFS, SNMP, MSN, YMSG.
  • Пассивное снятие отпечатков ОС: вы пассивно сканируете локальную сеть (без отправки каких-либо пакетов) и собирать детальную информацию о хостах в LAN: операционную систему, запущенные службы, открытые парты, IP, mac адрес и производитель сетевого адаптера.
  • Убийство соединения: из списка соединений вы можете убить соединения по вашему желанию.[Источник 1]

Характеристика целей

Нет концепции ни источника, ни назначения. Две цели предназначены для фильтрации проходящего трафика от одной к другой и наоборот (поскольку подключение является двунаправленным).

Цель в формате MAC/IPs/порты.

Примечание: Если включён IPv6, то Цель в формате MAC/IPs/IPv6/порты.

Если хотите, вы можете пропустить любую из этих частей, это будет означать, что подходящим является любое значение

например

"//80" означает любой mac адрес, любой ip и только 80 порт

"/10.0.0.1/" означает любой mac адрес, только ip 10.0.0.1 и любой порт

MAC должен быть уникальным и иметь вид 00:11:22:33:44:55

IP – это диапазон IP в точечной нотации. Вы можете указать диапазон с помощью – (соединительной чёрточки, дефиса) и единичный ip с , (запятой). Вы также можете использовать ; (точки с запятой) для указания различных ip адресов.

например

"10.0.0.1-5;10.0.1.33" раскладывается в ip 10.0.0.1, 2, 3, 4, 5 и 10.0.1.33

порт – это диапазон портов. Вы можете задать диапазон с помощью - (дефиса) и единичные порты с помощью , (запятой).

например

"20-25,80,110" раскладывается в порты 20, 21, 22, 23, 24, 25, 80 и 110

Примечание:

вы можете обратить соответствие цели добавив в командную строку опцию -R. Т.е. если вы хотите сниффить весь трафик кроме одного входящего или исходящего на 10.0.0.1 вы можете задать "./ettercap -R /10.0.0.1/"

Примечание:

Цели также ответственны за начальное сканирование локальной сети. Вы можете использовать их для ограничения сканирования только до подсети хостов в сетевой маске. Результат слияния двух целей будет просканирован. Помните, что неуказание цели означает «цели нет», но указание "//" означает «все хосты в подсети».[Источник 1]

Сброс привилегий

ettercap нужны привилегии рута для открытия сокетов канального уровня. После фазы инициализации, привилегии рута больше не нужны, поэтому ettercap отбрасывает их на UID = 65535 (nobody – никто). Поскольку ettercap должен записывать (создавать) лог файлы, это должно осуществляться в директории с правами записи (к примеру, /tmp/). Если вы хотите сбросить привилегии до другого uid, вы можете экспортировать переменную окружения EC_UID со значением uid до которого вы хотите сбросить привилегии (например, export EC_UID=500) или установить корректный параметр в файле etter.conf.[Источник 1]

Атака SSL MITM

При выполнении атаки SSL mitm, ettercap заменяет реальный ssl сертификат на свой собственный. Фальшивый сертификат создаётся на лету и все поля заполняются в соответствии с реальным сертификатом, представленном на сервере. Изменяется только издатель и подписывается закрытым ключом содержащимся в файле 'etter.ssl.crt'. Если вы хотите использовать другой закрытый ключ, то вы должны сгенерировать этот файл. Для генерации файла cert используйте следующие команды:

openssl genrsa -out etter.ssl.crt 1024
openssl req -new -key etter.ssl.crt -out tmp.csr
openssl x509 -req -days 1825 -in tmp.csr -signkey etter.ssl.crt -out tmp.new
cat tmp.new >> etter.ssl.crt
rm -f tmp.new tmp.csr

Примечание: SSL mitm is not available (for now) in bridged mode.

Примечание: Вы можете использовать длинные опции --certificate/--private-key если вы хотите указать другой файл, а не etter.ssl.crt.[Источник 1]

Опции

Опции, которые имеют смысл вместе, как правило, могут быть объединены. Ettercap предупредит пользователя о неподдерживаемой комбинации опций.

Опции сниффинга и атак

ettercap NG имеет новый унифицированный (unified) метод. Он предполагает, что ip_forwarding в ядре всегда отключён и перенаправление выполняет только ettercap. Каждый пакет с mac адресом пункта назначения равным mac адресу хоста и ip адресом пункта назначения отличным от привязанного к интерфейсу будет перенаправлен ettercap'ом. Перед их перенаправлением, ettercap может фильтровать контент, записывать или отбрасывать его. Не имеет значения, как эти пакеты перехвачены, ettercap обработает их. Вы даже можете использовать внешние программы для перехвата пакетов.

Вы имеете полный контроль над тем, что ettercap должен получать. Вы можете использовать внутренние атаки mitm, установить интерфейс в неразборчивый режим, использовать плагины или использовать любой метод, какой пожелаете.

Примечание: если вы запустили ettercap на шлюз, не забудьте заново включить ip_forwarding после того, как вы убили ettercap. Поскольку ettercap отбрасывает свои привилегии, он не может для вас восстановить ip_forwarding.[Источник 1]

-M, --mitm <МЕТОД:АРГУМЕНТЫ>

Атака MITM

Эта опция активирует атаку человек-посередине. Атака mimt совершенно независима от сниффинга. Цель этой атаки – перехватить пакеты и отправить их в ettercap. Движок сниффинга перенаправит их при необходимости.

Вы можете выбрать mitm атаку по своему предпочтению и также можете комбинировать некоторые из них для выполнения различных атак в одно время.

Если mitm метод требует какие-либо параметры, вы можете указать их после двоеточия. (например, -M dhcp:ip_пул,маска сети,проч )

Доступны следующие mitm атаки:

arp ([remote],[oneway])

Этот метод осуществляет ARP отравление (пойзонинг – poisoning) атаки mitm. ARP запросы/ответы отправляются жертвам для отравления их ARP кэша. Когда кэш отравлен, жертвы будут отправлять все пакеты атакующему, который, в свою очередь, может их модифицировать и перенаправлять их реальным пунктам назначения.

