[讨论]arp欺骗得出一个结论

arp, 结论, 欺骗, 讨论

[讨论]arp欺骗得出一个结论
议题作者：lubay
信息来源：邪恶八进制信息安全团队（www.eviloctal.com）

常在局域网环境中，我们都是通过交换环境的网关上网的，在交换环境中使用NetXray或者NAI Sniffer一类的嗅探工具除了抓到自己的包以外，是不能看到其他主机的网络通信的。但是我们可以通过利用ARP欺骗可以实现Sniffer的目的。ARP协议是将IP解析为MAC地址的协议，局域网中的通信都是基于MAC的。今天我们谈谈小榕的监听工具ARPSniffer（可以在http://www.netxeyes.com/ARPSniffer.exe下载）的使用方法。
一、先让我们了解这个软件ARPSniffer 0.5，08月12日发布的，基于交换环境的Sniffer工具（注意：需要安装WINPCAP 2.1驱动）
1、修正了ARP报文的问题，原来版本的ARP报文存在BUG，会出现丢包或者ARP欺骗不成功的现象。
2、可以指定嗅探的网卡。
3、包含了IPRouter的功能，不依靠于系统，也不用修改注册表。
二、我所在的交换环境及原理简介
我们知道在局域网中所有的主机都是靠网关与外界通信的（如图一），例如我所在的局域网中192.168.0.132和192.168.0.131都是通过网关192.168.0.1上网的，我要攻击者的系统为192.168.0.132（也就是我的系统），他希望听到192.168.0.131的通信，那么我们就可以利用ARP欺骗实现。实现方法如下：
1、首先告诉192.168.0.131，网关192.168.0.1的MAC地址是192.168.0.132
2、告诉192.168.0.1，192.168.0.131的MAC地址是192.168.0.132。
　　这样192.168.0.131和192.168.0.1之间的数据包，就会发给192.168.0.132，也就是攻击者的机器，这样就可以听到会话了。但是这么做的有一个问题，192.168.0.131发现自己不能上网了，因为原来发给192.168.0.1的数据包都被192.168.0.132接收了，而并没有发给网关192.168.0.1。这时候192.168.0.132设置一个包转发的东西就可以解决这个问题了，也就是从192.168.0.131收到的包转发给192.168.0.1，在把从192.168.0.1收到的包发给192.168.0.131。这样192.168.0.29根本就不会意识到自己被监听了，但小榕的这个工具没有这个功能，当捕获结束后，192.168.0.131会在一段时间内无法上网（因为它的ARP表还没有改过来），这个时候可以发一个／RESET来恢复，这样192.168.0.131就可以正常上网了。

以下是100M的网卡
复制内容到剪贴板
代码:
c:> ARPSniffer
ARPSniffer 0.5 (Router Inside), by netXeyes, Special Thanks BB
netXeyes.com 2002, security@vip.sina.com
Network Adapter 0: Realtek RTL8139(A/B/C/8130) PCI Fast Ethernet NIC
Usage: ArpSniffer <IP1> <IP2> <Sniffer TCP Port> <LogFile> <NetAdp> [/RESET]
以下是1000M的网卡
复制内容到剪贴板
代码:
ARPSniffer 0.5 (Router Inside), by netXeyes, Special Thanks BB
netXeyes.com 2002, security@vip.sina.com

Usage: ArpSniffer <IP1> <IP2> <Sniffer TCP Port> <LogFile> <NetAdp> [/RESET]
大家看出100M网卡和1000M网卡有什么不同嘛？
得出的结论目前ARP欺骗只能用于100M网卡而不能用于1000M网卡上欺骗，尽管你装什么版本的WINPCAP的驱动都是无法在1000M网卡欺骗，通宵得出的结论，以后大家要ARP欺骗先看清网卡是多少M的网卡。另外COMMVIEW这个欺骗也是很不错的工具，需要大家去研究。。。