标题:
[讨论]arp欺骗得出一个结论
[打印本页]
作者:
虚竹
时间:
2008-7-24 17:24
标题:
[讨论]arp欺骗得出一个结论
[讨论]arp欺骗得出一个结论
议题作者:lubay
信息来源:邪恶八进制信息安全团队(
www.eviloctal.com
)
常在局域网环境中,我们都是通过交换环境的网关上网的,在交换环境中使用NetXray或者NAI Sniffer一类的嗅探工具除了抓到自己的包以外,是不能看到其他主机的网络通信的。 但是我们可以通过利用ARP欺骗可以实现Sniffer的目的。ARP协议是将IP解析为MAC地址的协议,局域网中的通信都是基于MAC的。今天我们谈谈小榕的监听工具ARPSniffer(可以在
http://www.netxeyes.com/ARPSniffer.exe
下载)的使用方法。
一、先让我们了解这个软件ARPSniffer 0.5,08月12日发布的,基于交换环境的Sniffer工具(注意:需要安装WINPCAP 2.1驱动)
1、修正了ARP报文的问题,原来版本的ARP报文存在BUG,会出现丢包或者ARP欺骗不成功的现象。
2、可以指定嗅探的网卡。
3、包含了IPRouter的功能,不依靠于系统,也不用修改注册表。
二、我所在的交换环境及原理简介
我们知道在局域网中所有的主机都是靠网关与外界通信的(如图一),例如我所在的局域网中192.168.0.132和192.168.0.131都是通过网关192.168.0.1上网的,我要攻击者的系统为192.168.0.132(也就是我的系统),他希望听到192.168.0.131的通信,那么我们就可以利用ARP欺骗实现。实现方法如下:
1、 首先告诉192.168.0.131,网关192.168.0.1的MAC地址是192.168.0.132
2、 告诉192.168.0.1,192.168.0.131的MAC地址是192.168.0.132。
这样192.168.0.131和192.168.0.1之间的数据包,就会发给192.168.0.132,也就是攻击者的机器,这样就可以听到会话了。但是这么做的有一个问题,192.168.0.131发现自己不能上网了,因为原来发给192.168.0.1的数据包都被192.168.0.132接收了,而并没有发给网关192.168.0.1。 这时候192.168.0.132设置一个包转发的东西就可以解决这个问题了,也就是从192.168.0.131收到的包转发给192.168.0.1,在把从192.168.0.1收到的包发给192.168.0.131。这样192.168.0.29根本就不会意识到自己被监听了,但小榕的这个工具没有这个功能,当捕获结束后,192.168.0.131会在一段时间内无法上网(因为它的ARP表还没有改过来),这个时候可以发一个/RESET来恢复,这样192.168.0.131就可以正常上网了。
以下是100M的网卡
复制内容到剪贴板
代码:
c:> ARPSniffer
ARPSniffer 0.5 (Router Inside), by netXeyes, Special Thanks BB
netXeyes.com 2002,
security@vip.sina.com
Network Adapter 0: Realtek RTL8139(A/B/C/8130) PCI Fast Ethernet NIC
Usage: ArpSniffer <IP1> <IP2> <Sniffer TCP Port> <LogFile> <NetAdp> [/RESET]
以下是1000M的网卡
复制内容到剪贴板
代码:
ARPSniffer 0.5 (Router Inside), by netXeyes, Special Thanks BB
netXeyes.com 2002,
security@vip.sina.com
Usage: ArpSniffer <IP1> <IP2> <Sniffer TCP Port> <LogFile> <NetAdp> [/RESET]
大家看出100M网卡和1000M网卡有什么不同嘛?