В тихом режиме (опция -z) выбирается только первая цель, если вы хотите травить множество целей в тихом режиме используйте опцию -j для загрузки списка из файла.

Вы можете выбрать пустые цели и они будут расширены до «любые» (все хосты в LAN). Список целей объединяется со списком хостов (созданным arp сканированием) и результат используется для выявления жертв атаки.

Параметр "remote" является опциональным и вы должны указать его если вы хотите сниффить удалённый ip адрес отравляя шлюз. В действительности если вы укажите жертву и шлюз в целях, ettercap будет сниффить только соединение между ними, но чтобы ettercap был способен сниффить соединения, которые проходят через шлюз, вы должны использовать этот параметр.

Параметр "oneway" принудит ettercap отравлять только от цели1 к цели2. Полезно если вы хотите отравлять только клиента и не делать это с роутером (где может быть установлена программа вроде arpwatch, следящая за изменениями arp).

Пример

цели: /10.0.0.1-5/ /10.0.0.15-20//

а список хостов: / 10.0.0.1/ 110.0.0.3/ /10.0.0.16/ 10.0.0.18//

ассоциации между жертвами будут:

1 и 16, 1 и 18, 3 и 16, 3 и 18

если цели перекрывают друг друга, ассоциации с идентичным IP адресом будут пропущены.

Примечание: если вам удастся отравить клиента, то вы должны установить корректную таблицу в ядре, указав шлюз. Если ваша таблица маршрутизации некорректна, отравленный клиент не будет способен перемещаться по Интернету.

icmp (MAC/IP)

Эта атака выполняет ICMP перенаправление. Она отправляет фальсифицированное сообщение icmp редиректа хостам в локальной сети притворяясь лучшим маршрутом для Интернета. Все соединения в Интернет будут отправлены атакующему который, в свою очередь, перенаправит их реальному шлюзу. Результатом атаки будет полудуплекс mitm. Будут отравлены только клиенты, поскольку шлюз не примет сообщения редиректа для непосредственно подключённой сети. Убедитесь, что не используете фильтры, которые модифицируют длину полезной нагрузки. Вы можете использовать фильтр для модификации пакетов, но длина должна быть той же самой, поскольку последовательности tcp не могут быть обновлены по обоим направлениям.

Вам нужно передать в качестве аргумента MAC и IP адрес реального шлюза для локальной сети.

Очевидно, вы должны быть способны сниффить трафик. Если вы на коммутаторе, вы должны использовать другую mitm атаку такую как отравление.

Примечание: для ограничения редиректа заданной целью, укажите её как цель

Пример

-M icmp:00:11:22:33:44:55/10.0.0.1

будет перенаправлять все соединения, которые проходят через шлюз.[Источник 1]

dhcp (ip_пул/сетевая маска/dns)

Эта атака реализует DHCP спуфинг (подмену). Она делает вид, что является DHCP сервером и пытается выиграть условия пути с реальным сервером, чтобы принудить клиента принять ответ атакующего. Этим манером ettercap способен манипулировать параметром шлюза и перехватывать весь исходящий трафик, генерируемый клиентами.

Результатом атаки будет полудуплекс mitm. Поэтому убедитесь, что используете подобающие фильтры (смотрите выше секцию ICMP).

Вы должны передать пул IP для использования, сетевую маску и IP DNS сервера. Поскольку ettercap пытается победить в соревновании с реальным сервером, он не проверяет был ли IP уже назначен. Вы должны указать пул свободных IP адресов для использования. Пул IP имеет тот же формат как и при задании цели.

Если клиент отправляет dhcp запрос (предполагая IP адрес) ettercap будет подтверждать получение этого IP и модифицировать только опцию шлюза. Если клиент делает исследование DHCP, ettercap будет использовать первый неиспользуемый IP адрес из указанного вами списка в командной строке. Каждое исследование потребляет один IP адрес. Когда список закончится, ettercap прекратит предлагать новые IP адреса и будет отвечать только на DHCP запросы.

Если вы не хотите предлагать какие-либо IP адреса, а только поменять информацию о роутере в DHCP запросах/подтверждения, вы можете указать пустой ip_пул.

Примечание: если вы укажите список IP, которые используются, вы наведёте беспорядок в вашей сети! В общем, используйте эту атаку с осторожностью. Она можете действительно натворить дел! Когда вы останавливаете эту атаку, жертвы всё ещё будут убеждены, что ettercap является шлюзом, пока не истечёт аренда адреса.

Пример:

-M dhcp:192.168.0.30,35,50-60/255.255.255.0/192.168.0.1

отвечать на DHCP оферты и запросы.

-M dhcp:/255.255.255.0/192.168.0.1

отвечать только на DHCP запросы.[Источник 1]

port ([remote],[tree])

Эта атака реализует кражу портов. Эта техника полезна для сниффинга в коммутируемой среде, когда ARP отравление не эффективно (например, где используются статические прописанные ARP).

Она зафлуживает LAN (основываясь на опции port_steal_delay в etter.conf) пакетами ARP. Если вы не указали опцию "tree", пунктом назначения MAC адреса каждого "украденого" пакета является тот же, что и у атакующего (другие NIC не будут видеть эти пакеты) MAC адрес источника будет одним из MAC адресов в списке хостов. Этот процесс «ворует» порт коммутатора каждого хоста жертвы в списке хостов. Используя низкую задержку, пакеты, предназначенные «украденным» MAC адресам, будут получены атакующим, выигравшим гонку условий с реальным владельцем порта. Когда атакующий получает пакеты «украденных» хостов, он останавливает процесс флудинга и выполняет ARP запросы к реальным пунктам назначения пакета. Когда он получает ARP ответ, то наверняка жертва получила «возврат» своего порта, поэтому ettercap может повторно отправлять пакеты по назначению как есть. Теперь мы можем заново начать процесс флудинга ожидая новых пакетов.

