etter.conf (конфигурационный файл Ettercap)
Имя
etter.conf – конфигурационный файл Ettercap.
Описание
etter.conf – это конфигурационный файл, который определяет поведение Ettercap. Он всегда загружается при запуске программы и настраивает некоторые атрибуты, используемые во время выполнения.
Файл содержит записи в формате:
[секция] запись = значение ...
Каждая запись определяет переменную, которую можно настроить. Каждое значение ДОЛЖНО быть числом. Секции используются только для группировки нескольких переменных.
ПРИМЕЧАНИЕ: если вы пропустили переменную в конфигурационном файле, она будет инициализирована со значением равным 0. Настоятельно рекомендуется не инициализировать критические переменные, такие как "arp_poison_delay" или "connec‐tion_timeout".
Переменные файла etter.conf
Далее список доступных переменных:
[privs]
ec_uid
Эта переменная определяет UID, на который будут сброшены привилегии после запуска. По причинам безопасности, после открытия сокета на канальном уровне, привилегии сбрасываются на указанный uid, отличный от рута. Единственным файлом, который считывается с привилегиями рута является etter.conf. Убедитесь, что указанный uid имеет достаточно привилегий для чтения других файлов (etter.*). Вы можете обойти эту переменную, установив переменную окружения EC_UID.
[mitm]
arp_storm_delay
Эта переменная представляет в миллисекундах ожидание между двумя последовательными пакетами во время начального ARP сканирования. Вы можете увеличить это значение, чтобы быть менее агрессивным при старте. Запущенное фоновое сканирование плюс большая задержка могут обмануть некоторые типы детекторов ARP сканирования.
arp_poison_smart
С настройкой этой переменной, отправляются только 3 начальных отравленных ARP сообщения. Этот отравленный статус Ettercap поддерживает отвечая на ARP запросы от жертв, которые хотят освежить их ARP кэш. Это делает ARP травление очень незаметным, но оно может оказаться ненадёжным на используемых совместно медиа, таких как WiFi.
arp_poison_warm_up
Когда начинается процесс травление, задержка внутренних пакетов низкая для 5 травлений (чтобы убедиться, что процесс травления успешный). После первых 5 травлений, задержка увеличивается (для поддержания в отравленном состоянии). Эта переменная контролирует задержку для первых 5 травлений. Значение в секундах.
Эта же задержка используется, когда жертва восстанавливает оригинальные ассоциации (RE-ARPing) при закрытии ettercap.
arp_poison_delay
Эта величина контролирует задержку травления после 5 первых травлений. Эта величина выражается в секундах. Вы можете увеличить значение (в попытке обмануть IDS) до таймаута ARP кэша (которые зависит от отравляемой операционной системы).
arp_poison_icmp
Включает отправку спуфленного (подложного) ICMP сообщения для принуждения цели сделать arp запрос. Это создаст arp запись в кэше хоста, поэтому Ettercap будет способен победить гонку условий и отравить цель. Полезно в отношении целей, которые не принимают традиционные arp, если запись не в кэше.
arp_poison_reply
Использовать ARP ответы для травления цели. Это классическая атака.
arp_poison_request
Использовать ARP запросы для травлений целей. Полезно в отношении целей, которые кэшируют даже значения arp запросов.
arp_poison_equal_mac
Установите эту опцию на 0, если вы хотите пропустить травление двух хостов с одинаковым mac адресом. Это может случиться, если сетевая карта (NIC) имеет один или более псевдонимов в той же самой сети.
dhcp_lease_time
Это время высвобождения (в секундах) для dhcp назначения. Вы можете понизить это значение, чтобы разрешить клиенту получить корректный dhcp ответ после того, как вы остановили атаку.
Используя более высокий таймаут, вы можете внести серьёзный бардак в вашу сеть после того, как атака завершиться. С другой стороны, некоторые клиенты будут предпочитать более высокое время высвобождения, поэтому вы должны увеличить его, чтобы выиграть гонку условий против реального сервера.
port_steal_delay
Это время задержки (в миллисекундах) между кражей пакетов для метода "port" mitm. С низкой задержкой вы будете способны перехватить больше пакетов, но вы сгенерируете больше трафика. Вы должны настроить эту величину чтобы найти хороший баланс между количеством перехваченных пакетов, повторно отправленных пакетов и потерянных пакетов. Эта величина зависит от канала полного/полу дуплекса, сетевых драйверов и адаптера, общих настроек сети и железа.
port_steal_send_delay
Это задержка (в микросекундах) между пакетами, когда метод "port" mitm должен отправить повторные очереди пакетов. Как сказано для port_steal_delay вы должны настроить эту опцию до наименьшей приемлемой величины.
ndp_poison_warm_up
Эта опция работает аналогично опции arp_poison_warm_up. Когда начинается процесс травления, эта опция контролирует задержку травления протокола обнаружения соседей для первых 5 травлений (чтобы убедиться, что процесс травления успешен). После первых 5 травлений, задержка увеличивается (для поддержания отравления). Эта переменная контролирует задержку для первых 5 травлений. Значение должно быть менее, чем ndp_poison_delay. Это значение в секундах.
