|
嗅探在集線器盛行的年代可簡(jiǎn)單實(shí)現(xiàn)
你什么事情都不用干�,集線器自動(dòng)會(huì)把別人的數(shù)據(jù)包往你機(jī)器上發(fā)�。但是那個(gè)年代已經(jīng)過(guò)去了���,現(xiàn)在交換機(jī)已經(jīng)代替集線器成為組建局域網(wǎng)的重要設(shè)備����,而交換機(jī)不會(huì)再把不屬于你的包轉(zhuǎn)發(fā)給你���,你也不能再輕易地監(jiān)聽(tīng)別人的信息了(不熟悉集線器和交換工作原理的朋友可以閱讀文章《網(wǎng)絡(luò)基礎(chǔ)知識(shí):集線器����、網(wǎng)橋和交換機(jī)》)����,注意���,只是不再輕易地����,不是不行!呵呵�,要在交換機(jī)網(wǎng)絡(luò)下做嗅探還是有方法的,接下來(lái)為大家介紹交換機(jī)網(wǎng)絡(luò)嗅探方法中用ARP欺騙輔助嗅探
基于ARP欺騙的嗅探技術(shù)(對(duì)ARP攻擊不熟悉可以閱讀:《網(wǎng)絡(luò)協(xié)議基礎(chǔ):ARP簡(jiǎn)析》�����,《ARP攻擊實(shí)戰(zhàn)之WinArpAttacker》)
以前搞ARP攻擊沒(méi)什么意思����,它頂多就是把一些機(jī)器搞得不能上網(wǎng),真的沒(méi)啥意思�����,但自從交換機(jī)成為架設(shè)局域網(wǎng)的主流設(shè)備后���,ARP攻擊有了新的用途:用ARP欺騙輔助嗅探����!原理很簡(jiǎn)單����,先看看下面兩幅圖:
 
左圖是正常通信時(shí),兩臺(tái)機(jī)器數(shù)據(jù)流向。右圖是B被A機(jī)器ARP欺騙后�,兩臺(tái)機(jī)器的數(shù)據(jù)流向,著重看右圖����,B被ARP欺騙后,數(shù)據(jù)的流向改變了��,數(shù)據(jù)先是發(fā)給了A�����,然后再由A轉(zhuǎn)發(fā)給網(wǎng)關(guān)�����;而從網(wǎng)關(guān)接收數(shù)據(jù)時(shí)��,網(wǎng)關(guān)直接把發(fā)給B的數(shù)據(jù)轉(zhuǎn)發(fā)給了A��,再由A轉(zhuǎn)發(fā)給B��,而A的自己的數(shù)據(jù)流向是正常的��,F(xiàn)在B的數(shù)據(jù)全部要流經(jīng)A�����,如果A要監(jiān)聽(tīng)B是易于反掌的事情了�����。
再簡(jiǎn)單說(shuō)說(shuō)這個(gè)ARP欺騙的過(guò)程吧���,也就是怎么實(shí)現(xiàn)改變B的數(shù)據(jù)流向:
1).現(xiàn)在架設(shè)A的IP地址是192.168.1.11�����,MAC地址是:11-11-11-11-11-11���;B的IP地址是192.168.1.77,MAC地址是77-77-77-77-77-77����;網(wǎng)關(guān)IP地址是192.168.1.1,MAC地址是:01-01-01-01-01-01����。
2).A發(fā)送ARP欺騙包(ARP應(yīng)答包)給B,告訴B:我(A)是網(wǎng)關(guān)���,你把訪問(wèn)外網(wǎng)的數(shù)據(jù)發(fā)給我(A)吧����!ARP欺騙包如下:
SrcIP: 192.168.1.1 ,SrcMAC:11-11-11-11-11-11
DstIP: 192.168.1.77 ���,DstMAC:77-77-77-77-77-77
3).A發(fā)送ARP欺騙包(ARP應(yīng)答包)給網(wǎng)關(guān)�����,告訴網(wǎng)關(guān):我(A)是機(jī)器B�����,結(jié)果網(wǎng)關(guān)把所有給B的數(shù)據(jù)都發(fā)到A那里了���。ARP欺騙包如下:
SrcIP: 192.168.1. 77,SrcMAC:11-11-11-11-11-11
DstIP: 192.168.1. 1�,DstMAC:01-01-01-01-01-01
4).機(jī)器A有一個(gè)輔助用的轉(zhuǎn)發(fā)軟件,它負(fù)責(zé)把“網(wǎng)關(guān)->B”和“B->網(wǎng)關(guān)”的數(shù)據(jù)包轉(zhuǎn)發(fā)�。
至此,ARP欺騙的輔助任務(wù)完成了�����,接下來(lái)就是用你的嗅探器進(jìn)行偷窺了~噢~哈哈�����!
這里有幾點(diǎn)值得注意一下的:
1).ARP欺騙包每隔一段時(shí)間要發(fā)一次��,否則網(wǎng)關(guān)和B的ARP緩存會(huì)更新�!
2).ARP欺騙完成后,網(wǎng)關(guān)的ARP記錄會(huì)有兩記錄的MAC地址是相同的���,分別是:192.168.1.11(11-11-11-11-11-11)和192.168.1.77(11-11-11-11-11-11)���,這樣可能會(huì)比較明顯,嗯~可以把A自己在網(wǎng)關(guān)的ARP緩存改了:192.168.1.11(01-10-01-10-01-10�,亂寫一個(gè)),但這樣會(huì)有兩個(gè)問(wèn)題:一個(gè)是這個(gè)MAC是亂寫的�,局域網(wǎng)內(nèi)根本沒(méi)有這個(gè)MAC地址的機(jī)器,根據(jù)交換機(jī)的工作原理�����,網(wǎng)關(guān)發(fā)給192.168.1.11這IP的機(jī)器的數(shù)據(jù)將會(huì)被廣播�。第二個(gè)是,此刻你(A)的正常與外界通信的能力將會(huì)喪失��������?梢詸(quán)衡考慮一下�����。
以前的一篇文章《ARP攻擊實(shí)戰(zhàn)之WinArpAttacker》�����,里面所使用的ARP攻擊工具:"WinArpAttacker"�,它就有利用這種原理進(jìn)行嗅探的功能,見(jiàn)下圖:
交換機(jī)網(wǎng)絡(luò)嗅探方法中用ARP欺騙輔助嗅探的方式就為大家敘述完了��,如果讀者想了解其他的方法請(qǐng)閱讀:
交換機(jī)網(wǎng)絡(luò)嗅探方法之欺騙交換機(jī)緩存
本文出自:億恩科技【mszdt.com】
服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)����!虛擬主機(jī)域名注冊(cè)頂級(jí)提供商�!15年品質(zhì)保障!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國(guó)服務(wù)器租用
電信骨干機(jī)房
聯(lián)通骨干機(jī)房
0371-60135900