Если вы используете опцию "tree", то пунктом назначения MAC адреса для каждого украденного пакета будет поддельный, поэтому эти пакеты будут распространяться на другие коммутаторы в дереве (если есть), но вы будете генерировать огромное количество трафика (в соответствии с port_steal_delay). Опция "remote" имеет то же значение что и в методе "arp" mitm.

Когда вы остановите эту атаку, ettercap отправит ARP запросы каждому украденному хосту для возвращения их портов коммутатора.

Вы можете выполнить как полу, так и полный дуплекс mitm в соответствии с выбранной целью.

Примечание: Используйте метод mitm только на коммутаторах локальной сети. Используйте его осторожно, он может приводить к понижению производительности или общему разрушению.

Примечание: Вы не можете использовать этот метод в режиме только -mitm (флаг -o), поскольку он использует движок сниффинга, и вы не можете использовать интерактивное внедрение данных.

Примечание: Может быть опасным использование его совместно с другими методами mitm.

Примечание: Этот метод mitm не работает на Solaris и Windows, из-за дизайна ipcap и libnet и отсутствия конкретной ioctl().

Пример:

Целями являются: /10.0.0.1/ /10.0.0.15/

Вы будете перехватывать и визуализировать трафик между 10.0.0.1 и 10.0.0.15, но вы будете получать весь трафик также для 100.0.1 и 10.0.0.15.

Цель: 10.0.0.1

Вы будете перехватывать и визуализировать трафик для 10.0.0.1.[Источник 1]

ndp ([remote],[oneway])

Примечание: Этот MITM поддерживается только если включена поддержка IPv6.

Этот метод реализует атаку отравления NDP, которая используется для MITM соединений IPv6. ND запросы/ответы отправляются жертвам для отравления их «соседского» кэша. Когда кэш отравлен, жертвы будут отправлять все IPv6 пакеты атакующему, который, в свою очередь, может модифицировать и перенаправлять их реальному пункту назначения.

В тихом режиме (опция -z) выбирается только первая цель, если вы хотите травить множество целей в тихом режиме, то используйте опцию -j для загрузки списка из файла.

Вы можете выбрать пустые цели и они будут расширены до «любые» (все хосты в LAN). Список целей объединяется со списком хостов (созданным arp сканированием) и результат используется для выявления жертв атаки.

Параметр "remote" является опциональным и вы должны указать его если вы хотите сниффить удалённый ip адрес отравляя шлюз. В действительности если вы укажите жертву и шлюз в целях, ettercap будет сниффить только соединение между ними, но чтобы ettercap был способен сниффить соединения, которые проходят через шлюз, вы должны использовать этот параметр.

Параметр "oneway" принудит ettercap отравлять только от цели1 к цели2. Полезно если вы хотите отравлять только клиента и не делать это с роутером (где может быть установлена программа вроде arpwatch, следящая за изменениями arp).

Пример:

Цели: //fe80::260d:afff:fe6e:f378/ //2001:db8::2:1/

Диапазоны IPv6 адресов ещё не поддерживаются.

Примечание: если вам удастся отравить клиента, то вы должны установить корректную таблицу в ядре, указав шлюз. Если ваша таблица маршрутизации некорректна, отравленный клиент не будет способен перемещаться по Интернету.

Примечание: в IPv6 адрес локальной сети роутера обычно используются в качестве адреса шлюза. Следовательно, вам нужно установить локальный адрес роутера как одну цель и глобальный индивидуальный адрес жертвы как другую, чтобы настроить успешную атаку IPv6 MITM используя NDP травление.

-o, --only-mitm

Эта опция отключает процесс сниффинга и включает только атаку mitm. Полезно если вы хотите использовать ettercap для выполнения атак mitm и другой сниффер (такой как wireshark) для сниффинга трафика. Помните, что пакеты не перенаправляются ettercap'ом. Ядро будет ответствено на форвардинг. Не забудьте активировать функцию "ip forwarding" в вашем ядре.

-f, --pcapfilter <ФИЛЬТР>

Установить фильтр захвата из библиотеки pcap. Формат такой же как у tcpdump(1). Помните, что этого рода фильтры не сниффят пакеты с проводов, поэтому вы должны выполнить атаку mitm, ettercap не будет способен переправлять захваченные пакеты.

Эти фильтры полезны для уменьшения влияния сетевой нагрузки на модули декодирования ettercap.

-B, --bridge <IFACE>

Вам нужно два сетевых интерфейса. Ettercap будет перенаправлять с одного на другой весь трафик, который он видит. Это полезно для атаки человек посередине на физическом уровне. Она полностью незаметна, поскольку является пассивной и нет способа для пользователя увидеть атакующего.

Вы можете фильтровать контент во всём трафике как если бы вы были прозрачным прокси для «кабеля»,

Офлайн-сниффинг

-r, --read <файл>

С включённой этой опцией, ettercap будет сниффить пакеты из совместимого pcap файла вместо захвата из провода.

Это полезно, когда вы имеете файл дампа из tcpdump или wireshark и вы хотите сделать его анализ (поискать пароли или пассивные отпечатки).

Очевидно, во время сниффинга файла вы не можете использовать «активный» сниффинг (arp травление или соединение мостом) во время сниффинга файла.[Источник 1]

-w, --write <файл>

Записать пакет в файл pcap

Это полезно если вы должны использовать «активный» сниффинг (arp травление) на коммутируемой LAN, но вы хотите анализировать пакеты с помощью tcpdump или wireshark. Вы можете использовать эту опцию для сдампливания пакетов в файл и затем загрузить его в ваше любимое приложение.

Примечание: файл дампа собирает все пакеты независимо от цели. Это сделано от того, что вы можете захотеть записать даже протоколы, которые ettercap не поддерживает, поэтому вы можете анализировать их другими инструментами.

