<4> 静音方式选项(仅可以和-N选项连用)
-t,-proto
仅监听协议PROTO的数据包(缺省为TCP+UDP)。这个选项仅在simple方式下有用,如果你以交互式方式启动ettercap,TCP和UDP数据包都将被监听。PROTO可以是tcp或udp或all。
-J,--onlypoison
这个选项使ettercap不监听任何数据流,但仅仅对目标进行欺骗。如果你需要利用ettercap进行欺骗,而用其他的软件tcpdump或ethereal进行监听时,可以利用这个选项(注意在这种方式下要使能IP_forwarding)。另外一种用法是多目标监听。正如你所了解的,你可以利用ettercap监听两个目标之间的连接信息(ARPBASED),或某一个目标的进出信息(SMART ARP)。利用这个选项,你可以同时监听若干目标(因为同时启动了多个程序)。启动第一个程序时选用SMART ARP,并用-H选项限制smart功能仅针对你想要欺骗的主机进行(记住如果在欺骗中涉及了网关,必须在以smart方式运行的实例中指定它)。然后在启动其他的“ettercap -J”。
-R,--reverse
监听除选择的连接以外的所有连接。如果你在一个远程主机上使用ettercap,并且要求监听除了你自己的从本地到远程的连接以外的所有其他连接时,可以选择这个选项。因为如果包含了这样的连接将会使ettercap监听自己的输出,并不断迭加上去。
-O,passive
以被动的方式收集信息。在simple方式下,我们可以在许多方式中选择这个选项。“ettercap -NO”将以半交互的方式启动ettercap,输入“h”来获得帮助信息。你可以查看收集的信息,也可以把它们记录到日志文件中,或简单地浏览分析的数据包。“ettercap -NOL”与上面的方式相类似,不过它会自动地把数据记录到文件中,记录的时间间隔是5分钟。“ettercap -NOLq”使ettercap每5分钟把日志写到文件中。你可以走开,抽支香烟,返回时就会有一个有关局域网的完整报告在等待着你…J
-p,--plugin
运行外部插件“NAME”大多数插件需要一个目标主机,这只要在插件的名字后面指定目标主机就可以了。事实上,命令行上的主机解析中,第一个主机为DEST,SOURCE也同样。为了获得可用的外部插件列表,使用“list”(不包括引号)作为插件的名字。由于ettercap 0.6.2提供了钩子插件系统,所以一些插件并不是作为独立的程序运行,它们可以和ettercap交互,可以通过接口或配置文件使能或禁止。有关插件的详细信息以及如何编写自己的插件,可以在README.PLUGING文件中找到。
-l,--list
列出局域网中的所有主机,报告每一个MAC地址。通常与-b(ping广播)选项和-d(不解决主机名)选项连用。
-C,--collect
收集在命令行上指定的那些主机的所有用户和口令信息。在配置文件(etter.conf)中配置口令收集器,如果需要的话,可以有选择性地禁止它们,或者把它们转移到另一个端口。如果你不希望收集SSH连接信息,但收集其他所有协议的数据的时候,这个选项很有用。如果你已知某一台主机在端口4567上提供telnet服务,只要把telnet解码移动到4567/tcp就可以了。
-x,--hexview
以十六进制数方式转储数据(提示:在监听的时候,可以改变显示效果,只要按”x”或”h”键就可以实现按16进制数显示或按Ascii字符显示)。
-L,--logtofile
如果这个参数单独使用的话,会把所有的数据保存到特定的文件中。它会为每一个连接建立一个单独的文件,在UNIX系统下文件名为YYYYMMDD-P-IP:PORT-IP:PORT.log,在Windows环境下的文件名为P-IP[PORT]-IP[PORT].log。如果与C参数连用,它会创建一个名为YYYYMMDD-collected-pass.log文件,其中记录了所有监听到的口令信息。
-q,--quiet
魔鬼化ettercap。 如果你希望以后台工作方式记录所有的数据,可以使用这个选项。这个选项将使ettercap脱离当前的tty,并把它设置为一个daemon。这个选项必须与-NL(或-NCL)选项联合使用,否则的话没有任何作用。显然,还需要指定一种监听方式,因此这个选项还要和一个表示监听方式的选项相配合。
-w,--newcert
为HTTPS中介攻击方式创建一个新的cert文件。如果你想要利用社会工程方式获得的信息创建一个cert文件,可以使用这个选项。新创建的文件保存在当前工作目录下。为了长期替换缺省的cert文件(etter.ssl.crt),必须改写/usr.local/share/etter.ssl.crt。
-F,--filter
从文件FILENAME中加载过滤链。过滤链文件是用伪XML格式编写的。你可以通过手工改写文件或通过ettercap的用户界面来让ettercap创建这个文件(在连接表界面中按’F’键)。如果你很熟悉XML语言分析,可以写自己的程序来建立过滤链文件。
-c,--check
检查你是否被局域网上特定目标中的其他欺骗者所欺骗。对命令行上的目标主机的解析是反向的。第一个主机是DEST,第二个主机是SOURCE。如果你在基于IP的方式下监听,这个顺序没有关系,因为源和目的都被忽略了。但是如果你在对连接进行过滤,这个顺序对于绑定到相关的过滤链就很重要了。这个反向的顺序是由于与插件的更加灵活接口。因为有些插件需要指定目标主机,那么ettercap –Np ooze victim这种形式要比ettercap –Np ooze NOONE victim简单一些。可以用点分制的格式来输入目标(192.168.0.1)或者以域名的格式来输入目标(victim.mynet.org)。只有在-H选项中可以使用通配符。
|