Установка и использование Ettercap

Ettercap — инструмент для анализа безопасности компьютерной сети.

Домашняя страница: www.ettercap-project.org

Команда установки в Ubuntu/Debian:

Пример использования Ettercap:

Список возможных ключей запуска:

Sniffing and Attack options:
-M, —mitm perform a mitm attack
-o, —only-mitm don’t sniff, only perform the mitm attack
-B, —bridge use bridged sniff (needs 2 ifaces)
-p, —nopromisc do not put the iface in promisc mode
-u, —unoffensive do not forward packets
-r, —read read data from pcapfile
-f, —pcapfilter set the pcap filter
-R, —reversed use reversed TARGET matching
-t, —proto sniff only this proto (default is all)
User Interface Type:
-T, —text use text only UI
-q, —quiet do not display packet contents
-s, —script issue these commands to the GUI
-C, —curses use curses UI
-D, —daemon daemonize ettercap (no UI)
Logging options:
-w, —write write sniffed data to pcapfile
-L, —log log all the traffic to this
-l, —log-info log only passive infos to this
-m, —log-msg log all the messages to this
-c, —compress use gzip compression on log files

Visualization options:
-d, —dns resolves ip addresses into hostnames
-V, —visual set the visualization format
-e, —regex visualize only packets matching this regex
-E, —ext-headers print extended header for every pck
-Q, —superquiet do not display user and password
General options:
-i, —iface use this network interface
-I, —iflist show all the network interfaces
-n, —netmask force this on iface
-A, —address

force this local
on iface
-P, —plugin launch this -F, —filter load the filter (content filter)
-z, —silent do not perform the initial ARP scan
-j, —load-hosts load the hosts list from
-k, —save-hosts save the hosts list to
-W, —wep-key use this wep key to decrypt wifi packets
-a, —config use the alterative config file
Standard options:
-v, —version prints the version and exit
-h, —help this help screen

Источник



Ettercap. Перехват трафика – Man In The Middle Attacks

В этой статье будет рассказано, как перехватывать трафик в локальной сети с помощью Ettercap. Используя для этого MITM атаки (Man In The Middle attacks – атаки типа “человек по середине”).

ettercap

Ettercap – open source утилита для анализа безопасности компьютерных сетей. Основное предназначение которой – MITM атаки (Man In The Middle attacks – атаки типа “человек по середине”). Имеет возможность sniffing of live connections, фильтрация контента на лету, а так же много других интересных возможностей. Поддерживает как активные, так и пассивные вскрытия протоколов и включает большое количество функций для анализа сети и узла.

Более подробную информацию, можно найти на официальном сайте Ettercap.

Установка/Настройка Ettercap

Скачать и установить Ettercap можно из исходников – здесь. В качестве альтернативы можно воспользоваться следующей командой:

Прежде чем приступать к выполнению, выполним небольшую настройку. Открываем файл /etc/etter.conf:

Находим в нем вот эти строки и раскомментируем их:

После того, как все перечисленные выше операции сделаны, запускаем Ettercap. Однако у некоторых, в том числе и у меня, Ettercap работать не будет. Будут появляться ошибки вида “SEND L3 ERROR“. Чтобы такие ошибки не появлялись, воспользуйтесь следующей командой:

Теперь все должно работать нормально и ошибки не должны выскакивать.

ARP Poisoning

Ранее уже описывалось, что такое “Атака ARP Cache Poisoning“ и для чего она нужна. Здесь же будет описано, как осуществить ее используя Ettercap.

Для начала посмотрите на архитектуру сети (см. рисунок ниже), которая будет использоваться. Это нужно для того, чтобы вы хорошо понимали, что и от куда берется:

Архитектура сети для атаки MITM

ettercap установка

Перед нами появится окно приложения, как показано ниже:

Щелкаем по кнопке Sniff -> Unified sniffing. После этого выбираем интерфейс, который используется. У меня это eth0:

ettercap настройка

В верхнем меню нажимаем кнопки HostsScan for hosts:

ettercap настройка

Теперь опять щелкаем HostsHosts list. Появится окно, как показано на рисунке ниже:

ettercap настройка интерфейса

Здесь нам нужно выбрать цели, т.е. выбрать машину, которая будет выступать в качестве “жертвы” и шлюз. Как видно из архитектуры сети, которую используем, в качестве “жертвы” выступает машина с IP-адресом = 192.168.1.3. Ну а в качестве шлюза IP-адрес = 192.168.1.1. Поэтому выбираем 192.168.1.3 и нажимаем кнопку Add to Target 1. Теперь щелкаем 192.168.1.1 и нажимаем кнопку Add to Target 2.