Примечание: вы можете использовать опцию -w вместе с опцией -r. Таким путём вы будете способны фильтровать полезную нагрузку сдампленных пакетов или расшифровывать Wi-Fi трафик с WEP-шифрованием и дампить их в другой файл.[Источник 1]

Опции пользовательского интерфейса

-T, --text

Только текстовый интерфейс, только printf

Это молчаливый интерфейс, нажимайте 'h' каждый раз для получения помощи о возможных действиях.

-q, --quiet

Тихий режим. Он может использоваться только в паре с консольным интерфейсом. Он не печатает текущие пакеты. Он полезен если вы хотите конвертировать pcap файл в лог файлы ettercap.

пример:

ettercap -Tq -L dumpfile -r pcapfile

-s, --script <Команды>

С этой опцией вы можете скармливать ettercap'у команды, как будто бы они были напечатаны на клавиатуре пользователем. Таким образом вы можете использовать ettercap внутри ваших любимых скриптов. Есть специальная команда, которую вы можете пропустить через эту команду: s(x). Эта команда приведёт к засыпанию на x секунд.

пример:

ettercap -T -s 'lq'

напечатает список хостов и выйдет

ettercap -T -s 's(300)olqq'

соберёт информацию за 5 минут, напечатает список локальных профилей и выйдет

-C, --curses

Графический интерфейс, основанный на Ncurses. Смотрите ettercap_curses для полного описания.

-G, --gtk

Славный GTK2 интерфейс. Смотрите ettercap-pkexec для полного описания.

-D, --daemonize

Превратить ettercap в демон. Эта опция отсоединит ettercap от текущего контрольного терминала и установит его как демон. Вы можете комбинировать эту функцию с опцией "log" для записи трафика в фоне. Если демон вылетит по каким-либо причинам, он создаст файл "./ettercap_daemonized.log" в котором будет сообщена пойманная ettercap'ом ошибка. Более того, если вы хотите иметь полную отладку процесса демона, то рекомендуем вам перекомпилировать ettercap в режиме отладки.

-b, --broadcast

Говорит Ettercap обрабатывать пакеты приходящие с широковещательного адреса.

-i, --iface <интерфейс>

Использовать этот <интерфейс> вместо интерфейса по умолчанию. Этот интерфейс может быть ненастроен (требуется libnet >= 1.1.2), но вы этом случае вы не можете использовать атаки MITM и вы должны установить флаг безобидного режима.

-I, --iflist

Эта опция напечатает список всех доступных сетевых интерфейсов, которые могут быть использованы с ettercap. Эта опция особенно полезна в Windows, где имя интерфейса не так очевидно, как в *nix.

-Y, --secondary <список интерфейсов>

Указывает список (или единичный) вторичных интерфейсов с которых захватывать пакеты.

-A, --address <адрес>

Использовать этот <адрес> вместо автоматически определённого для текущего интерфейса. Эта опция полезна если вы имеете интерфейс с множеством IP адресов.

-n, --netmask <маска сети>

Использовать эту <маску сети> вместо маски сети ассоциированный с текущим интерфейсом. Эта опция полена, если у вас сетевая плата с ассоциированной маской сети класса B, а вы хотите сканировать (с arp сканированием) только класс C.

-R, --reversed

Меняет на противоположные соответствующие выбранные цели. Это означает не(цели). Всё, кроме выбранных цели.

-t, --proto <протокол>

Сниффить только пакеты протоколА (по умолчанию это TCP + UDP).

Это полезно если вы хотите выбрать порт посредством указания цели, но вы хотите дифференцировать tcp и udp.

протокол может быть "tcp", "udp" или "all" для обоих.

-6, --ip6scan

Отправлять ICMPv6 зонды для обнаружения ICMPv6 узлов на линии. Эта опция отправляет запросы пинга адресам всех-узлов, чтобы мотивировать активные IPv6 ответить. Вам не следует использовать эту опцию если вы пытаетесь скрыть себе. Следовательно, эта опция необязательная.

Примечание: Эта опция доступна только если была включена поддержка IPv6.

-z, --silent

Не выполнять начальное ARP сканирование LAN.

Примечание: у вас не будет списка хостов, следовательно, вы не сможете использовать функцию множественного отравления. Вы можете только выбрать два хоста для атаки ARP отравления, указав их в целях.

-p, --nopromisc

Обычно ettercap переводит интерфейс в неразборчивый режим для сниффинга всего трафика на проводе. Если вы хотите сниффить только ваши подключения, используйте этот флаг для не включения неразборчивого режима.

-S, --nosslmitm

Обычно ettercap подделывает SSL сертификаты чтобы перехватить https трафик. Эта опция отключает это поведение

-u, --unoffensive

Каждый раз при запуске ettercap, от отключает IP форвардинг в ядре и начинает перенаправлять пакеты самостоятельно. Эта опция предотвращает это, поэтому ответственность за IP форвардинг остаётся на ядре.

Эта опция полезна если вы хотите запустить множество экземпляров ettercap. Вы будете иметь один экземпляр (один без опции -u) который будет перенаправлять пакеты, а другие экземпляры будут делать свою работу без перенаправления их. Иначе вы получите дубликаты пакетов.

Она также отключает внутреннее создание сессий для каждого подключения. Она увеличивает производительность, но вы будете неспособны модифицировать пакеты на лету.

Если вы хотите использовать атаку mitm, вы должны использовать различные экземпляры.

Вы должны использовать эту опцию интерфейс не настроен (без IP адреса.)

Это также полезно если вы хотите запустить ettercap на шлюз. Он не будет отключать форвардинг и шлюз будет корректно перенаправлять пакеты.

