一、嗅探可以做什么？為什么需要嗅探？

嗅探(sniff)，就是竊聽(tīng)網(wǎng)絡(luò)上流經(jīng)的數(shù)據(jù)包，而數(shù)據(jù)包里面一般會(huì)包含很多重要的私隱信息，如：你正在訪問(wèn)什么網(wǎng)站，你的郵箱密碼是多少，你在和哪個(gè)MM聊QQ等等......而很多攻擊方式（如著名的會(huì)話劫持）都是建立在嗅探的基礎(chǔ)上的。

二、嗅探技術(shù)

在集線器盛行的年代，要做嗅探是件相當(dāng)簡(jiǎn)單的事情，你什么事情都不用干，集線器自動(dòng)會(huì)把別人的數(shù)據(jù)包往你機(jī)器上發(fā)。但是那個(gè)年代已經(jīng)過(guò)去了，現(xiàn)在交換機(jī)已經(jīng)代替集線器成為組建局域網(wǎng)的重要設(shè)備，而交換機(jī)不會(huì)再把不屬于你的包轉(zhuǎn)發(fā)給你，你也不能再輕易地監(jiān)聽(tīng)別人的信息了，注意，只是不再輕易地，不是不行！呵呵，要在交換機(jī)網(wǎng)絡(luò)下做嗅探還是有方法的，接下來(lái)我總結(jié)一下最近看到的關(guān)于交換機(jī)網(wǎng)絡(luò)嗅探的一些方法:

1、基于ARP欺騙的嗅探技術(shù)

以前搞ARP攻擊沒(méi)什么意思，它頂多就是把一些機(jī)器搞得不能上網(wǎng)，真的沒(méi)啥意思，但自從交換機(jī)成為架設(shè)局域網(wǎng)的主流設(shè)備后，ARP攻擊有了新的用途：用ARP欺騙輔助嗅探！原理很簡(jiǎn)單，先看看下面兩幅圖：

左圖是正常通信時(shí)，兩臺(tái)機(jī)器數(shù)據(jù)流向。右圖是B被A機(jī)器ARP欺騙后，兩臺(tái)機(jī)器的數(shù)據(jù)流向，著重看右圖，B被ARP欺騙后，數(shù)據(jù)的流向改變了，數(shù)據(jù)先是發(fā)給了A，然后再由A轉(zhuǎn)發(fā)給網(wǎng)關(guān)；而從網(wǎng)關(guān)接收數(shù)據(jù)時(shí)，網(wǎng)關(guān)直接把發(fā)給B的數(shù)據(jù)轉(zhuǎn)發(fā)給了A，再由A轉(zhuǎn)發(fā)給B，而A的自己的數(shù)據(jù)流向是正常的?，F(xiàn)在B的數(shù)據(jù)全部要流經(jīng)A，如果A要監(jiān)聽(tīng)B是易于反掌的事情了。

再簡(jiǎn)單說(shuō)說(shuō)這個(gè)ARP欺騙的過(guò)程吧，也就是怎么實(shí)現(xiàn)改變B的數(shù)據(jù)流向：

1).現(xiàn)在架設(shè)A的IP地址是192.168.1.11，MAC地址是:11-11-11-11-11-11；B的IP地址是192.168.1.77，MAC地址是77-77-77-77-77-77；網(wǎng)關(guān)IP地址是192.168.1.1，MAC地址是:01-01-01-01-01-01。

2).A發(fā)送ARP欺騙包（ARP應(yīng)答包）給B，告訴B：我（A）是網(wǎng)關(guān)，你把訪問(wèn)外網(wǎng)的數(shù)據(jù)發(fā)給我（A）吧！ARP欺騙包如下：

SrcIP: 192.168.1.1 ，SrcMAC:11-11-11-11-11-11

DstIP: 192.168.1.77 ，DstMAC:77-77-77-77-77-77

3).A發(fā)送ARP欺騙包（ARP應(yīng)答包）給網(wǎng)關(guān)，告訴網(wǎng)關(guān)：我（A）是機(jī)器B，結(jié)果網(wǎng)關(guān)把所有給B的數(shù)據(jù)都發(fā)到A那里了。ARP欺騙包如下：

