此插件可用于嗅探 GRE 重定向的远程流量。基本思想是创建一个 GRE 隧道,将路由器接口上的所有流量发送到 ettercap 机器。该插件将把 GRE 数据包发送回路由器,经过 ettercap“操作”(您可以在重定向流量上使用“活动”插件,例如 smb_down、ssh 解密、过滤器等)它需要一个“假”主机,其中流量必须重定向到(以避免内核的响应)。“假”IP 将是隧道端点。Gre_relay 插件将模拟“假”主机。要为“假”主机查找未使用的 IP 地址,您可以使用 find_ip 插件。基于 Anthony C. Zboralski 在http://www.phrack.org/show.php?p=56&a=10 上由 HERT发表的原始 Tunnelx 技术。
PS:目前我不太懂
gw_discover
该插件通过尝试向远程主机发送 TCP SYN 数据包来发现 LAN 的网关。该数据包具有远程主机的目标 IP 和本地主机的目标 mac 地址。如果ettercap 收到SYN+ACK 数据包,则拥有回复源mac 地址的主机是网关。对“主机列表”中的每个主机重复此操作,因此在启动此插件之前您需要有一个有效的主机列表。
例子:
ettercap -TP gw_discover /192.168.0.1-50/
isolate
隔离插件会将主机与 LAN 隔离。它将使用与自己的mac 地址来毒害所有尝试与它连接的受害者的 arp 缓存。这样主机将无法联系其他主机,因为数据包永远无法到达
检查列表中的某个主机和我们之间是否有人中毒。首先,它会检查列表中的两个主机是否具有相同的 mac 地址。这可能意味着其中一个正在毒害我们假装是另一个。它可能会在代理 arp 环境中产生许多误报。您必须构建主机列表才能执行此检查。之后,它会向列表中的每个主机发送 icmp 回显数据包,并检查回复的源 mac 地址是否与我们为该 ip 存储在列表中的地址不同。这可能意味着有人正在毒害该主机,假装拥有我们的 IP 地址并将截获的数据包转发给我们。您无法在非攻击模式下执行此主动测试。