-j, --load-hosts <имя_файла>

Она может использоваться для загрузки списка хостов из файла, созданного с опцией -k. (смотри ниже)

-k, --save-hosts <имя_файла>

Сохраняет список хостов в файл. Полезна когда вы имеете много хостов и вы не хотите делать ARP шторм при запуске каждый раз, когда вы используете ettercap. Просто используйте эту опцию и соберите их все в файл, затем загрузить эту информацию из него используя опцию -j <имя_файла>.

-P, --plugin <плагин>

Запустить выбранный плагин. Многие плагины требуют указание цели, используйте Цель как всегда. Используйте этот параметр несколько раз для выбора нескольких плагинов.

В консольном режиме (опция -C) отдельные плагины выполняются и затем приложение завершает свою работу. Активирован подхват плагинов и выполнение нормального сниффинга.

Чтобы получить список доступных внешних плагинов используйте "list" (без кавычек) как имя плагина (к примеру, ./ettercap -P list).

Примечание: вы также можете активировать плагин непосредственно из интерфейсов (всегда нажимайте "h" для получения внутристроковой помощи).

Больше подробностей о плагина и о том, как их писать самому, смотрите на странице man ettercap_plugin(8).

-F, --filter <файл>

Загрузить фильтр из файла <файл>. Фильтр должен быть скомпилирован с etterfilter. Эта утилита скомпилирует скрипт фильтра и создаст совместимый с ettercap бинарный файл фильтра. Прочитайте руководство etterfilter для списка функций, которые вы можете использовать внутри скрипта фильтра. Любое количество фильтров может быть загружено указанием этой опции множество раз: пакеты проходят через каждый фильтр в том порядке, как они указаны в командной строке. Вы также можете загрузить скрипт без его включения, для этого добавьте к имени файла.

Примечание: эти фильтры отличаются от тех, которые с --pcapfilter. Фильтр ettercap – это фильтр контента и может модифицировать полезную нагрузку пакета до его перенаправления. Фильтр Pcap используется для захвата только конкретных пакетов.

Примечание: вы можете использовать фильтры на pcapfile для модификации его и сохранения в другой файл, но в этом случае вы должны обратить внимание что вы делаете, поскольку ettercap не будет повтор считать контрольные суммы, не будет расщеплять пакеты превышающие MTU (snaplen), вообще не будет ничего делать в этом роде.

-W, --wifi-key <KEY>

Вы можете указать ключ для расшифровки WiFi пакетов (WEP или WPA). Только успешно расшифрованные пакеты будут пропущены в декодерский стэк, другие будут пропущены с выдачей сообщения.

Этот параметр имеет следующий синтаксис: type:bits:t:string. Где 'type' может быть: wep, wpa-pws или wpa-psk, 'bits' это битовая длина ключа (64, 128 или 256), 't' – это тип строки ('s' для строки и 'p' для пароля). 'string' строкой или экранированной шестнадцатеричной последовательностью.

пример:

--wifi-key wep:128:p:secret

--wifi-key wep:128:s:ettercapwep0

--wifi-key 'wep:64:s:\x01\x02\x03\x04\x05'

--wifi-key wpa:pwd:ettercapwpa:ssid

--wifi-key wpa:psk:

663eb260e87cf389c6bd7331b28d82f5203b0cae4e315f9cbb7602f3236708a6

-a, --config <конфиг>

Загружает альтернативный файл конфигурации вместо дефолтного /etc/etter.conf. Это полезно, если вы имеете много предварительно настроенных файлов для различных ситуаций.

--certificate <файл>

Говорит Ettercap использовать указанный файл сертификата для атаки SSL MiTM.

--private-key <файл>

Говорит Ettercap использовать указанный файл частного ключа для атаки SSL MiTM.

-e, --regex <регулярное выражение>

Обрабатывать только пакеты, которые соответствуют этому регулярному выражению.

Эта опция полезна с -L. Она записывает только пакеты, которые соответствуют регулярному выражению posix.

Она воздействует даже на визуализацию сниффленных пакетов. Она устанавливает показывать пакеты только соответствующие этому регулярному выражению.

-V, --visual <формат>

Используйте эту опцию для установления метода визуализации для отображаемых пакетов.

-d, --dns

Преобразовывать IP адреса в имена хостов.

Примечание: это может серьёзно замедлить ettercap во время записи пассивной информации. Каждый раз при обнаружении нового хоста, будет выполнен запрос на dns. Ettercap хранит в кэше для уже преобразованных хостов для ускорения, но новые хосты требуют нового запроса и dns может понадобиться до 2 или 3 секунд для ответа по незнакомому хосту.

Примечание: ettercap собирает dns ответы, он сниффит их в таблице преобразования, поэтому если вы указали не резолвить имена хостов, некоторые из них окажутся преобразованными, поскольку ответы были перехвачены ранее, воспринимайте это как бесплатное пассивное dns преобразование.

-E, --ext-headers

Печатать расширенные заголовки для каждого отображаемого пакета. (например mac адреса)

-Q, --superquiet

Супер тихий режим. Не печатать собранных пользователей и пароли. Только сохранять их в профилях. Это может быть полезно для запуска ettercap только в текстовом режиме, но вы не хотите, чтобы зав зафлудили сообщениями диссекторов. Полезно при использовании плагинов, поскольку процесс сниффинга всегда активный, он будет печатать всю собранную информацию, с этой опцией вы можете подавить эти сообщения.

Примечание: эта опция автоматически устанавливает опцию -q.

пример:

ettercap -TzQP finger /192.168.0.1/22

-L, --log <файл_лога>

Записывать все пакеты в бинарные файлы. Эти файлы могут быть пропарсены в etterlog для извлечения человечески читаемых данных. С этой опцией все перехваченные в ettercap пакеты будут записаны вместе со всей пассивной информацией (информация о хосте + пользователи и пароли) которую программа может собрать. По указанному файл_лога, ettercap создаст файл_лога.ecp (для пакетов) и файл_лога.eci (для информации).