Далее щелкаем MitmARP poisoning. После этого выбираем Sniff remote connections:

ettercap проведение атаки

Нажимаем ОК. Осталось только запустить. Для этого нажимаем на кнопку StartStart sniffing.

Sniffing запущен. Осталось подождать, когда пользователь будет вводить свои данные, например от почтового аккаунта:

ettercap результат проведения атаки

Как только он ввел свои логин/пароль и успешно вошел на свой почтовый ящик, злоумышленник также успешно перехватил его логин и пароль:

Как видите ничего сложного в этом нет. Также в этой статье хотел описать DNS-spoofing, но как оказалось об этом написано в “SET (Social-Engineering Toolkit). Взлом аккаунтов“.

Источник

How to use Ettercap

What is ettercap? Ettercap is a utility for analyzing network traffic passing through a computer interface, but with additional functionality. The program allows you to perform attacks like “Man in the middle” to force another computer to transfer packets not to the router, but to you.

With Ettercap, you can check the security of your network, how susceptible it is to this type of attack, and also analyze traffic from several computers, and even modify it on the fly. In this article, we will look at how to use Ettercap to analyze and modify traffic.

What is man in the middle attack ?

By default, the computer sends all network packets that need to be sent to the Internet and sends it to the router, which in turn sends them to the next router until the packet reaches the target. But for certain reasons, the packet can be transmitted not to the router, but immediately to your computer, and only then to the router.

The computer through which the packets will pass can analyze the source, target address, and if they are not encrypted, then their full contents.There are two ways to do MITM (Man In Middle Attack):

  • ARP attack – using the features of the ARP protocol, your computer tells others that it is a router, after which all packets begin to indulge in it;
  • DNS attack – when a computer tries to get an ip address for a domain, we substitute this address for its own, but for this type to work, you need to use the ARP method.

Ettercap Linux can perform both types of attacks. In addition, the utility can perform denial of service attacks and scan ports. Now let’s take a look at how to install and use Ettercap.

Кроме этого:  Как поменять фильтр салона на автомобилях Chevrolet Cobalt

How to install ettercap on kali linux

This is a fairly popular program among network security experts, so it is in the official repositories of most distributions. For example, to install Ettercap in Ubuntu, run:

On Fedora or other distributions based on it, the command will look similar:

We coped with the task of installing Ettercap Linux, but before using it, you need to change a few settings in the configuration file.

The ec_uid and ec_gid lines must be set to 0 in order for the program service to work on behalf of the superuser:

ettercap/etter.conf

Next you need to find and uncomment these two lines:

How to use ettercap on kali linux

They are used to redirect SSL connections to regular HTTP, if possible. Then save the changes and the program is ready to work.

Using Ettercap GUI

The program can work in several modes – with a graphical interface, without and as a service. We will consider work in the graphical interface. To run a program with a GTK interface, use the -G option:

Ettercap GUI

We use the -E option for sudo to save all of our user’s environment variables. The main window of the program looks very simple. First we look at how the ARP-poisoing attack is performed.

ARP poisoning Attack in Ettercap

As I said, with this attack we can force the target computer to send packets not to the router, but to us. Everything works quite simply. The computer knows the IP of the router, it got it when connected to the network. But every time he needs to send a packet, he needs to convert this universal IP address to a low-level address of the network technology used, for example, for the wired Internet – this is the MAC address.

For this, the ARP protocol is used. The computer sends a request to all devices on the network, for example, “who is 192.168.1.1” and the router, upon seeing its address, will send in response its MAC. Then it will be saved in the cache. But we can use Ettercap to ask the target computer to update its ARP cache and transfer its MAC address instead of the MAC address of the router. Then all the packages will be transferred to us, and we will send them where necessary.

Let us get to the point and execute the attack attercap arp spofing. In Ettercap, open the Sniff menu and select Unified Snifing. Then select your network interface, for example, eth0 or wlan0:

ARP poisoning Attack in Ettercap

The program window will change and much more functions will be available to us. Now you need to scan the network. To do this, open the Hosts menu and click Scan hosts. Even if something does not work, then you can load the list of hosts from the file:

Ettercap Scan hosts

Further, after a quick scan, if you open Hosts -> Hosts List , you will see a list of devices connected to the network:

ettercap Hosts List

To start the attack, we need to specify target 1 and target 2. As the first target, you need to specify the IP of the machine that we are going to attack, and the target 2 is the ip of the router. To add targets, use the Add Target 1 and Add Target 2 buttons :

ARP poisoning

Next, open the MITM menu and select ARP poisoning :

ARP poisoning

In the window that opens, check the Sniff remote connections box to intercept all remote connections from this computer:

Sniff remote connections

Now, to start the substitution process, in the Start menu, select Start Sniffing.

