交换环境下的 *** 嗅探 从 *** 嗅探的原理来看，如果不通过交换设备的监视端口或者广播信息是难于进行 *** 嗅探的，那么是不是在没有监视端口下的交换局域网中就不能进行 *** 监控了呢？实际上不是这样的，接下来我们就要介绍一种多功能的交换局域网环境中的 *** 嗅探工具——Ettercap。 Ettercap最初是设计为交换网上的 *** 嗅探工具，随着发展，它获得了越来越多的功能，成为一款有效的、灵活的中介攻击工具。它支持主动及被动的协议解析并包含了许多 *** 和主机特性（如OS指纹等）分析。Ettercap有5种Sniffing工作方式： IPBASED：在基于IP地址的Sniffing方式下，Ettercap将根据源IP地址和端口，以及目的IP和端口来捕获数据包。 MACBASED：在基于MAC地址的方式下，Ettercap将根据源MAC和目的MAC来捕获数据包，这种方式在捕获通过网关的数据包时很有用。 ARPBASED：在基于ARP欺骗的方式下，Ettercap利用ARP欺骗在交换局域网内监听两个主机之间的全双工通信。 *** ARTARP：在 *** ARTARP方式下，Ettercap利用ARP欺骗，监听交换网上某台主机与所有已知的其他主机（存在于主机表中的主机）之间的全双工通信。 PUBLICARP：在PUBLICARP方式下，Ettercap利用ARP欺骗，监听交换网上某台主机与所有其他主机之间的通信（半双工）。此方式以广播方式发送ARP响应，但是如果Ettercap已经拥有了完整的主机地址表（或在Ettercap启动时已经对LAN上的主机进行了扫描），Ettercap会自动选取 *** ARTARP方式，而且ARP响应会发送给被监听主机之外的所有主机，以避免在Win2K上出现IP地址冲突的消息。Ettercap中最常用的功能有： （1）在已有连接中注入数据：可以在维持原有连接不变的基础上向服务器或客户端注入数据，以达到模拟命令或响应的目的。 （2）SSH支持：可以捕获SSH连接上的User和PASS信息，甚至是其他数据。Ettercap是之一个在全双工的条件下监听SSH连接的软件。 （3）HTTPS支持：可以监听http SSL连接上加密数据，甚至可以监听通过 *** 的连接。 （4）监听通过GRE通道的远程通信：你可以通过监听来自远程Cisco路由器的GRE通道的数据流，并对它进行中间人攻击。 （5）Plug-in支持：可以通过Ettercap的API创建自己的Plug-in。 （6）口令收集：可以收集以下协议的口令信息，TELNET、FTP、POP、RLOGIN、SSH1、ICQ、 *** B、MySQL、HTTP、NNTP、X11、NAPSTER、IRC、RIP、BGP、SOCK5、IMAP4、VNC、LDAP、NFS、SNMP、HALFLIFE、QUAKE3、MSNYMSG，当然不久还会有新的协议获得支持。 （7）数据包过滤和丢弃：可以建立一个查找特定字符串（甚至包括十六进制数）的过滤链，根据这个过滤链对TCP/UDP数据包进行过滤并用自己的数据替换这些数据包，或丢弃整个数据包。 （8）被动的OS指纹提取：可以被动地（不必主动发送数据包）获取局域网上计算机系统的详细信息，包括操作系统版本、运行的服务、打开的端口、IP地址、MAC地址和网卡的生产厂家等信息。 （9）OS指纹：可以提取被控主机的OS指纹以及它的网卡信息（利用NMAP Fyodor数据库）。 （10）杀死一个连接：杀死当前连接表中的连接，甚至所有连接。