Примечание: если в командной строке вы укажите эту опцию, вам не обязательно заботиться о привилегиях, поскольку файлы для записи открываются в фазе старта программы (с высокими привилегиями). Но если вы включили опцию логирования уже после старта ettercap, вы должны быть в директории, где может записывать uid = 65535 или uid = EC_UID.

Примечание: лог файлы могут быть сжаты алгоритмом для уменьшения размеров данных опцией -c.

-l, --log-info <файл_лога>

Очень похоже на -L, но она записывает только пассивную информацию + пользователей и пароли для каждого хоста. Файл будет назван файл_лога.eci.

-m, --log-msg <файл_лога>

Она сохраняет в <файлЕ_лога> все пользовательские сообщения, которые выводит ettercap. Это может быть полезно, когда вы используете ettercap в режиме демона или вы хотите отслеживать все сообщения. На самом деле, некоторые диссекторы печатают сообщения, но их информация нигде не сохраняется, поэтому это единственный способ ведение их учёта.

-c, --compress

Сжать файл лога алгоритмом gzip во время его дампа. Etterlog способен работать как с жатыми так и с несжатыми файлами логов.

-o, --only-local

Записывать информацию профилей принадлежащую только локальным хостам.

Примечание: эта опция эффективна только в отношении профилей, собранных в памяти. Во время записи в файл все хосты будут сохранены. Если вы хотите разбить их, используйте соответствующую опцию etterlog.

-O, --only-remote

Сохраняет информацию о профилях принадлежащую удалённым хостам.

-v, --version

Напечатать версию и выйти.

-h, --help

напечатать справку.

Файлы

~/.config/ettercap_gtk

Сохраняет постоянную информацию (например, размещение окна) между сессиями.[Источник 1]

Примеры запуска Ettercap

Сперва необходимо обеспечить режим пересылки (форвардинга) на машине.

1 echo "1" > /proc/sys/net/ipv4/ip_forward

Чтобы запустить графический интерфейс, необходимо ввести следующую команду:

1 sudo ettercap -G

В меню нужно выбрать Sniff, далее Unified и желаемый интерфейс (рис. 1).

Рисунок 1 – Выбор желаемого интерфейса

Теперь выбираем Hosts, в нём подпункт Scan for hosts. После окончания сканирования появится список хостов в Hosts list (рис. 2).

Рисунок 2 – Список хостов

В качестве Цели1 выбераем роутер (Add to Target 1), в качестве Цели2 выбераем устройство, которое будем атаковать (Add to Target 2)(рис. 3).

Рисунок 3 – Устройств для атаки

Теперь переходим к пункту меню Mitm. Там выбираем ARP poisoning. Ставим галочку на Sniff remote connections (рис. 4).

Рисунок 4 – Сниффинг удаленных подключений

Теперь перейдем к меню Sniff и выберем там Start sniffing.

Чтобы убедиться, что сниффинг работает, можно запустить urlsnarf, чтобы увидеть посещаемые адреса:

1 urlsnarf -i eth0

или driftnet, чтобы увидеть открываемые на сайтах картинки:

1 driftnet -i eth0
[Источник 1]

Установка Ettercap

Программа предустановлена в Kali Linux.[Источник 2]

Однако, если же необходимо установить утилиту в другой ОС, можно воспользоваться установкой из репозиториев:

1 sudo apt-get install ettercap-common ettercap-graphical # только графический интерфейс

или

1 sudo apt-get install ettercap-common ettercap-text-only # только текстовый интерфейс

Запускать обязательно от имени администратора. К примеру так:

1 sudo ettercap -G

Также возможно установить из исходного кода. Для этого сперва необходимо установить зависимости (на Kali Linux):

1sudo apt-get install git debhelper bison check cmake flex ghostscript libbsd-dev libcurl4-openssl-dev libgtk2.0-dev libltdl-dev libluajit-5.1-dev libncurses5-dev libnet1-dev libpcap-dev libpcre3-dev libssl-dev libgtk-3-dev ghostscript groff libtool libpcre3 libncurses5-dev

Установка зависимостей на Linux Mint:

sudo apt-get install git debhelper bison check cmake flex ghostscript libbsd-dev libcurl4-openssl-dev libgtk2.0-dev libltdl-dev libluajit-5.1-dev libncurses5-dev libnet1-dev libpcap-dev lib-3-dev ghostscript groff libtool libpcre3 libncurses5-dev libgcrypt11-dev libgnutls-dev librtmp-dev

Скачиваем исходный код:

git clone https://github.com/Ettercap/ettercap.git

Собираем

cd ettercap/
mkdir build
cd build
cmake ENABLE_PDF_DOCS=On ../
make
sudo make install

Ettercap_curses

Ettercap_curses – это графический интерфейс Ettercap на основе Ncurses.

Интерфейс curses является очень простым и интуитивным. Он управляется с помощью меню. Каждый флаг или функция могут быть изменены/вызваны через верхнее меню. Все пользовательские сообщения печатаются внизу окна. Если вы хотите увидеть старые сообщения, вы можете пролистать буфер окна нажатием стрелок ВВЕРХ, ВНИЗ и кнопками Page up, Page down. Средняя часть используется для отображения информации или диалогов для пользователя.

Меню могут быть открыты нажатием соответствующих горячих клавиш. Горячие клавиши для меню представлены начальными буквами в верхнем регистре (к примеру 'S' для Sniffing (Сниффинга), 'T' для Targets (Целей)). Функции внутри меню могут быть вызваны нажатием горячих клавиш, которые изображы с правой стороны рядом с именем функции. Префикс горячих клавиш 'C-' используется для объединения с клавишей CTRL (к примеру, 'C-f' означает CTRL+f).

Вы можете переключать фокус между объектами экрана нажатием кнопки TAB или кликая по ним мышкой (если вы запустили ettercap внутри xterm). События мыши поддерживаются только через xterm. Вы можете использовать мышь для выбора объектов, открытия меню, выбора функций, прокручивания ползунка для прокручивания окон и т.д.