得出的结论目前ARP欺骗只能用于100M网卡而不能用于1000M网卡上欺骗,尽管你装什么版本的WINPCAP的驱动都是无法在1000M网卡欺骗,通宵得出的结论,以后大家要ARP欺骗先看清网卡是多少M的网卡。另外COMMVIEW这个欺骗也是很不错的工具,需要大家去研究。。。
帖子6 精华
4
积分58 阅读权限40 在线时间4 小时 注册时间2005-12-10 最后登录2006-9-17
查看详细资料
TOP
良辰择日,预测咨询,公司改名,权威易经
混世魔王
荣誉会员
作者:
青蛙
时间:
2008-7-24 17:24
完全是胡说八道
欺骗和网卡速率有什么关系?取保候审中........
帖子181 精华
10
积分3720 阅读权限100 性别男 在线时间88 小时 注册时间2005-3-12 最后登录2008-6-19
查看详细资料
TOP
让女孩一夜变的更有女人味
ttfct
荣誉会员
作者:
福仔
时间:
2008-7-24 17:24
此结论不对
安装的驱动有问题,照样得出以下的情况:
ARPSniffer 0.5 (Router Inside), by netXeyes, Special Thanks BB
netXeyes.com 2002,
security@vip.sina.com
Usage: ArpSniffer <IP1> <IP2> <Sniffer TCP Port> <LogFile> <NetAdp> [/RESET]TTFCT http://WWW.TTFCT.COM
帖子279 精华
4
积分4349 阅读权限100 性别男 在线时间111 小时 注册时间2006-2-13 最后登录2008-7-20
查看详细资料
TOP
让女孩一夜变的更有女人味
memory
晶莹剔透§烈日灼然
作者:
醉鞭名马
时间:
2008-7-24 17:24
昨天刚用ARPSniffer得到一个大站的FTP
我也试过很多肉鸡都不会出现网卡,这个问题值得深刻讨论一下,到底是不是驱动的问题呢?
帖子5 精华
0
积分17 阅读权限40 在线时间8 小时 注册时间2005-2-6 最后登录2008-6-3
查看详细资料
TOP
又一天 该用户已被删除 地板 大 中 小 发表于 2006-6-7 18:36
只看该作者
提示: 作者被禁止或删除 内容自动屏蔽
TOP
让女孩一夜变的更有女人味
混世魔王
荣誉会员
作者:
jilang
时间:
2008-7-24 17:24
接触ARP嗅探03年的时候.取保候审中........
帖子181 精华
10
积分3720 阅读权限100 性别男 在线时间88 小时 注册时间2005-3-12 最后登录2008-6-19
查看详细资料
TOP
良辰择日,预测咨询,公司改名,权威易经
hack520
运维管理组
作者:
前徐K神
时间:
2008-7-24 17:24
[s:75] 楼猪胡说八道。谁说1000M的网卡不能进行arpsniffer? 你装不上驱动就结论1000M网卡不行?
ARPSniffer 0.5 (Router Inside), by netXeyes, Special Thanks BB
netXeyes.com 2002,
security@vip.sina.com
Usage: ArpSniffer <IP1> <IP2> <Sniffer TCP Port> <LogFile> <NetAdp> [/RESET]
这是驱动没装好。。。你滴明白?装驱动是有技巧的。。关于这个我就不多说什么自己看以前讨论ARP欺骗的文章去。。Www.China-Mu.Co.Kr 猪毛奇迹 1.02Q 将带给你无比的震撼。
帖子1082 精华
6
积分5597 阅读权限150 性别男 在线时间576 小时 注册时间2005-3-18 最后登录2008-7-2
查看个人网站
查看详细资料
TOP
让女孩一夜变的更有女人味
softbug
技术核心组
作者:
独寻醉
时间:
2008-7-24 17:24
ARPSniffer 我已经不再用这个垃圾软件了
fking写了个还不错 建议大家去下 xfocus论坛地址: http://www.ssk2.cn & www.iisuser.com
帖子287 精华
14
积分6821 阅读权限200 性别男 在线时间96 小时 注册时间2005-1-7 最后登录2008-7-22
查看个人网站
查看详细资料
TOP
memory
晶莹剔透§烈日灼然
作者:
醉鞭名马
时间:
2008-7-24 17:24
请问楼上fking写的软件名字是什么,我去安焦没有找到fking提交的软件
另外今天在一台肉鸡上嗅探出先了下面的情况
ARPSniffer 0.5 (Router Inside), by netXeyes, Special Thanks BB
www.netXeyes.com
2002,
security@vip.sina.com
Can'nt Detect Network Adapter.