SrcIP: 192.168.1. 77，SrcMAC:11-11-11-11-11-11

DstIP: 192.168.1. 1，DstMAC:01-01-01-01-01-01

4).機(jī)器A有一個(gè)輔助用的轉(zhuǎn)發(fā)軟件，它負(fù)責(zé)把“網(wǎng)關(guān)->B”和“B->網(wǎng)關(guān)”的數(shù)據(jù)包轉(zhuǎn)發(fā)。

至此，ARP欺騙的輔助任務(wù)完成了，接下來(lái)就是用你的嗅探器進(jìn)行偷窺了～噢～哈哈！

這里有幾點(diǎn)值得注意一下的：

1).ARP欺騙包每隔一段時(shí)間要發(fā)一次，否則網(wǎng)關(guān)和B的ARP緩存會(huì)更新！

2).ARP欺騙完成后，網(wǎng)關(guān)的ARP記錄會(huì)有兩記錄的MAC地址是相同的，分別是:192.168.1.11（11-11-11-11-11-11）和192.168.1.77（11-11-11-11-11-11），這樣可能會(huì)比較明顯，嗯～可以把A自己在網(wǎng)關(guān)的ARP緩存改了：192.168.1.11（01-10-01-10-01-10，亂寫(xiě)一個(gè)），但這樣會(huì)有兩個(gè)問(wèn)題：一個(gè)是這個(gè)MAC是亂寫(xiě)的，局域網(wǎng)內(nèi)根本沒(méi)有這個(gè)MAC地址的機(jī)器，根據(jù)交換機(jī)的工作原理，網(wǎng)關(guān)發(fā)給192.168.1.11這IP的機(jī)器的數(shù)據(jù)將會(huì)被廣播。第二個(gè)是，此刻你（A）的正常與外界通信的能力將會(huì)喪失?？梢詸?quán)衡考慮一下。

以前的一篇文章《Arp攻擊實(shí)戰(zhàn)》，里面所使用的ARP攻擊工具："WinArpAttacker"，它就有利用這種原理進(jìn)行嗅探的功能，見(jiàn)下圖：

#p#

2、欺騙交換機(jī)緩存

用ARP欺騙輔助嗅探是一種比較舊的方式，現(xiàn)在的局域網(wǎng)機(jī)器很多都裝了ARP防火墻！如果機(jī)器裝了ARP防火墻，上面的嗅探方式就沒(méi)用了:<，那還有其他的方式嗎？嗯～有！那就是欺騙交換機(jī)緩存！

cncert的一個(gè)很出名的會(huì)話劫持工具SSCLONE就是采用這種方法進(jìn)行嗅探的，它的網(wǎng)站上也有專門(mén)的文章說(shuō)明“欺騙交換機(jī)緩存”的嗅探方法（見(jiàn)參考資料）。我在這里大概說(shuō)一下原理吧。

交換機(jī)里面有一張CAM表，記錄了Mac－Port信息（這個(gè)端口對(duì)應(yīng)的機(jī)器的MAC地址是什么），MAC信息的獲取是：交換機(jī)從轉(zhuǎn)發(fā)的數(shù)據(jù)包中提取。所謂欺騙交換機(jī)緩存，就是修改這張CAM表以達(dá)到欺騙交換機(jī)的目的！比如現(xiàn)在有一個(gè)4端口的交換機(jī)，它的CAM表如下：

port1 -- 11-11-11-11-11-11

port2 -- 22-22-22-22-22-22

port3 -- 33-33-33-33-33-33

port4 -- 44-44-44-44-44-44

現(xiàn)在port1的機(jī)器A（IP是192.168.1.11，MAC地址為11-11-11-11-11-11）想要嗅探port2的機(jī)器B（IP是192.168.1.22，MAC地址為22-22-22-22-22-22），怎么辦呢？呵呵～流程如下：

機(jī)器A對(duì)外發(fā)送一個(gè)數(shù)據(jù)包，如下：

SrcIP:192.168.1.11  ScrMac:22-22-22-22-22-22

DstIP:xxx.xxx.xxx.xxx（隨便寫(xiě)），DstMac:xx-xx-xx-xx-xx-xx（隨便寫(xiě)）

此時(shí)，交換機(jī)收到這個(gè)包，發(fā)現(xiàn)在原來(lái)CAM里面，port1對(duì)應(yīng)的機(jī)器MAC地址是11-11-11-11-11-11，怎么現(xiàn)在變?yōu)椋?2-22-22-22-22-22了呢？？哦，應(yīng)該是這臺(tái)機(jī)器的MAC地址變了吧～好！那我更新CAM表！

