ettercap过滤不起作用

Question

我不能使用ettercap滤镜。我正在编写我能想到的最简单的过滤器：

if (ip.proto == TCP){
    msg("Ran Filter\n");
}

但即使这样也行不通。当我使用etterfilter编译它并运行：

sudo ettercap -F /tmp/filter.ef -T -M arp -i wlan1 /192.168.1.6/ //未打印消息。通过数据包可视化，我确实看到了TCP数据包，但过滤器似乎就是不工作，即使ettercap显示"Content filters loaded from /tmp/filter.ef“。

为了解决这个问题，我尝试启用ip_forward，并且我尝试删除/etc/etter.conf中的"#“符号，以便它的redir_command使用iptables (168-169行)

我也试过把它放到askubuntu.com上

https://askubuntu.com/questions/251866/ettercap-filtering-doesnt-work

你知道如何使过滤工作吗？

我在Ubuntu 12.10上使用ettercap NG-0.7.4.2

Answer 1

终于找到了答案。这个问题是因为ettercap中的一个bug！从手册页：

You can also load a script  without enabling it by appending :0 to the filename

从代码中看：

/* enable a loaded filter script? */
uint8_t f_enabled = 0;
/* is there a :0 or :1 appended to the filename? */
if ( (opt_end-optarg >=2) && *(opt_end-2) == ':' ) {
        *(opt_end-2) = '\0';
        f_enabled = !( *(opt_end-1) == '0' );
}

正如您从代码中看到的，并且与手册页所说的相反，您必须将":1“附加到筛选器的文件名后才能加载它。否则，将不使用该过滤器。

那么为什么它只会发生在我身上呢？这是因为我使用的是0.7.4.2版本，这是我在Ubuntu上使用apt-get install ettercap时下载的版本。这与ettercap网站相反，称"The latest Ettercap release is: 0.7.4.1"

已向ettercap开发人员发送了解决该错误的补丁。