提示找不到网络网络适配器
是不是使用了静态arp表?
帖子5 精华
0
积分17 阅读权限40 在线时间8 小时 注册时间2005-2-6 最后登录2008-6-3
查看详细资料
TOP
sniper
荣誉会员
作者:
MGM
时间:
2008-7-24 17:24
楼主胡说。至少我遇见过多次装不同版本驱动后有那个不同显示的。
讨论些别的好了,嘿嘿
例如安装好后欺骗成功,但是不转发,原因何在?
或者是安装好后,转发成功,80正常,但是目标FTP肯定要挂掉,又是为何?
另外4楼的观点我只同意一半,在internet上,任何情况都是可能的,虽然说有些大站,一个段都是他的,或者他就自己独立一个网关,这个情况的确有,但是arpsniffer在渗透有些时候在这种环境下,还是有作为的~~~
召唤牛人写一篇arpsniffer的总结性文章出来,哈哈
帖子92 精华
4
积分3212 阅读权限100 在线时间106 小时 注册时间2004-11-26 最后登录2008-5-5
查看详细资料
TOP
netwatch
晶莹剔透§烈日灼然
作者:
newdeng
时间:
2008-7-24 17:24
LZ 找不到适配器不是软件不支持就是驱动有问题。
arp欺骗在局域网中还是很讨厌的,一颗老鼠屎可以坏一锅粥,现在有些软件如:网络执行管、聚生网管、网络剪刀手等就是使用arp欺骗来控制局域网内其他机器是否能上网。
帖子99 精华
0
积分191 阅读权限40 性别男 在线时间76 小时 注册时间2006-5-24 最后登录2008-6-4
查看详细资料
TOP
starky
晶莹剔透§烈日灼然
作者:
发现者
时间:
2008-7-24 17:24
arp 欺骗应该跟网卡的传输速率没有关系的啊 其实ARP 欺骗在局域网中很讨厌的向大家学习!共同进步
帖子5 精华
0
积分20 阅读权限40 性别男 在线时间2 小时 注册时间2006-5-1 最后登录2007-5-8
查看详细资料
TOP
tt2004
晶莹剔透§烈日灼然
作者:
南风
时间:
2008-7-24 17:24
[s:73] 怪不得我经常在内网被人搞,IP帮定MAC都抗不过去 [s:81]
帖子1 精华
0
积分6 阅读权限40 在线时间0 小时 注册时间2005-12-8 最后登录2006-7-15
查看个人网站
查看详细资料
TOP
血饮
晶莹剔透§烈日灼然
作者:
老猫
时间:
2008-7-24 17:24
局部网的绑定网卡吧,不然那东西真的害了不少人.饮血刀,血饮剑
帖子37 精华
0
积分21 阅读权限40 性别男 来自广西柳州 在线时间5 小时 注册时间2006-9-19 最后登录2006-9-28
查看详细资料
TOP
tlhelen
晶莹剔透§烈日灼然
作者:
dghgs
时间:
2008-7-24 17:24
看了一下,使我想到了传奇木马。
帖子19 精华
0
积分57 阅读权限40 在线时间51 小时 注册时间2005-10-18 最后登录2008-3-24
查看详细资料
TOP
mgmg
晶莹剔透§烈日灼然
作者:
大圣
时间:
2008-7-24 17:24
ip绑定mac以后,你伪造网关是不起作用的,
帖子20 精华
0
积分72 阅读权限40 性别男 在线时间3 小时 注册时间2005-12-27 最后登录2008-4-26
查看详细资料
TOP
leehomhack
晶莹剔透§烈日灼然
作者:
小乖
时间:
2008-7-24 17:25
从前感觉楼主说的和我情况一样
100M的网卡用arpsniffer有时候不能用,换下wincap版本驱动就可以了
但是1000m网卡,怎么装wincap驱动都不可以````
但是后来发现3.0驱动装上后,重启就可以了
Network Adapter 0: Intel(R) PRO/1000 MT Network Connection
这个就是完全可以的
帖子8 精华
0
积分27 阅读权限40 在线时间14 小时 注册时间2007-2-2 最后登录2007-7-9
查看详细资料
TOP
刘的林
晶莹剔透§烈日灼然
作者:
BHY
时间:
2008-7-24 17:25
我同意
ARPSniffer这玩意有的时候确实不稳定..
