[讨论]arp欺骗得出一个结论 arp, 结论, 欺骗, 讨论

虚竹

[讨论]arp欺骗得出一个结论
议题作者：lubay
信息来源：邪恶八进制信息安全团队（www.eviloctal.com）

常在局域网环境中，我们都是通过交换环境的网关上网的，在交换环境中使用NetXray或者NAI Sniffer一类的嗅探工具除了抓到自己的包以外，是不能看到其他主机的网络通信的。 但是我们可以通过利用ARP欺骗可以实现Sniffer的目的。ARP协议是将IP解析为MAC地址的协议，局域网中的通信都是基于MAC的。今天我们谈谈小榕的监听工具ARPSniffer（可以在http://www.netxeyes.com/ARPSniffer.exe下载）的使用方法。
一、先让我们了解这个软件ARPSniffer 0.5，08月12日发布的，基于交换环境的Sniffer工具（注意：需要安装WINPCAP 2.1驱动）
1、修正了ARP报文的问题，原来版本的ARP报文存在BUG，会出现丢包或者ARP欺骗不成功的现象。
2、可以指定嗅探的网卡。
3、包含了IPRouter的功能，不依靠于系统，也不用修改注册表。
二、我所在的交换环境及原理简介
我们知道在局域网中所有的主机都是靠网关与外界通信的（如图一），例如我所在的局域网中192.168.0.132和192.168.0.131都是通过网关192.168.0.1上网的，我要攻击者的系统为192.168.0.132（也就是我的系统），他希望听到192.168.0.131的通信，那么我们就可以利用ARP欺骗实现。实现方法如下：
1、 首先告诉192.168.0.131，网关192.168.0.1的MAC地址是192.168.0.132
2、 告诉192.168.0.1，192.168.0.131的MAC地址是192.168.0.132。
　　这样192.168.0.131和192.168.0.1之间的数据包，就会发给192.168.0.132，也就是攻击者的机器，这样就可以听到会话了。但是这么做的有一个问题，192.168.0.131发现自己不能上网了，因为原来发给192.168.0.1的数据包都被192.168.0.132接收了，而并没有发给网关192.168.0.1。 这时候192.168.0.132设置一个包转发的东西就可以解决这个问题了，也就是从192.168.0.131收到的包转发给192.168.0.1，在把从192.168.0.1收到的包发给192.168.0.131。这样192.168.0.29根本就不会意识到自己被监听了，但小榕的这个工具没有这个功能，当捕获结束后，192.168.0.131会在一段时间内无法上网（因为它的ARP表还没有改过来），这个时候可以发一个／RESET来恢复，这样192.168.0.131就可以正常上网了。

以下是100M的网卡
复制内容到剪贴板
代码:
c:> ARPSniffer
ARPSniffer 0.5 (Router Inside), by netXeyes, Special Thanks BB
netXeyes.com 2002, security@vip.sina.com
Network Adapter 0: Realtek RTL8139(A/B/C/8130) PCI Fast Ethernet NIC
Usage: ArpSniffer <IP1> <IP2> <Sniffer TCP Port> <LogFile> <NetAdp> [/RESET]
以下是1000M的网卡
复制内容到剪贴板
代码:
ARPSniffer 0.5 (Router Inside), by netXeyes, Special Thanks BB
netXeyes.com 2002, security@vip.sina.com

Usage: ArpSniffer <IP1> <IP2> <Sniffer TCP Port> <LogFile> <NetAdp> [/RESET]
大家看出100M网卡和1000M网卡有什么不同嘛？
得出的结论目前ARP欺骗只能用于100M网卡而不能用于1000M网卡上欺骗，尽管你装什么版本的WINPCAP的驱动都是无法在1000M网卡欺骗，通宵得出的结论，以后大家要ARP欺骗先看清网卡是多少M的网卡。另外COMMVIEW这个欺骗也是很不错的工具，需要大家去研究。。。


帖子6 精华4 积分58 阅读权限40 在线时间4 小时 注册时间2005-12-10 最后登录2006-9-17 查看详细资料TOP 良辰择日，预测咨询，公司改名，权威易经

