ettercap filtragem não funciona

3

Eu não posso usar filtros ettercap. Estou escrevendo o filtro mais simples que consigo imaginar:

if (ip.proto == TCP){
    msg("Ran Filter\n");
}

Mas mesmo isso não funciona. Quando eu compilo usando o etterfilter e corro:

sudo ettercap -F /tmp/filter.ef -T -M arp -i wlan1 /192.168.1.6/ // a msg não é impressa. Com a visualização de pacotes, vejo pacotes TCP, mas o filtro parece não funcionar, embora ettercap diga "Filtros de conteúdo carregados de /tmp/filter.ef ".

Para resolver isso eu tentei ativar o ip_forward, e eu tentei deletar o sinal "#" em /etc/etter.conf , então ele irá usar o iptables para o seu redirecion_command (linhas 168-169)

Você sabe como fazer a filtragem funcionar?

Estou usando ettercap NG-0.7.4.2 no Ubuntu 12.10

    
por speller 06.02.2013 / 07:28

1 resposta

1

Finalmente encontrei a resposta. O problema é por causa de um bug no ettercap! Na página man:

You can also load a script  without enabling it by appending :0 to the filename

E a partir do código:

/* enable a loaded filter script? */
uint8_t f_enabled = 0;
/* is there a :0 or :1 appended to the filename? */
if ( (opt_end-optarg >=2) && *(opt_end-2) == ':' ) {
        *(opt_end-2) = '
You can also load a script  without enabling it by appending :0 to the filename
'; f_enabled = !( *(opt_end-1) == '0' ); }

Como você pode ver no código, e ao contrário do que a página man diz, você deve acrescentar ": 1" ao nome do arquivo do filtro para que ele seja carregado. Caso contrário, o filtro não é usado.

Então, por que isso me agradou? Isso é porque eu estou usando a versão 0.7.4.2, que é a versão baixada quando eu apt-get install ettercap no meu Ubuntu. Isso se opõe ao site ettercap, afirmando que "The latest Ettercap release is: 0.7.4.1"

Um patch que resolve o bug foi enviado para os desenvolvedores do ettercap.

    
por speller 08.02.2013 / 15:01

Tags