|
嗅探在集線器盛行的年代可簡單實現(xiàn)
你什么事情都不用干�,集線器自動會把別人的數(shù)據(jù)包往你機器上發(fā)。但是那個年代已經(jīng)過去了,現(xiàn)在交換機已經(jīng)代替集線器成為組建局域網(wǎng)的重要設(shè)備����,而交換機不會再把不屬于你的包轉(zhuǎn)發(fā)給你,你也不能再輕易地監(jiān)聽別人的信息了(不熟悉集線器和交換工作原理的朋友可以閱讀文章《網(wǎng)絡(luò)基礎(chǔ)知識:集線器���、網(wǎng)橋和交換機》)�,注意����,只是不再輕易地,不是不行�����!呵呵���,要在交換機網(wǎng)絡(luò)下做嗅探還是有方法的���,接下來為大家介紹交換機網(wǎng)絡(luò)嗅探方法中用ARP欺騙輔助嗅探
基于ARP欺騙的嗅探技術(shù)(對ARP攻擊不熟悉可以閱讀:《網(wǎng)絡(luò)協(xié)議基礎(chǔ):ARP簡析》,《ARP攻擊實戰(zhàn)之WinArpAttacker》)
以前搞ARP攻擊沒什么意思��,它頂多就是把一些機器搞得不能上網(wǎng)���,真的沒啥意思�����,但自從交換機成為架設(shè)局域網(wǎng)的主流設(shè)備后�����,ARP攻擊有了新的用途:用ARP欺騙輔助嗅探�����!原理很簡單�,先看看下面兩幅圖:
 
左圖是正常通信時�,兩臺機器數(shù)據(jù)流向。右圖是B被A機器ARP欺騙后��,兩臺機器的數(shù)據(jù)流向�����,著重看右圖���,B被ARP欺騙后�����,數(shù)據(jù)的流向改變了����,數(shù)據(jù)先是發(fā)給了A,然后再由A轉(zhuǎn)發(fā)給網(wǎng)關(guān)���;而從網(wǎng)關(guān)接收數(shù)據(jù)時�����,網(wǎng)關(guān)直接把發(fā)給B的數(shù)據(jù)轉(zhuǎn)發(fā)給了A����,再由A轉(zhuǎn)發(fā)給B�,而A的自己的數(shù)據(jù)流向是正常的。現(xiàn)在B的數(shù)據(jù)全部要流經(jīng)A�����,如果A要監(jiān)聽B是易于反掌的事情了�����。
再簡單說說這個ARP欺騙的過程吧,也就是怎么實現(xiàn)改變B的數(shù)據(jù)流向:
1).現(xiàn)在架設(shè)A的IP地址是192.168.1.11��,MAC地址是:11-11-11-11-11-11����;B的IP地址是192.168.1.77�����,MAC地址是77-77-77-77-77-77����;網(wǎng)關(guān)IP地址是192.168.1.1,MAC地址是:01-01-01-01-01-01����。
2).A發(fā)送ARP欺騙包(ARP應(yīng)答包)給B,告訴B:我(A)是網(wǎng)關(guān)���,你把訪問外網(wǎng)的數(shù)據(jù)發(fā)給我(A)吧�����!ARP欺騙包如下:
SrcIP: 192.168.1.1 �,SrcMAC:11-11-11-11-11-11
DstIP: 192.168.1.77 ,DstMAC:77-77-77-77-77-77
3).A發(fā)送ARP欺騙包(ARP應(yīng)答包)給網(wǎng)關(guān)����,告訴網(wǎng)關(guān):我(A)是機器B,結(jié)果網(wǎng)關(guān)把所有給B的數(shù)據(jù)都發(fā)到A那里了����。ARP欺騙包如下:
SrcIP: 192.168.1. 77,SrcMAC:11-11-11-11-11-11
DstIP: 192.168.1. 1�,DstMAC:01-01-01-01-01-01
4).機器A有一個輔助用的轉(zhuǎn)發(fā)軟件,它負(fù)責(zé)把“網(wǎng)關(guān)->B”和“B->網(wǎng)關(guān)”的數(shù)據(jù)包轉(zhuǎn)發(fā)�。
至此,ARP欺騙的輔助任務(wù)完成了����,接下來就是用你的嗅探器進(jìn)行偷窺了~噢~哈哈!
這里有幾點值得注意一下的:
1).ARP欺騙包每隔一段時間要發(fā)一次�����,否則網(wǎng)關(guān)和B的ARP緩存會更新�����!
2).ARP欺騙完成后��,網(wǎng)關(guān)的ARP記錄會有兩記錄的MAC地址是相同的,分別是:192.168.1.11(11-11-11-11-11-11)和192.168.1.77(11-11-11-11-11-11)���,這樣可能會比較明顯�����,嗯~可以把A自己在網(wǎng)關(guān)的ARP緩存改了:192.168.1.11(01-10-01-10-01-10,亂寫一個)����,但這樣會有兩個問題:一個是這個MAC是亂寫的,局域網(wǎng)內(nèi)根本沒有這個MAC地址的機器��,根據(jù)交換機的工作原理����,網(wǎng)關(guān)發(fā)給192.168.1.11這IP的機器的數(shù)據(jù)將會被廣播。第二個是����,此刻你(A)的正常與外界通信的能力將會喪失��?梢詸(quán)衡考慮一下��。
以前的一篇文章《ARP攻擊實戰(zhàn)之WinArpAttacker》,里面所使用的ARP攻擊工具:"WinArpAttacker"���,它就有利用這種原理進(jìn)行嗅探的功能�,見下圖:
交換機網(wǎng)絡(luò)嗅探方法中用ARP欺騙輔助嗅探的方式就為大家敘述完了����,如果讀者想了解其他的方法請閱讀:
交換機網(wǎng)絡(luò)嗅探方法之欺騙交換機緩存
本文出自:億恩科技【1tcdy.com】
服務(wù)器租用/服務(wù)器托管中國五強�!虛擬主機域名注冊頂級提供商���!15年品質(zhì)保障����!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國服務(wù)器租用
電信骨干機房
聯(lián)通骨干機房
0371-60135900