混世魔王
荣誉会员

上帝之吻

不关网卡的事。。。前年 去年流行过一阵

现在人都开始防范了 基本没用了
帖子3 精华0 积分13 阅读权限40 在线时间0 小时 注册时间2006-7-2 最后登录2008-2-2 查看详细资料TOP

back_fish
晶莹剔透§烈日灼然

肥鹏

现在很多这些工具都是流量一大就完蛋
帖子24 精华0 积分79 阅读权限40 在线时间60 小时 注册时间2004-12-31 最后登录2008-7-1 查看详细资料TOP

pxue
晶莹剔透§烈日灼然

mai76

樓主...鬍說八道

ARP嗅探現在人人都會了..
帖子1 精华0 积分6 阅读权限40 性别男 在线时间6 小时 注册时间2007-2-2 最后登录2008-3-23 查看详细资料TOP

cnhawk
晶莹剔透§烈日灼然

ccbi8888

完全在ARP的协议和MAC上的原理,
你没弄清.
帖子2 精华0 积分9 阅读权限40 在线时间3 小时 注册时间2007-6-28 最后登录2007-7-31 查看详细资料TOP

bandit.
晶莹剔透§烈日灼然

有心人

这个说法新鲜，倒是第一次听说。不过觉得没一点道理。因为你要知道ARP的原理，你就知道你自己说的一点都没有道理了。ARP欺骗分2种情况，一种是通过假装网关欺骗大部分机器，这样机器访问不了正确的网关而导致上不了网，另外一种是欺骗路由器，把很多假地址发给路由，路由发的数据就到不了真正的地址，导致机器上不了网。这2个过程跟网速有关？
帖子5 精华0 积分11 阅读权限40 性别男 在线时间5 小时 注册时间2007-6-22 最后登录2008-4-3 查看详细资料TOP

corpse0
晶莹剔透§烈日灼然

BHY

我同意
ARPSniffer这玩意有的时候确实不稳定..
上次搞个我们地区G0vernment的服务器。想ARPSniffer结果。。。。。服务器连不上了..估计宕机了..
那次可吓死我了...
现在登录3389就cain。。。实在不行就放弃..我可不敢在用ARPSnifferωǒ會學著放棄你ゞ是因爲ωǒ太じovの你..

帖子36 精华0 积分105 阅读权限40 性别男 来自枣庄 在线时间24 小时 注册时间2007-6-2 最后登录2008-4-26 查看个人网站
查看详细资料TOP

achillis
晶莹剔透§烈日灼然

粟米

个人觉得小榕的这个ARPsniffer有点老了,2002年的啊.
最近不是有arpsproof,arpsf,zxarps吗?Cain也是不错的.学习中.......

帖子54 精华0 积分194 阅读权限40 性别男 在线时间12 小时 注册时间2006-9-10 最后登录2008-7-18 查看详细资料TOP

udbkl
晶莹剔透§烈日灼然

小乖

从前感觉楼主说的和我情况一样
100M的网卡用arpsniffer有时候不能用,换下wincap版本驱动就可以了

但是1000m网卡,怎么装wincap驱动都不可以````

但是后来发现3.0驱动装上后,重启就可以了

Network Adapter 0: Intel(R) PRO/1000 MT Network Connection

这个就是完全可以的
帖子8 精华0 积分27 阅读权限40 在线时间14 小时 注册时间2007-2-2 最后登录2007-7-9 查看详细资料TOP

刘的林
晶莹剔透§烈日灼然

dghgs

看了一下，使我想到了传奇木马。
帖子19 精华0 积分57 阅读权限40 在线时间51 小时 注册时间2005-10-18 最后登录2008-3-24 查看详细资料TOP

mgmg
晶莹剔透§烈日灼然

大圣

ip绑定mac以后,你伪造网关是不起作用的,
帖子20 精华0 积分72 阅读权限40 性别男 在线时间3 小时 注册时间2005-12-27 最后登录2008-4-26 查看详细资料TOP

leehomhack
晶莹剔透§烈日灼然

老猫

局部网的绑定网卡吧,不然那东西真的害了不少人.饮血刀,血饮剑
帖子37 精华0 积分21 阅读权限40 性别男 来自广西柳州 在线时间5 小时 注册时间2006-9-19 最后登录2006-9-28 查看详细资料TOP

tlhelen
晶莹剔透§烈日灼然

南风

[s:73] 怪不得我经常在内网被人搞，IP帮定MAC都抗不过去 [s:81]
帖子1 精华0 积分6 阅读权限40 在线时间0 小时 注册时间2005-12-8 最后登录2006-7-15 查看个人网站
查看详细资料TOP