При открытие нескольких окон в средней части, они будут перекрываться. Используйте кнопку TAB для переключения между ними. Используйте CTRL+Q для закрытия окна в фокусе.

Вы также можете использовать CTRL+Q для закрытия диалогового окна ввода, если вы хотите отменить запрошенный ввод (к примеру, вы выбрали неверную функцию и вы хотите вернуться назад).

Чтобы получить быструю помощь по сочетаниям клавиш вы можете использовать в конкретном окне клавишу SPACE (ПРОБЕЛ). Появится окно помощи со списком комбинаций, которые могут быть использованы. Если окно не появилось, значит сочетания клавиш недоступны.[Источник 3]

Ettercap-pkexec

ettercap-pkexec – это графическая пусковая установка для ettercap на основе pkexec.

Этот лончер зависит от policykit-1 и пакетов меню, он просто оборачивает бинарники ettercap скриптами действия pkexec, которые обычно определены в /usr/share/polkit-/actions/org.pkexec.ettercap.policy, позволяя пользователям напрямую вызывать ettercap из рабочего стола или лончера меню с привилегиями рута.[Источник 3]

Меню при запуске

Сразу после запуска ettercap с графическим интерфейсом вам на выбор будет предложен множественный выбор. Первый экран позволит вам выбрать, хотите ли вы открыть файл pcap или сохранённый в файл дамп перехваченного трафика, хотите ли вы unified (унифицированный) или bridged (мостовой) сниффинг, позволит вам указать pcap файл захваченного трафика и включит для вам запись всех сниффленных данных.

После выбора метод (из файла, unified или bridged) первый экран больше не будет доступен. Для возврата к нему перезапустите ettercap.

Давайте проанализируем каждое меню на начальном экране:

File (Файл)

Open. (Открыть)

Открывает файл и анализирует его. Вся доступная для живого сниффинга функциональность на месте, за исключением отправки или перенаправления пакетов (атаки mitm и т.п.).

Dump to file. (Сбросить в файл)

Весь сниффленный трафик из живого захвата будет сброшен в этот файл. Фильтры, но не цели, влияют на этот файл, поскольку все пакеты полученные в pcap будут сохранены.

Единственный способ не сохранять конкретный пакет – это установить свойства фильтра pcap (смотри ниже).

Exit (Выход)

Выйти из ettercap возвратиться в командную строку.

Sniff

Unified sniffing. (Унифицированный сниффинг)

Выбрав эту функцию у вас попросят выбрать сетевой интерфейс для использования под сниффинг. В окне ввода предлагается первый поднятый и запущенный интерфейс. Для объяснения, что такое унифицированный сниффинг, смотрите документацию по ettercap.

Примечание: если вы используете горячую клавишу 'u', следующий шаг будет пропущен и автоматически выбран интерфейс по умолчанию.

Bridged sniffing. (Сниффинг мостом)

После выбора, будут использоваться два интерфейса, вы войдёте в режим Мостового сниффинга (Bridged sniffing). Для объяснения, что такое мостовой сниффинг, обратитесь к документации по ettercap.

Set pcap filter. (Установить фильтр pcap)

Здесь вы можете вставить фильтр для процесса захвата в формате tcpdump.

Примечание: если вы выполняете атаку mitm, помните, что если ettercap не видет пакет он не переправляет его. Так что будьте уверены, что вы делаете, установив pcap фильтр.

Options (Опции)

Unoffensive (Безобидный)

Этот пункт включает/отключает флаг безобидности. Звёздочка '*' означает, что опция включена. В противном случае опции отключена.

Promisc mode (Неразборчивый режим)

Включает/отключает неразборчивый режим для живого захвата на сетевом интерфейсе. Звёздочка означает то же, что и для Безобидности.

Set netmask (Установить маску)

Использовать указанную сетевую маску вместо ассоциированный с текущим интерфейсом. Эта опция полезна если у вас сетевая карта с ассоциированной сетевой маской класса B, а вы хотите просканировать (с arp скнированием) только C класс. Меню сниффинга и спуфинга

Сразу после того, как вы выбрали оффлайн сниффинг или живой захват, верхнее меню изменяется и вы можете начать делать интересные вещи.

Некоторые из последующих меню доступны только в живом захвате.

Start (Старт)

Start sniffing (Начать сниффинг)

Начинает процесс сниффинга, который зависит от того, что вы выбрали при запуске (живой или из файла)

Stop sniffing (Остановить сниффинг)

Остановить поток сниффинга.

Exit (Выход)

Возвращает в ваш любимый шэлл

Targets (Цели)

Current Targets (Текущие цели)

Показывает список хостов в каждой ЦЕЛИ. Вы можете выборочно удалить хосты выделяя их и нажимая 'd' или добавить новые хосты нажимая 'a'. Для переключения между этими двумя списками используйте кнопки СТРЕЛОК.

Select TARGET(s) (Выбрать Цель(И))

Позволяет вам выбрать Выбрать Цель(И) как объяснено в документации по ettercap. Синтаксис такой же как и для описания их в командной строке.

Protocol. (Протокол)

Вы можете выбрать для сниффинга только TCP, только UDP или оба (ALL).

Reverse matching (Обратить соответствие)

Меняет на противоположное соответствующее пакета. Это эквивалентно не перед указанием цели.

Wipe Targets (Стереть цели)

Восстанавливает для обоих ЦЕЛЕЙ до ANY/ANY/ANY (ЛЮБАЯ/ЛЮБАЯ/ЛЮБАЯ)

Hosts (Хостаы)

Hosts list (Список хостов)

Отображает список выявленных хостов посредством ARP сканирования из пассивных профилей. Этот список используется атаками MITM когда выбраны ЛЮБЫЕ цели, поэтому если вы хотите исключить хост из этой атаки, просто удалить его из этого списка.

Вы можете удалить хост из списка нажатием 'd', добавить к цели1 нажатием '1' или добавить к цели2 нажатием '2'.