After that, the program will start sending packets to the network, with a request for 192.168.1.3 to update the ARP cache and replace the MAC address of the router with yours. The attack is started and successfully executed. You can open the View -> Connections menu and see the active connections for the target device:

ettercap

If the packet was not encrypted, then we can view the transmitted information by clicking on the connection with the mouse. The sent information is displayed on the left, and the received information is displayed on the right.

ettercap packet

DNS spoofing with ettercap

A special service, DNS, is used to convert site names to network IP addresses. When the computer needs an ip of the site, he asks him for the DNS server. But if you are already performing a MITM attack, then we can spoof the server’s response so that instead of the site server’s IP, our IP is returned. First we need to edit the /etc/ettercap/etter.dns file:

DNS spoofing attack ettercap

This record means that we will substitute the main IP google.com with 127.0.0.1. Please note that this attack is not performed without the previous one. Further open the menu Plugins -> Manage Plugin:

How to do dns spoof with ettercap kali linux

Then double click on the dns_spoof plugin :

ettercap kali linux

The plugin will be activated and you can check the ip on the device. DNS is really being replaced. For example, you can run on a target machine:

In addition to these plug-ins, there are others with which you can perform the necessary actions.

Ettercap Filters

Filters allow you to modify the packets passed through the program on the fly. You can drop packets or make necessary changes to them using the replace function. Filters also work only while the MITM attack is running. The syntax of the conditions by which we will filter packets is very similar to wireshark. Let’s consider a simple filter that will replace all the pictures with ours:

For those who have had experience with programming languages, everything should be clear here. If the TCP protocol and the destination port are 80, we continue searching and look for Accept-Encoding. Then we replace this word with any other, but equivalent in length. Because if the browser will send Accept-Encoding gzip, then the data will be compressed and we will not filter anything there. Next, in the server’s response, the source port is 80, we replace all the images with ours. Now the filter needs to be compiled:

It remains to load the filter using the menu Filters -> Load Filter :

ettercap Filters

Select a filter file in the file system:

ettercap MITM

The filter will be loaded and you can open any site where https is not used to make sure everything works. To stop the MITM attack, open the MITM menu and select Stop All Mitm attacks . Our Ettercap manual is coming to an end, but …

How To protect yourself?

Probably, after reading the article, you have a reasonable question, how to protect your computer from this type of attack? There are several tools for this, including for the Linux operating system:

  • XArp is a graphical utility that can detect attempts to spoof MAC addresses using the ARP protocol and counteract this. It can work in Windows and in Linux;
  • Snort is a fairly well-known system to counter intrusions, among other things, it detects attacks on the ARP protocol;
  • ArpON is a small service that monitors the ARP table and protects it from spoofing MAC addresses.
Кроме этого:  Видеокарта ATI Mobility Radeon HD 5650 характеристики тест отзывы

Findings

In this article, we looked at how to use Ettercap, a program for analyzing network packets and performing Man-in-the-Middle attacks. Use the program only to test the security of your networks or applications, and do not forget that illegal actions in the information space are also punishable.

Comments

where can i download this ettercap,the one i download is ettercap ng-0.7.3

Источник

Инструкция по Ettercap: атака человек-посередине (MitM), перехват паролей, обход HSTS, подмена данных на лету, использование пользовательских фильтров и плагинов, подцепление на BeEF, заражение бэкдорами

https://telete.in/blackhat25

Инструкции по Ettercap уже имеются, в том числе и на русском языке. Мне, например, нравится этот видео мануал:

Больше примеров хороших инструкций я привести не могу. Но даже если на вышеприведённое видео посмотреть критически и осмыслить, что всё-таки мы там видели? Мы увидели, что Ettercap – это такая программа для сканирования хостов и ARP спуфинга… Какие-либо другие возможности Ettercap не раскрыты.

Цель данного раздела – собрать практические примеры использования Ettercap в различных сценариях. Показать реальные случаи использования Ettercap. Опять же, всеобъемлющей инструкции не получится, но попытаемся собрать как можно больше эффективных методик работы с Ettercap.

