Ettercap是一款基于終端的以太網絡局域網嗅探器/攔截器/日志器。它支持主動和被動的多種協議解析（甚至是ssh和https這種加密過的）。還可以進行已建立連接的數據注入和實時過濾，保持連接同步。大部分嗅探模式都是強大且全面的嗅探組合。支持插件。能夠識別您是否出在交換式局域網中，通過使用操作系統指紋（主動或被動）技術可以得出局域網結構。

下載鏈接：http://down.51cto.com/data/146316

>>去網絡安全工具百寶箱看看其它安全工具

嗅探：它有5種工作模式

-a --arpsniff 基于arp的欺騙,分3小種：arpbased,smartcarp和publicarp

-s --sniff 屬于IPBASED,目標可以是任何主機

-m --macsniff 屬于MACBASED

需要說明的是-s -m兩選項帶來的是傳統嗅探模式,分別基于IP地址和MAC地址.也就是說它們必需先把網卡置于混雜,然后才可以正常工作。所以在交換環境下,這兩項會完全失效,-a選項是基于ARP欺騙的,是一種中間人攻擊模型。實質是利用了ARP協議的漏洞，攻擊者分別欺騙了A和B機。讓A機把數據傳給嗅探者,然后再由嗅探機器把數據轉發給B機,A和B卻沒有意識到數據包的中轉過程，這樣我們就可以劫獲數據甚至修改數據包.

下面分別介紹五種用法:

1：ettercap -Nza ip1 ip2 mac1 mac2 (arpbased) 劫獲IP1與IP2間的數據.缺省狀態下只接收TCP數據包

2： ettercap -Na ip mac (smartcarp) 劫獲此ip與外部所有通訊數據,這種方式比較劇烈,啟動時采用的是ARP風暴,很容易被發現.如果別人在用TCPDUMP監聽,就會看見攻擊者發出的無數的ARP請求,再傻的管理員都明白什么事情發生了.不過由于修改了指定主機的ARP表中關于被監聽主機的MAC地址，還修改了被監聽主機中的那些指定主機的MAC地址,處在完全的中間人工作狀態，這時候你可以作的事情多些,比如更改數據包,截取SSH口令.

3：ettercap -Nza ip mac (publicarp) 同上,不同點在于發送ARP請求的方式,上面采用的是ARP廣播,這里只是對特定主機發送ARP請求.這樣,不易引起管理員的懷疑.不過也帶來了問題,被監聽者自己也會收到這個以廣播方式發送的ARP響應包,于是便會彈出"檢測到IP地址于硬件地址沖突"之類的警告.不過不會影響目標主機正常通信,還有一點就是發往被監聽主機的數據包會送給監聽者，而監聽者發出的數據包卻被直接送往真正的目的主機，沒有經過監聽者的主機.所以我們只能截取不完全的通信內容.

4：ettercap -Nzs IP:80 (ipbased sniffing) 基于IP地址的嗅探。這里僅劫獲目標機器HTTP消息,你也可以指定其他端口，比如23 。如果沒有指定，所有都會被截取

5：ettercap -zm mac1 mac 2 (macbased) 基于MAC的嗅探.只要輸入MAC地址

需要說明的是，4，5兩種方式只適合于共享網絡,在交換網絡下一概無效.MAC地址的獲取很簡單，直接在終端輸入“ettercap -l"就會列出所有在線主機?；蛘吣阆萈ING一下某個IP，不管有沒有回應(沒有回應可能是對方開了防火墻)，再用ARP命令就可以獲取其MAC地址。如果無法獲取，則此IP不存在 ,這也是探測防火墻后的主機是否在線的一個好方法。

包過濾：由于網絡流量實在很大，當你面對大量記錄數據時，你可能會感到手足無措，你想找到自己需要的數據無疑是一項艱巨的工作，這時侯，我們可以通過—F 選項加載自己的過濾規則，這樣，很多無用的數據就會被忽略，刪節。和注射字符一樣，我們進行包過濾時有必要的話也要注意到正確的TCP序列號和確認序列號等因素。一旦你加載了自己的過濾鏈，你就可以有目的的得到自己最需要的數據了。一條過濾規則看起來就象匯編程序一樣，當然，還是有差距的，用列陣形容可能更確切些。一條過濾規則大概如下：《協議，源端口，目標端口，承載數據》

一個空的搜索字符串總可以成立，比如端口如果沒有指定，所有的都會被記錄下來。只要那些規則匹配，你的過濾鏈就可以工作了.