上次搞个我们地区G0vernment的服务器。想ARPSniffer结果。。。。。服务器连不上了..估计宕机了..
那次可吓死我了...
现在登录3389就cain。。。实在不行就放弃..我可不敢在用ARPSnifferωǒ會學著放棄你ゞ是因爲ωǒ太じovの你..
帖子36 精华
0
积分105 阅读权限40 性别男 来自枣庄 在线时间24 小时 注册时间2007-6-2 最后登录2008-4-26
查看个人网站
查看详细资料
TOP
achillis
晶莹剔透§烈日灼然
作者:
粟米
时间:
2008-7-24 17:25
个人觉得小榕的这个ARPsniffer有点老了,2002年的啊.
最近不是有arpsproof,arpsf,zxarps吗?Cain也是不错的.学习中.......
帖子54 精华
0
积分194 阅读权限40 性别男 在线时间12 小时 注册时间2006-9-10 最后登录2008-7-18
查看详细资料
TOP
udbkl
晶莹剔透§烈日灼然
作者:
有心人
时间:
2008-7-24 17:25
这个说法新鲜,倒是第一次听说。不过觉得没一点道理。因为你要知道ARP的原理,你就知道你自己说的一点都没有道理了。ARP欺骗分2种情况,一种是通过假装网关欺骗大部分机器,这样机器访问不了正确的网关而导致上不了网,另外一种是欺骗路由器,把很多假地址发给路由,路由发的数据就到不了真正的地址,导致机器上不了网。这2个过程跟网速有关?
帖子5 精华
0
积分11 阅读权限40 性别男 在线时间5 小时 注册时间2007-6-22 最后登录2008-4-3
查看详细资料
TOP
corpse0
晶莹剔透§烈日灼然
作者:
ccbi8888
时间:
2008-7-24 17:25
完全在ARP的协议和MAC上的原理,
你没弄清.
帖子2 精华
0
积分9 阅读权限40 在线时间3 小时 注册时间2007-6-28 最后登录2007-7-31
查看详细资料
TOP
bandit.
晶莹剔透§烈日灼然
作者:
mai76
时间:
2008-7-24 17:25
樓主...鬍說八道
ARP嗅探現在人人都會了..
帖子1 精华
0
积分6 阅读权限40 性别男 在线时间6 小时 注册时间2007-2-2 最后登录2008-3-23
查看详细资料
TOP
cnhawk
晶莹剔透§烈日灼然
作者:
肥鹏
时间:
2008-7-24 17:25
现在很多这些工具都是流量一大就完蛋
帖子24 精华
0
积分79 阅读权限40 在线时间60 小时 注册时间2004-12-31 最后登录2008-7-1
查看详细资料
TOP
pxue
晶莹剔透§烈日灼然
作者:
上帝之吻
时间:
2008-7-24 17:25
不关网卡的事。。。前年 去年流行过一阵
现在人都开始防范了 基本没用了
帖子3 精华
0
积分13 阅读权限40 在线时间0 小时 注册时间2006-7-2 最后登录2008-2-2
查看详细资料
TOP
back_fish
晶莹剔透§烈日灼然
欢迎光临 【3.A.S.T】网络安全爱好者 (http://3ast.com/)
Powered by Discuz! 7.2