Альтернативы Ettercap

Ettercap является самой популярной программой для атаки человек-посередине, но является ли она самой лучшей? На протяжении всей инструкции вы будете видеть, что Ettercap почти никогда не используется в одиночку, что всегда та или иная программа выстраивается с ней в цепочку по обработке трафика. Возможно, это добавляет гибкости, вообще, такой подход лежит в основе UNIX – одна программа выполняет одну задачу, а конечный пользователь комбинирует разнообразные программы для достижения желаемого результата. При таком подходе код программ легче поддерживать, из таких миниатюрных «кирпичиков» можно построить систему любой сложности и гибкости. Тем не менее, иметь пять открытых консолей с разными задачами, работа программ которых направлена для достижения одного единственного результата – это не очень удобно, это просто сложнее, есть вероятность допустить ошибку на каком-то этапе, и вся настроенная система отработает вхолостую.

Также Etterfilter (пользовательские фильтры данных Ettercap) за свои недостатки подвергаются критике.

В общем, на конкурентов Ettercap есть запрос и достойные конкуренты уже появились.

Например, MITMf. Это фреймворк, в котором встроен анализатор данных (перехватчик паролей), большое количество модулей, которые позволяют делать всё, что мы делаем в данной инструкции (и даже больше!) с помощью десятка программ, в одном единственном фреймворке, даже имеется улучшенный механизм по модификации данных на лету.

Ещё одна программа, которая создавалась в качестве улучшенного Ettercap – это Bettercap. Автор этого нового инструмента указывает на такие недостатки как нестабильность Ettercap на больших сетях, неудачная реализация механизма фильтров, отсутствие хорошего механизма визуализации данных и необходимость использовать множество программ в связке с Ettercap. Bettercap сделан чтобы победить все эти недостатки.

Т.е. конкуренты Ettercap однозначно заслуживают изучения и тестирования. Мы обязательно к ним вернёмся на страницах этого ресурса. Но начнём мы с классики – с Ettercap. Конкуренты Ettercap просто мало известны, и имеется большой спрос на изучение Ettercap. Это также полезно, чтобы понимать более детально атаку человек-посередине. Не поработав Ettercap, трудно оценить достоинства новых программ. Чтобы было почти как в том еврейском анекдоте:

Мы переходим с Ettercap на MITMf «и так хорошо!..». Ладно, это я шучу, конечно. Давайте уже займёмся делом!

Да, ещё несколько замечаний:

  1. Из-за того, что Ettercap сбрасывает свои привилегии, то после окончания атаки программа уже не может возвратить вспять сделанные ей изменения. Также если вы делаете подряд те примеры, которые здесь описаны, то вам нужно сбрасывать роутинг трафика. Самый просто способ «обнулить» изменения – это перезагрузить компьютер цели и атакующий компьютер.
  2. Все команды я выполняю здесь от рута.
  3. Для реализации описанных здесь примеров вам нужно минимум два компьютера в локальной сети. Они могут быть подключены к роутеру как по Wi-Fi, так и по проводу. При определённой сноровке, в качестве второго компьютера можно использовать виртуальную машину в VirtualBox.

1. Запуск атаки человек-посередине, перехват паролей и пересылаемых данных

1.1 Ettercap + Net-Creds + driftnet

Давайте начнём с самой простой реализации атаки человек-посередине. Мы будем делать практически то же самое, что и в видео выше. Но для анализа полученных результатов мы воспользуемся программами Net-Creds и driftnet.

  • Посещённые URL
  • отправленные запросы POST
  • логины/пароли из форм HTTP
  • логины/пароли при базовой HTTP аутентификации
  • поиски HTTP
  • логины/пароли FTP
  • логины/пароли IRC
  • логины/пароли POP
  • логины/пароли IMAP
  • логины/пароли Telnet
  • логины/пароли SMTP
  • SNMP community string (общую строку)
  • все поддерживаемые протоколы NTLMv1/v2 вроде HTTP, SMB, LDAP и т.д.
  • Kerberos

Хорошая подборка перехватываемых, а driftnet в этом плане попроще – только показывает перехваченные изображения.

Переключите вашу машину в режим пересылки (форвардинга).

echo "1" > /proc/sys/net/ipv4/ip_forward

Запускаем Ettercap с графическим интерфейсом (-G):

В меню выбираем Sniff, далее Unified, выбираем желаемый интерфейс:

Теперь выбираем Hosts, в нём подпункт Scan for hosts. После окончания сканирования выберите Hosts list:

В качестве Цели1 выберите роутер (Add to Target 1), в качестве Цели2 выберите устройство, которое будете атаковать (Add to Target 2).

