嗅探在集線器盛行的年代可簡(jiǎn)單實(shí)現(xiàn)

你什么事情都不用干，集線器自動(dòng)會(huì)把別人的數(shù)據(jù)包往你機(jī)器上發(fā)。但是那個(gè)年代已經(jīng)過(guò)去了，現(xiàn)在交換機(jī)已經(jīng)代替集線器成為組建局域網(wǎng)的重要設(shè)備，而交換機(jī)不會(huì)再把不屬于你的包轉(zhuǎn)發(fā)給你，你也不能再輕易地監(jiān)聽(tīng)別人的信息了（不熟悉集線器和交換工作原理的朋友可以閱讀文章《網(wǎng)絡(luò)基礎(chǔ)知識(shí)：集線器、網(wǎng)橋和交換機(jī)》），注意，只是不再輕易地，不是不行！呵呵，要在交換機(jī)網(wǎng)絡(luò)下做嗅探還是有方法的，接下來(lái)為大家介紹交換機(jī)網(wǎng)絡(luò)嗅探方法中用ARP欺騙輔助嗅探

基于ARP欺騙的嗅探技術(shù)（對(duì)ARP攻擊不熟悉可以閱讀：《網(wǎng)絡(luò)協(xié)議基礎(chǔ)：ARP簡(jiǎn)析》，《ARP攻擊實(shí)戰(zhàn)之WinArpAttacker》）

以前搞ARP攻擊沒(méi)什么意思，它頂多就是把一些機(jī)器搞得不能上網(wǎng)，真的沒(méi)啥意思，但自從交換機(jī)成為架設(shè)局域網(wǎng)的主流設(shè)備后，ARP攻擊有了新的用途：用ARP欺騙輔助嗅探！原理很簡(jiǎn)單，先看看下面兩幅圖：

左圖是正常通信時(shí)，兩臺(tái)機(jī)器數(shù)據(jù)流向。右圖是B被A機(jī)器ARP欺騙后，兩臺(tái)機(jī)器的數(shù)據(jù)流向，著重看右圖，B被ARP欺騙后，數(shù)據(jù)的流向改變了，數(shù)據(jù)先是發(fā)給了A，然后再由A轉(zhuǎn)發(fā)給網(wǎng)關(guān)；而從網(wǎng)關(guān)接收數(shù)據(jù)時(shí)，網(wǎng)關(guān)直接把發(fā)給B的數(shù)據(jù)轉(zhuǎn)發(fā)給了A，再由A轉(zhuǎn)發(fā)給B，而A的自己的數(shù)據(jù)流向是正常的?，F(xiàn)在B的數(shù)據(jù)全部要流經(jīng)A，如果A要監(jiān)聽(tīng)B是易于反掌的事情了。

再簡(jiǎn)單說(shuō)說(shuō)這個(gè)ARP欺騙的過(guò)程吧，也就是怎么實(shí)現(xiàn)改變B的數(shù)據(jù)流向：

1).現(xiàn)在架設(shè)A的IP地址是192.168.1.11，MAC地址是:11-11-11-11-11-11；B的IP地址是192.168.1.77，MAC地址是77-77-77-77-77-77；網(wǎng)關(guān)IP地址是192.168.1.1，MAC地址是:01-01-01-01-01-01。

2).A發(fā)送ARP欺騙包（ARP應(yīng)答包）給B，告訴B：我（A）是網(wǎng)關(guān)，你把訪問(wèn)外網(wǎng)的數(shù)據(jù)發(fā)給我（A）吧！ARP欺騙包如下：

SrcIP: 192.168.1.1 ，SrcMAC:11-11-11-11-11-11

DstIP: 192.168.1.77 ，DstMAC:77-77-77-77-77-77

3).A發(fā)送ARP欺騙包（ARP應(yīng)答包）給網(wǎng)關(guān)，告訴網(wǎng)關(guān)：我（A）是機(jī)器B，結(jié)果網(wǎng)關(guān)把所有給B的數(shù)據(jù)都發(fā)到A那里了。ARP欺騙包如下：

SrcIP: 192.168.1. 77，SrcMAC:11-11-11-11-11-11

DstIP: 192.168.1. 1，DstMAC:01-01-01-01-01-01

4).機(jī)器A有一個(gè)輔助用的轉(zhuǎn)發(fā)軟件，它負(fù)責(zé)把“網(wǎng)關(guān)->B”和“B->網(wǎng)關(guān)”的數(shù)據(jù)包轉(zhuǎn)發(fā)。

至此，ARP欺騙的輔助任務(wù)完成了，接下來(lái)就是用你的嗅探器進(jìn)行偷窺了～噢～哈哈！

這里有幾點(diǎn)值得注意一下的：

1).ARP欺騙包每隔一段時(shí)間要發(fā)一次，否則網(wǎng)關(guān)和B的ARP緩存會(huì)更新！

2).ARP欺騙完成后，網(wǎng)關(guān)的ARP記錄會(huì)有兩記錄的MAC地址是相同的，分別是:192.168.1.11（11-11-11-11-11-11）和192.168.1.77（11-11-11-11-11-11），這樣可能會(huì)比較明顯，嗯～可以把A自己在網(wǎng)關(guān)的ARP緩存改了：192.168.1.11（01-10-01-10-01-10，亂寫一個(gè)），但這樣會(huì)有兩個(gè)問(wèn)題：一個(gè)是這個(gè)MAC是亂寫的，局域網(wǎng)內(nèi)根本沒(méi)有這個(gè)MAC地址的機(jī)器，根據(jù)交換機(jī)的工作原理，網(wǎng)關(guān)發(fā)給192.168.1.11這IP的機(jī)器的數(shù)據(jù)將會(huì)被廣播。第二個(gè)是，此刻你（A）的正常與外界通信的能力將會(huì)喪失?？梢詸?quán)衡考慮一下。

以前的一篇文章《ARP攻擊實(shí)戰(zhàn)之WinArpAttacker》，里面所使用的ARP攻擊工具："WinArpAttacker"，它就有利用這種原理進(jìn)行嗅探的功能，見(jiàn)下圖：

交換機(jī)網(wǎng)絡(luò)嗅探方法中用ARP欺騙輔助嗅探的方式就為大家敘述完了，如果讀者想了解其他的方法請(qǐng)閱讀：

 交換機(jī)網(wǎng)絡(luò)嗅探方法之欺騙交換機(jī)緩存

【編輯推薦】

1. NetStumbler：免費(fèi)的Windows 802.11嗅探器
2. Kismet：一款超強(qiáng)的無(wú)線嗅探器
3. Tcpdump：最經(jīng)典的網(wǎng)絡(luò)監(jiān)控和數(shù)據(jù)捕獲嗅探器
4. 高手支招 如何發(fā)現(xiàn)和防止Sniffer嗅探器
5. 嗅探器實(shí)用工具介紹之NetXray