交换环境下的网络嗅探 从网络嗅探的原理来看，如果不通过交换设备的监视端口或者广播信息是难于进行网络嗅探的，那么是不是在没有监视端口下的交换局域网中就不能进行网络监控了呢？实际上不是这样的，接下来我们就要介绍一种多功能的交换局域网环境中的网络嗅探工具——Ettercap。 Ettercap最初是设计为交换网上的网络嗅探工具，随着发展，它获得了越来越多的功能，成为一款有效的、灵活的中介攻击工具。它支持主动及被动的协议解析并包含了许多网络和主机特性（如OS指纹等）分析。Ettercap有5种Sniffing工作方式： IPBASED：在基于IP地址的Sniffing方式下，Ettercap将根据源IP地址和端口，以及目的IP和端口来捕获数据包。 MACBASED：在基于MAC地址的方式下，Ettercap将根据源MAC和目的MAC来捕获数据包，这种方式在捕获通过网关的数据包时很有用。 ARPBASED：在基于ARP欺骗的方式下，Ettercap利用ARP欺骗在交换局域网内监听两个主机之间的全双工通信。 SMARTARP：在SMARTARP方式下，Ettercap利用ARP欺骗，监听交换网上某台主机与所有已知的其他主机（存在于主机表中的主机）之间的全双工通信。 PUBLICARP：在PUBLICARP方式下，Ettercap利用ARP欺骗，监听交换网上某台主机与所有其他主机之间的通信（半双工）。此方式以广播方式发送ARP响应，但是如果Ettercap已经拥有了完整的主机地址表（或在Ettercap启动时已经对LAN上的主机进行了扫描），Ettercap会自动选取SMARTARP方式，而且ARP响应会发送给被监听主机之外的所有主机，以避免在Win2K上出现IP地址冲突的消息。Ettercap中最常用的功能有： （1）在已有连接中注入数据：可以在维持原有连接不变的基础上向服务器或客户端注入数据，以达到模拟命令或响应的目的。 （2）SSH支持：可以捕获SSH连接上的User和PASS信息，甚至是其他数据。Ettercap是第一个在全双工的条件下监听SSH连接的软件。 （3）HTTPS支持：可以监听http SSL连接上加密数据，甚至可以监听通过代理的连接。 （4）监听通过GRE通道的远程通信：你可以通过监听来自远程Cisco路由器的GRE通道的数据流，并对它进行中间人攻击。 （5）Plug-in支持：可以通过Ettercap的API创建自己的Plug-in。 （6）口令收集：可以收集以下协议的口令信息，TELNET、FTP、POP、RLOGIN、SSH1、ICQ、SMB、MySQL、HTTP、NNTP、X11、NAPSTER、IRC、RIP、BGP、SOCK5、IMAP4、VNC、LDAP、NFS、SNMP、HALFLIFE、QUAKE3、MSNYMSG，当然不久还会有新的协议获得支持。 （7）数据包过滤和丢弃：可以建立一个查找特定字符串（甚至包括十六进制数）的过滤链，根据这个过滤链对TCP/UDP数据包进行过滤并用自己的数据替换这些数据包，或丢弃整个数据包。 （8）被动的OS指纹提取：可以被动地（不必主动发送数据包）获取局域网上计算机系统的详细信息，包括操作系统版本、运行的服务、打开的端口、IP地址、MAC地址和网卡的生产厂家等信息。 （9）OS指纹：可以提取被控主机的OS指纹以及它的网卡信息（利用NMAP Fyodor数据库）。 （10）杀死一个连接：杀死当前连接表中的连接，甚至所有连接。