Но здесь может возникнуть первая заминка, особенно, если хостов много. В разных инструкциях, в том числе в видео представленном выше, авторы лезут в целевую машину (у всех, почему-то, там Windows) и с помощью команды смотрят IP данной машины в локальной сети. Согласитесь, такой вариант неприемлем для реальных условий.

Если провести сканирование с помощью Nmap, то можно получить некоторую дополнительную информацию о хостах, точнее говоря, о фирме производителе сетевой карты:

nmap -sn 192.168.1.0/24

04

Если данных всё равно недостаточно, то можно сделать сканирование с определением ОС:

nmap -O 192.168.1.0/24

Как видим, машина с IP 192.168.1.33 оказалась Windows, если это не знак свыше, тогда что это?

Именно её мы и добавляем в качестве второй цели.

Теперь переходим к пункту меню Mitm. Там выберите ARP poisoning… Поставьте галочку на Sniff remote connections.

Начинаем собирать урожай, в одном окне запускаем

в другом (обе программы можно запускать без опций)

Сразу же пошёл сбор данных:

В правой части driftnet открыло ещё одно окно, в котором показывает перехваченные изображения. В окне net-creds мы видим посещённые сайты и перехваченные пароли:

1.2 Ettercap + Burp Suite

Программа Burp Suite кроме других своих замечательных свойств, обладает очень хорошим прокси, который позволяет очень наглядно видеть совершаемый обмен трафиком, в том числе передаваемые данные.

Кроме этого:  Какие бывают газовые баллоны для авто на пропане

У вас уже должен быть запущен Ettercap как показано в пункте 1.1

Теперь, когда сниффинг трафика начался, сделаем перенаправление трафика на порт 8080:

iptables -t nat -A PREROUTING -p tcp —destination-port 80 -j REDIRECT —to-port 8080

Теперь запускаем Burp:

Переходим во вкладку Proxy -> Options. Там в самом верху в Proxy Listeners нажимаем Add и добавляем новый прослушиватель: на 8080 порту. В качестве Specific Address выберите IP компьютера атакующего (т.е. той машины, где запущен Burp).

Здесь же перейдите во вкладку Request handling и поставьте галочку на Support invisible proxying (enable only if needed):

Когда добавите новый прослушиватель, поставьте галочку там, где Running (это будет означать, что он задействован в данное время):

Теперь спуститесь в самый низ, найдите Allow requests to web interface using fully-qualifyed DNS hostnames и поставьте там галочку:

Теперь перейдите в Proxy -> Intercept, отключите его:

Теперь должен начаться анализ полученных данных.

Кстати, Burp, Net-Creds и driftnet не мешаются друг другу: вполне можете запускать их все вместе и следить за получаемыми результатами в любой из программ:

2. Обход HTTPS и HSTS

К большому сожалению всех, кто перехватывает данные, протокол HTTP (подразумевающей передачу данных в виде простого текста) очень активно сменяется протоколом HTTPS (подразумевающий передачу хорошо зашифрованных данных). Уже даже на многих маленьких сайтах активно внедряется HTTPS, если же говорить про коммерческую сферу и большие популярные сайты, а также социальные сети, то там HTTPS используется повсеместно. Также крупные сайты в последнее время активно внедряют HSTS, что ещё больше увеличивает проблемы атакующему.

Использование HTTPS не означает, что мы не можем перехватить трафик – мы можем это делать. Но поскольку трафик зашифрован, то для нас он имеет такую же ценность, как рандомный набор нулей и единиц (т.е. никакой).

Нам недоступны эффективные механизмы дешифрования этого трафика, поэтому мы будем применять атаку понижения протокола с HTTPS до HTTP, а также будем задействовать механизм частичного обхода HSTS.

2.1 Ettercap + SSLStrip+ + dns2proxy + Net-Creds

Нам нужна программа SSLStrip+. Обратите внимание на плюс в названии программы – даже если у вас в репозитории имеется SSLStrip, то нужно скачать новую версию, которая приводится здесь (старую удалять необязательно – она не мешается). Аналогично и с dns2proxy — скачайте её как сделано в этой инструкции.

Начните с запуска Ettercap и атаки человек посередине, как это показано в 1.1.