Эта же задержка используется, когда жертва восстанавливает оригинальные связи при остановке Ettercap.
ndp_poison_delay
Эта опция схожа опции arp_poison_delay. Она контролирует задержку в секундах для отправки отравленных NDP пакетов для травления кэша соседей жертвы. Это значение может быть увеличено для сокрытия от IDS. Но увеличение значения также увеличит вероятность проиграть гонку условий во время обнаружения соседей и пропустить некоторые пакеты.
ndp_poison_send_delay
Эта опция контролирует задержку в микросекундах между отправкой отравленных NDP пакетов. Это значение может быть увеличено для сокрытия от IDS. Но увеличение значения увеличивает также вероятность проигрыша в гонке условий во время обнаружения соседей и потерю некоторых пакетов.
ndp_poison_icmp
Включает отправку спуфленного (подложного) ICMPv6 сообщения для провоцирования цели выполнить обнаружение соседей. Это создаст запись в кэше соседей хоста, поэтому ettercap будет способен выиграть гонку условий и отравить цель. Полезно в отношении целей, которые не принимают объявление соседей, если запись не в кэше.
ndp_poison_equal_mac
Установите эту опцию на 0, если вы хотите пропустить NDP травление двух хостов с одинаковым mac адресом. Это может случиться, если сетевая карта имеет один или более псевдонимов в той же сети.
icmp6_probe_delay
Эта опция определяет время в секундах, которое Ettercap ожидает активных IPv6 узлов для ответа на ICMP зонды. Уменьшение этой величины может привести к потере ответов от активных узлов IPv6, следовательно, они будут отсутствовать в списке хостов. Увеличение значения обычно не оказывает влияния; обычно узлы могут управиться с ответом во время задержки по умолчанию.
ПРИМЕЧАНИЕ: Опции ndp и icmp6 доступны только если Ettercap был собран с поддержкой IPv6.
[connections]
connection_timeout
Каждый раз при обнаружении нового подключения Ettercap выделяет необходимые структуры. После подстройки таймаута, вы можете высвобождать эти структуры для сохранения низкого использования памяти.
Эта переменные представляет таймаут. Значение выражено в секундах. Этот таймаут применяется даже к системе отслеживания сеансов (протокол состояния машины для диссекторов).
connection_idle
Это количество секунд для ожидания перед тем, как пометить подключение как IDLE (бездействующее).
connection_buffer
Эта переменная контролирует размер буфера, связанного с каждым соединением. Каждый сниффленный пакет добавляется в буфер и когда буфер полон, более старые пакеты удаляются для освобождения места для новых. Этот буфер полезен для просмотра данных, которые ушли по кабелю до того, как вы выбрали и просмотрели конкретное соединение. Чем больше эта величина, тем больше ettercap использует память. Между прочем, буфер является динамическим, т.е. если вы установили буфер в 100.000 байт, то они не заняты при получении первого пакета подключения, а заполняются по мере пребывания пакетов.
connect_timeout
Таймаут в секунда, когда используется системный вызов connect(). Увеличьте, если вы получаете ошибку "Connection timeout" (Таймаут подключения). Эта опция ничего не делает с подключениями, которые вы сниффите с помощью Ettercap.
Это таймаут для подключений, делаемых Ettercap к другим хостам (например, когда снимаются отпечатки удалённых хостов).
[stats]
sampling_rate
Ettercap сохраняет некоторые статистические данные по времени обработки нижней половины (сниффер) и верхней части (декодер протокола). Эти статистические данные составляются по среднему времени обработки пакетов sampling_rate. Вы можете уменьшить это значение, чтобы иметь более точную картину в реальном времени о времени обработки или увеличить её, чтобы иметь более сглаженную картину. Конечная средняя не изменится, но худшие значения будут сильно зависеть от этой величины.