更新后的交換機(jī)CAM表如下：

port1 -- 22-22-22-22-22-22

port2 -- 22-22-22-22-22-22

port3 -- 33-33-33-33-33-33

port4 -- 44-44-44-44-44-44

現(xiàn)在有port1和port2對(duì)應(yīng)的MAC地址是一樣的。如果現(xiàn)在網(wǎng)關(guān)（假設(shè)現(xiàn)在port4連接的是網(wǎng)關(guān)）來(lái)了一個(gè)數(shù)據(jù)包是給機(jī)器B（IP是192.168.1.22，MAC地址為22-22-22-22-22-22），交換機(jī)會(huì)順序查詢此刻的CAM表來(lái)確定該數(shù)據(jù)包轉(zhuǎn)發(fā)去哪個(gè)端口！在查詢port1時(shí)，發(fā)現(xiàn)此端口對(duì)應(yīng)MAC地址和數(shù)據(jù)包里的MAC地址相同，交換機(jī)直接就把包轉(zhuǎn)發(fā)到port1的機(jī)器A了，由于該包已轉(zhuǎn)發(fā)完畢，交換機(jī)繼續(xù)處理下一個(gè)數(shù)據(jù)包......就這樣，數(shù)據(jù)包又再次落入充滿窺探欲望的人手中！

這里也需要注意幾個(gè)問(wèn)題：

1).A收到包后，還是需要轉(zhuǎn)發(fā)給B的，不然B和外面的對(duì)話就中斷了。

2).當(dāng)A把包轉(zhuǎn)發(fā)給B時(shí)，需要修復(fù)交換機(jī)的CAM表。

當(dāng)你看完以上這兩點(diǎn)注意時(shí)，可能會(huì)發(fā)現(xiàn)利用這種的一些缺陷：

1).A在轉(zhuǎn)發(fā)包給B時(shí)需要恢復(fù)CAM表，轉(zhuǎn)發(fā)后又要再次欺騙。如果在轉(zhuǎn)發(fā)包時(shí)，網(wǎng)關(guān)來(lái)了一個(gè)數(shù)據(jù)給B，此時(shí)的CAM表是正確的，交換機(jī)會(huì)把這個(gè)數(shù)據(jù)會(huì)直接發(fā)給B，A無(wú)法監(jiān)聽(tīng)到這個(gè)包，由于每次轉(zhuǎn)發(fā)都需要完成以上操作，導(dǎo)致CAM表刷新相當(dāng)頻繁，最后的結(jié)果是，A監(jiān)聽(tīng)到的數(shù)據(jù)很不完整。

2).你接的交換機(jī)的端口號(hào)決定著你的命運(yùn)！

如果B接的port1端口，A接的是port2端口，那么，用這種方式，A將永遠(yuǎn)也嗅探不到B的信息，更悲觀的想一下，如果你連接的是這個(gè)交換機(jī)最后一個(gè)端口呢？？！:<

3).跨交換機(jī)進(jìn)行嗅探丟包非常多！

看下圖：

現(xiàn)在交換機(jī)A連接交換機(jī)B的port1，機(jī)器C連接port2，如果沒(méi)有機(jī)器B的話，機(jī)器A還是能比較順利監(jiān)聽(tīng)機(jī)器到C的信息的，但是有了機(jī)器B就不同了，交換機(jī)的CAM表里port1這條記錄，會(huì)因?yàn)闄C(jī)器A和機(jī)器B的發(fā)包而經(jīng)常改變。導(dǎo)致的問(wèn)題大家也可以想到了。

現(xiàn)在，防止欺騙交換機(jī)緩存的方法只有在交換機(jī)處綁定port-mac這對(duì)信息，但由于這和交換機(jī)原先設(shè)計(jì)的理念有矛盾，故這個(gè)是無(wú)法實(shí)現(xiàn)的，也就是說(shuō)，沒(méi)有辦法防止:<

值得一說(shuō)的是，現(xiàn)在無(wú)線網(wǎng)已經(jīng)興起了，和集線器時(shí)代一樣，在無(wú)線網(wǎng)絡(luò)監(jiān)聽(tīng)別人的信息是不費(fèi)吹灰之力的事情，無(wú)線網(wǎng)的安全也值深思。