Настройте iptables для редиректа HTTP трафика:

iptables -t nat -A PREROUTING -p tcp —destination-port 80 -j REDIRECT —to-port 2000

iptables -t nat -A PREROUTING -p udp —destination-port 53 -j REDIRECT —to-port 53

Скачиваем и запускаем SSLStrip+.

git clone https://github.com/singe/sslstrip2.git

python2 ./sslstrip.py -l 2000

Скачиваем и запускаем dns2proxy:

git clone https://github.com/singe/dns2proxy.git

Для анализа данных запускаем

Начался перехват данных:

Вход в аккаунт Гугла происходит без шифрования переданных/полученных данных:

Поиск Гугла также лишился HTTPS:

2.2 Ettercap + SSLStrip+ + dns2proxy + Net-Creds + Burp

Если вам хочется анализировать данные с помощью Burp, но при этом использовать силу SSLStrip+ и dns2proxy, то это тоже можно сделать. Как обычно, начните с запуска Ettercap по пункту 1.1. Затем введите эти правила роутинга (мы отправляем трафик на прокси Burp):

iptables -t nat -A PREROUTING -p tcp —destination-port 80 -j REDIRECT —to-port 8080

iptables -t nat -A PREROUTING -p udp —destination-port 53 -j REDIRECT —to-port 53

python2 ./sslstrip.py -l 2000

Сам прокси Burp настройте, как это показано в пункте 1.2. Дополнительно во вкладке Request handling в поле Redirect to host впишите localhost, а в поле Redirect to port впишите 2000. Т.е. с прокси Burp мы переправляем трафик на SSLStrip+.

Правда при этом данные в Burp начинают отображаться следующим образом:

2.3 Ettercap + SSLsplit

Когда-нибудь этот раздел будет дописан, как и документация по SSLsplit.

3. Просмотр данных (посещённых сайтов и захваченных паролей) в Ettercap

В меню View нам доступны вкладки Connections и Profiles. Также можно поставить галочку на Resolve IP addresses (преобразовывать IP адреса). Connections – это, понятно, соединения. Ettercap собирает в памяти профили для каждого хоста, который он обнаружил. Там собираются пользователи и пароли. При этом профили с захваченными данными аккаунта (паролями), помечаются крестиком:

Не надо слишком сильно полагаться именно на профили – помечаются, например, перехваченные логины и пароли для FTP и для других сервисов, для которых полученную информацию программа однозначно может интерпретировать как учётные данные. Сюда не попадают, например, данные базовой аутентификации, введённые логины и пароли в веб-формы.

В Connections самые перспективные данные помечены звёздочкой:

Можно кликнуть два раза на эти записи для просмотра подробностей:

Чтобы не искать эти звёздочки по всем списку, можно сделать сортировку по этому полю и все они окажутся наверху или внизу:

Пойманная базовая аутентификация:

Логин-пароль для Яндекса (выделено внизу):

Это перехваченные учётные данные для Вконтакте:

Также самые интересные данные собираются в нижней консоли:

Если вы хотите сохранять результаты работы программы, то воспользуйтесь этими опциями (указывайте ключи при запуске Ettercap:

Опции ведения журналов:

-w, —write <файл> записать перехваченные данные в pcapfile <файл>

-L, —log <логфайл> записать весь трафик в этот <логфайл>

-l, —log-info <логфайл> записать только пассивную информацию в этот <логфайл>

-m, —log-msg <логфайл> записать все сообщения в этот <логфайл>

Источник

Technoric

Ettercap is a comprehensive suite for man in the middle attacks. It features sniffing of live connections, content filtering on the fly and many other interesting tricks. It supports active and passive dissection of many protocols and includes many features for network and host analysis.

For installing ettercap, use the following commands :

You will be prompted to choose between ettercap text-only and ettercap-graphical packages. Choose accordingly.

After the installation is done, you can open ettercap in different modes. For opening ettercap in graphic mode, use :

For text mode, use

To read about ettercap and its different modes, you can use :

Note :man‘ is short for manual. It can be used to read about all commands (description, syntax etc.)

5 comments:

Hy, I'm a beginner in programming and in Kali Linux, especially. I did everything as written, but didn't manage to do the "sudo apt-get install ettercap" command, "E: Package 'ettercap' has no installation candidate" was the reason. I had to do the "sudo apt-get install ettercap-graphical" skipping the above mention one. Ettercap is successfully installed, but I can't use the "wlan1" option in the Network interface while trying to sniff (no such an option given). Could you please support me some way?) Thanks in advance.

Try apt install ettercap-text-only for commandline. Then start ettercap as:
ettercap -T -i

Источник