[misc]
close_on_eof
При чтении дампа файла и использовании консоли или демона графического интерфейса, эта переменная применяется для определения, какое действие должно быть сделано на EOF (т.е. при достижении конца файла). Это логическая величина (истина/ложь). Если установить на 1, то Ettercap закроет сам себя (полезно в скриптах). В противном случае сессия будет продолжаться в ожидании пользовательского ввода.
store_profiles
Ettercap собирает в памяти профили для каждого хоста, который он обнаружил. Там собираются пользователи и пароли. Если вы хотите запустить Ettercap в фоне, чтобы он записывал весь трафик, вам может захотеться отключить сбор в памяти для сохранения системной памяти. Установить эту опцию на 0 (ноль) для отключения сбора профилей. Значение 1 включит сбор для всех хостов, 2 означает сбор только локальных хостов и 3 – только удалённых хостов (хост расценивается как удалённый, если он не принадлежит сетевой маске).
aggressive_dissectors
Некоторые диссекторы (рассекатели) (такие как SSH и HTTPS) нуждаются в модификации полезной нагрузки пакетов, чтобы собрать пароли и выполнить атаку расшифровки. Если вы хотите отключить «опасные» диссекторы разом, установите эту величину в 0.
skip_forwarded
Если вы устанавливаете эту величину на 0, вы будете сниффить даже пакеты, передаваемые Ettercap’ом или ядром. Это будет генерировать дубликаты пакетов в связке с методом (например) arp mitm. Это может быть полезно при запуске Ettercap в безобидном режиме на хосте с более чем одним сетевым интерфейсом (в ожидании функции множественных интерфейсов…)
checksum_warning
Если вы установите эту величину на 0, то в окне пользовательских сообщений не будут отображаться сообщения о некорректной контрольной сумме (а также не будет писаться в файл с -m).
Помните, что эта опция не отключает проверку пакетов, она только предотвращает вывод сообщений (смотрите ниже).
checksum_check
Эта опция используется для полного отключения проверки контрольной суммы пакетов, которые получает Ettercap. Эта проверка пакетов выполняется для избегания обнаружения Ettercap через пакеты с плохой контрольной суммой. Если вы отключаете эту проверку, вы можете сниффить даже пакеты с плохой контрольной суммой, но вы будете замечены, если кто-то ищет вас…
[dissectors]
protocol_name
Эта величина представляет порт, с которым связывается (биндится) протокол диссектора. Значение 0 отключает диссектор. Имя переменной то же, что и имя протокола. Вы можете указать нестандартный порт для каждого диссектора, а также множество портов. Синтаксис выбора нескольких портов следующий: port1,port2,port3,…
ПРИМЕЧАНИЕ: Некоторые диссекторы скомпилированы условно. Это означает, что в зависимости от найденных в вашей системе библиотек, некоторые диссекторы будут включаться, а другие – нет. По умолчанию etter.conf содержит все поддерживаемые диссекторы, если вы получили ошибку "FATAL: Dissector "xxx" does not exists (etter.conf line yy)", то вам нужно закомментировать строку yy в etter.conf.
[curses]
color
Вы можете настроить цвета графического интерфейса curses.
Просто установить поле в одно из следующих значений и посмотрите, что меняется в графическом интерфейсе.
Вот список значений: 0 Black, 1 Red, 2 Green, 3 Yellow, 4 Blue, 5 Magenta, 6 Cyan, 7 White
[strings]
utf8_encoding
Указывает кодировку для использования при отображении пакетов в формате UTF-8. Используйте команду `iconv --list` для вывода списка поддерживаемых кодировок.
remote_broswer
Эта команда выполняется плагином remote_browser каждый раз, когда захвачен хороший URL запрос на HTTP подключении. Эта команда должна иметь возможность получать 2 параметра:
%host
Хост: тэг в заголовке HTTP. Используется для создания полного запроса в браузере.
%url
Это страница, запрошенная внутри GET запроса.
redir_command_on
Вы можете предоставить действительную команду (или скрипт) для включения tcp редиректа на уровне ядра, чтобы быть способным использовать SSL диссектор. Ваш скрипт должен быть способным принимать 3 параметра:
%iface
Сетевой интерфейс, на котором должно быть установлено правило
%port
Порт источника пакетов для редиректа (443 для HTTPS, 993 для imaps, и т.д.).
%rport
Внутренний привязанный порт, на котором Ettercap прослушивает подключения.
ПРИМЕЧАНИЕ: этот скрипт выполняется с execve(), поэтому вы не можете использовать трубы для перенаправления вывода как бы вы могли делать в шелле. Мы рекомендуем вам сделать скрипт, если вам нужны эти команды.
redir_command_off
Этот скрипт используется для удаления правил редиректа, применённых 'redir_command_on'. Вы должны иметь ввиду, что этот скрипт вызывается atexit() и, таким образом, не имеет высоких привилегий. Вам следует обеспечить setuid программе или установить ec_uid на 0, чтобы быть уверенным, что этот скрипт успешно выполнится.
Comments are Closed