《Ettercap系列 I：基于gtk界面》作为Ettercap系列的开篇，侧重于演示Ettercap的使用步骤。有些名词/操作需要解释一下，故有此篇。

1.开始扫描主机前，在Sniff选项下有Unified sniffing和Bridge sniffing两个选项。Unified sniffing刻意理解为同时欺骗主机A和B，将本要发给对方的数据包发送到中间人C上，然后由C再转发给目标，C充当了一个中间人的角色。在Ettercap看来，A和B的关系是对等的；而Bridge方式是在双网卡情况下，嗅探两网卡设备之间的数据包，将其中一个网卡传输的数据并发送到另一个网卡。

2.ARP欺骗前，在MITM--"Arp Poisoning"弹出的复选框中勾选了"Sniff remote connections"。其实，复选框中还有另一个选项：“Only poison one-way”。这两个选项有什么区别？其实这是单向欺骗和双向欺骗的区别。假设局域网中有AB两台机器，A是路由器，B是局域网主机。B发送请求经过A，到达互联网上某台服务器；服务器处理请求后，发出的响应通过A返回到B。

2a).我们来看下单向欺骗的情景：现在局域网中出现了中间人C，他选择了ettercap中MITM菜单下的"Only poison one-way"选项，那么，所有从主机B发出的请求都会先由C转发，经过A到达互联网上的服务器；但是，服务器发回的响应还是正常的通过A发回给B，并不会被C截获。

2b).再来看下剩下的双向欺骗的情景：这次中间人C选择了"Sniff remote connections."那么，B发出的请求会经由C转发到服务器；而服务器发出的响应，会先到达C，然后到达B。

3.可能有人会问添加被欺骗主机时，我为什么将天猫精灵添加到Target1列表，而将路由器添加到Target2列表？能不能反过来做？要回答这个问题，还得参考上面的问题2。如果选择MITM时，勾选了"Only poison one-way"，那么，Targets1就相当于主机B的身份，Targerts2相当于路由器A。由于中间人只能捕获到主机B发出的数据包，为了能正确的抓包我们需要对加入Target1和Target2的主机加以区分；勾选了"Sniff remote connections"，由于中间人可以抓到通信双方的数据包，我觉得没必要刻意区分Target1和Target2。

参考：Ettercap使用记录之二