我要评论嗅探在集线器盛行的年代可简单实现
你什么事情都不用干,集线器自动会把别人的数据包往你机器上发。但是那个年代已经过去了,现在交换机已经代替集线器成为组建局域网的重要设备,而交换机不会再把不属于你的包转发给你,你也不能再轻易地监听别人的信息了,注意,只是不再轻易地,不是不行!呵呵,要在交换机网络下做嗅探还是有方法的,接下来为大家介绍交换机网络嗅探方法中用arp欺骗辅助嗅探。
基于arp欺骗的嗅探技术
以前搞arp攻击没什么意思,它顶多就是把一些机器搞得不能上网,真的没啥意思,但自从交换机成为架设局域网的主流设备后,arp攻击有了新的用途:用arp欺骗辅助嗅探!原理很简单,先看看下面两幅图:
上图是正常通信时,两台机器数据流向。下图是b被a机器arp欺骗后,两台机器的数据流向,着重看右图,b被arp欺骗后,数据的流向改变了,数据先是发给了a,然后再由a转发给网关;而从网关接收数据时,网关直接把发给b的数据转发给了a,再由a转发给b,而a的自己的数据流向是正常的。现在b的数据全部要流经a,如果a要监听b是易于反掌的事情了。
再简单说说这个arp欺骗的过程吧,也就是怎么实现改变b的数据流向:
1).现在架设a的ip地址是192.168.1.11,mac地址是:11-11-11-11-11-11;b的ip地址是192.168.1.77,mac地址是77-77-77-77-77-77;网关ip地址是192.168.1.1,mac地址是:01-01-01-01-01-01。
2).a发送arp欺骗包(arp应答包)给b,告诉b:我(a)是网关,你把访问外网的数据发给我(a)吧!arp欺骗包如下:
srcip: 192.168.1.1 ,srcmac:11-11-11-11-11-11
dstip: 192.168.1.77 ,dstmac:77-77-77-77-77-77
3).a发送arp欺骗包(arp应答包)给网关,告诉网关:我(a)是机器b,结果网关把所有给b的数据都发到a那里了。arp欺骗包如下:
srcip: 192.168.1. 77,srcmac:11-11-11-11-11-11
dstip: 192.168.1. 1,dstmac:01-01-01-01-01-01
4).机器a有一个辅助用的转发软件,它负责把“网关->b”和“b->网关”的数据包转发。
至此,arp欺骗的辅助任务完成了,接下来就是用你的嗅探器进行偷窥了~噢~哈哈!
这里有几点值得注意一下的:
1).arp欺骗包每隔一段时间要发一次,否则网关和b的arp缓存会更新!
2).arp欺骗完成后,网关的arp记录会有两记录的mac地址是相同的,分别是:192.168.1.11(11-11-11-11-11-11)和192.168.1.77(11-11-11-11-11-11),这样可能会比较明显,嗯~可以把a自己在网关的arp缓存改了:192.168.1.11(01-10-01-10-01-10,乱写一个),但这样会有两个问题:一个是这个mac是乱写的,局域网内根本没有这个mac地址的机器,根据交换机的工作原理,网关发给192.168.1.11这ip的机器的数据将会被广播。第二个是,此刻你(a)的正常与外界通信的能力将会丧失。可以权衡考虑一下。
交换机网络嗅探方法中用arp欺骗辅助嗅探的方式就为大家叙述完了,希望对大家的学习有所帮助。
您可能感兴趣的文章:
如您对本文有疑问或者有任何想说的,请点击进行留言回复,万千网友为您解惑!
网友评论