Scan for hosts (Сканировать хосты)

Выполнить ARP сканирование сетевой маски если ЦЕЛИ не выбраны. Если ЦЕЛИ были указаны, то будут просканированы только эти хосты.

Load from file. (Загрузить из файла)

Загрузить список хостов из предварительного сохранённого командой "save to file" или созданного вручную файла.

Save to file. (Сохранить в файл)

Сохранить текущие хосты в файл.

View (Просмотр)

Connections (Подключения)

Отобразить список подключений. Для просмотра детальной информации о подключении нажмите 'd' или нажмите 'k' для его убийства. Для просмотра трафика определённого подключения выберите его и нажмите ENTER. Когда отобразиться двухпанельный интерфейс, вы можете перемещать фокус клавишами стрелок. Нажмите 'j' для переключения между объединённой и разделённой визуализацией. Нажмите 'k' для убийства подключения. Нажмите 'y' для интерактивной инъекции и 'Y' для инъекции файла. Помните, что это важно, которая панель сейчас в фокусе, поскольку инъекционные данные будут отправлены по этому адресу.

Примечание: подключения, отмеченные звёздочкой, содержат информацию об аккаунте(аккаунтах).

Profiles (Профили)

Отображает список пассивных профилей хостов. Выбор хостов будет отображать соответствующие детали (включая аккаунт с пользователем и паролем для этого хоста).

Вы можете преобразовать список пассивных профилей в список хостов нажатием 'c'. Для чистки удалённых хостов нажмите 'l'. Для чистки локальных хостов нажмите 'r'. Вы также можете сбросить содержимое профиля в файл нажав 'd'; этот файл дампа может быть открыт с помощью etterlog.

Примечание: профили, помеченные звёздочкой, содержат информацию об аккаунте(аккаунтах).

Statistics (Статистика)

Отображает некоторую статистику о процессе сниффинга.

Resolve IP addresses (Преобразовать IP адреса)

Включает DNS преобразование всех прослушиваемых IP адресов. ВНИМАНИЕ, это крайне замедляет ettercap. Между прочем, пассивное dns преобразование всегда активно. Оно перехватывает dns ответы и сохраняет их в кэше. Если ip адрес присутствует в этом кэше, он будут автоматически преобразован. Это бесплатное dns преобразование.

Visualization method (Метод визуализации)

Смена метода визуализации перехваченных данных. Доступны методы: ascii, hex, ebcdic, text, html.

Visualization regex (Регулярные выражения визуализации)

Устанавливает визуализацию по регулярным выражениям. В окне данных соединения будут показаны только пакеты, соответствующие этому регулярному выражению.

Set the WiFi key (Установить WiFi ключ)

Установить WiFi ключ для использования в расшифровании зашифрованных WiFi пакетов. Информацию о формате ключа смотрите в ettercap.

Mitm (Человек-по-середине)

Пункты меню отображаются для каждого типа атаки. Просто выберите желаемую атаку и заполните аргументы, которые она спросит. Вы можете активировать больше чем одну атаку за раз.

Stop mitm attack(s) (Остановить атаку(и) mitm).

Остановить все активные в настоящее время атаки mitm.

Filters (Фильтры)

Load a filter. (Загрузить фильтр)

Загрузить предварительно скомпилированный файл фильтра. Перед тем, как быть загруженным, файл должен быть скомпилирован с помощью etterfilter.

Stop filtering (Остановить фильтрацию)

Выгрузить фильтр и остановить фильтрацию подключений.

Logging (Запись)

Log all packets and infos. (Записывать все пакеты и информацию)

По переданному имени файла будут созданы для файла: filename.eci (для информации о хостах) и filename.ecp (для всех интересных пакетов). Это то же самое что и опция -L.

Log only infos. (Записывать только информацию)

Это использует для сниффинга только информации о хостах (то же самое что и опция -l).

Stop logging info (Остановить запись информации)


Log user messages. (Записать пользовательские сообщения)

Запишет все сообщения, которые появляются в нижнем окне (то же что и опция -m).

Compressed file (Сжать файл)

Звёздочка показывает будет ли файл для записи сжат.

Plugins (Плагины)

Manage the plugins (Управление плагинами)

Открывает окно управления плагинами. Вы можете выбрать плагин для активации его нажатием 'enter'. Узнать уже активные плагины можно по символу [1] вместо символа [0]. Если вы выберите активный плагин, то он будет отключён.

Load a plugin. (Загрузить плагин)

Вы можете загрузить файл плагина, который находиться не в каталоге по умолчанию. (помните, что вы можете просматривать директории с разрешениями EC_UID). Примеры запуска Ettercap_curses и Ettercap-pkexec

Для использования графического интерфейса ncurses вам нужно:

  • скомпилировать ettercap с поддержкой ncurses (очевидно)
  • запустить его с флагом -C

Достаточно указать флаг -C, но если вы хотите, то можете передать другие флаги, которые автоматически настроят интерфейс ncurses. Вы сможете переписать их используя меню для изменения опций.

ettercap -C

Запуск ettercap с привилегиями рута и интерфейсом GTK2:

ettercap-pkexec -G

Или так:

ettercap -G[Источник 3]

Источники

  1. 1,00 1,01 1,02 1,03 1,04 1,05 1,06 1,07 1,08 1,09 1,10 1,11 Ettercap // Инструменты Kali Linux [2019]. Дата изменения: 01.01.2019. URL: https://kali.tools/?p=830 (дата обращения: 18.01.2019).
  2. Ettercap // Инструменты Kali Linux [2018]. Дата изменения: 05.04.2011. URL: https://kali.tools/?p=830 (Дата обращения: 07.10.2018).
  3. 3,0 3,1 3,2 Ettercap_curses и Ettercap-pkexec (графические оболочки Ettercap) // Инструменты Kali Linux [2019]. Дата изменения: 01.01.2019. URL: https://kali.tools/?p=872 (дата обращения: 18.01.2019).