我不能使用ettercap筛选器。我正在写我能想到的最简单的过滤器:
if (ip.proto == TCP){
msg("Ran Filtern");
}
但即便如此也无济于事。当我使用etterfilter编译它并运行:
sudo ettercap -F /tmp/filter.ef -T -M arp -i wlan1 /192.168.1.6/ //消息未打印。通过数据包可视化,我确实看到了TCP数据包,但过滤器似乎不起作用,即使ettercap说"内容过滤器从/tmp/filter.ef加载"。
为了解决这个问题,我尝试启用ip_forward,并尝试删除/etc/etter.conf中的"#"符号,这样它将使用iptables作为redir_command(第168-169行)
我也试着把它放在askubuntu.com 上
https://askubuntu.com/questions/251866/ettercap-filtering-doesnt-work
你知道如何进行过滤吗?
我在Ubuntu 12.10 上使用ettercap NG-0.7.4.2
终于找到了答案。问题是因为ettercap中的一个错误!来自手册页:
You can also load a script without enabling it by appending :0 to the filename
从代码来看:
/* enable a loaded filter script? */
uint8_t f_enabled = 0;
/* is there a :0 or :1 appended to the filename? */
if ( (opt_end-optarg >=2) && *(opt_end-2) == ':' ) {
*(opt_end-2) = '�';
f_enabled = !( *(opt_end-1) == '0' );
}
正如您从代码中看到的,与手册页所说的相反,您必须将":1"附加到过滤器的文件名才能加载它。否则,不使用过滤器。
那为什么我会这么想呢?这是因为我使用的是0.7.4.2版本,这是我在Ubuntu上apt-get install ettercap时下载的版本。这与ettercap网站相反,称"The latest Ettercap release is: 0.7.4.1"
解决该错误的补丁已发送给ettercap开发人员。