血饮
晶莹剔透§烈日灼然

发现者

arp 欺骗应该跟网卡的传输速率没有关系的啊  其实ARP 欺骗在局域网中很讨厌的向大家学习!共同进步

帖子5 精华0 积分20 阅读权限40 性别男 在线时间2 小时 注册时间2006-5-1 最后登录2007-5-8 查看详细资料TOP

tt2004
晶莹剔透§烈日灼然

MGM

楼主胡说。至少我遇见过多次装不同版本驱动后有那个不同显示的。
讨论些别的好了，嘿嘿
例如安装好后欺骗成功，但是不转发，原因何在？
或者是安装好后，转发成功，80正常，但是目标FTP肯定要挂掉，又是为何？
另外4楼的观点我只同意一半，在internet上，任何情况都是可能的，虽然说有些大站，一个段都是他的，或者他就自己独立一个网关，这个情况的确有，但是arpsniffer在渗透有些时候在这种环境下，还是有作为的~~~

召唤牛人写一篇arpsniffer的总结性文章出来，哈哈
帖子92 精华4 积分3212 阅读权限100 在线时间106 小时 注册时间2004-11-26 最后登录2008-5-5 查看详细资料TOP

netwatch
晶莹剔透§烈日灼然

newdeng

LZ 找不到适配器不是软件不支持就是驱动有问题。

arp欺骗在局域网中还是很讨厌的，一颗老鼠屎可以坏一锅粥，现在有些软件如：网络执行管、聚生网管、网络剪刀手等就是使用arp欺骗来控制局域网内其他机器是否能上网。
帖子99 精华0 积分191 阅读权限40 性别男 在线时间76 小时 注册时间2006-5-24 最后登录2008-6-4 查看详细资料TOP

starky
晶莹剔透§烈日灼然

醉鞭名马

请问楼上fking写的软件名字是什么，我去安焦没有找到fking提交的软件

另外今天在一台肉鸡上嗅探出先了下面的情况

ARPSniffer 0.5 (Router Inside), by netXeyes, Special Thanks BB
www.netXeyes.com 2002, security@vip.sina.com
Can&#39;nt Detect Network Adapter.

提示找不到网络网络适配器

是不是使用了静态arp表？
帖子5 精华0 积分17 阅读权限40 在线时间8 小时 注册时间2005-2-6 最后登录2008-6-3 查看详细资料TOP

sniper
荣誉会员

前徐Ｋ神

[s:75] 楼猪胡说八道。谁说1000M的网卡不能进行arpsniffer? 你装不上驱动就结论1000M网卡不行？
ARPSniffer 0.5 (Router Inside), by netXeyes, Special Thanks BB
netXeyes.com 2002, security@vip.sina.com

Usage: ArpSniffer <IP1> <IP2> <Sniffer TCP Port> <LogFile> <NetAdp> [/RESET]

这是驱动没装好。。。你滴明白？装驱动是有技巧的。。关于这个我就不多说什么自己看以前讨论ARP欺骗的文章去。。Www.China-Mu.Co.Kr 猪毛奇迹 1.02Q 将带给你无比的震撼。
帖子1082 精华6 积分5597 阅读权限150 性别男 在线时间576 小时 注册时间2005-3-18 最后登录2008-7-2 查看个人网站
查看详细资料TOP 让女孩一夜变的更有女人味

softbug
技术核心组

独寻醉

ARPSniffer 我已经不再用这个垃圾软件了

fking写了个还不错 建议大家去下 xfocus论坛地址: http://www.ssk2.cn & www.iisuser.com
帖子287 精华14 积分6821 阅读权限200 性别男 在线时间96 小时 注册时间2005-1-7 最后登录2008-7-22 查看个人网站
查看详细资料TOP

memory
晶莹剔透§烈日灼然

jilang

接触ARP嗅探03年的时候.取保候审中........

帖子181 精华10 积分3720 阅读权限100 性别男 在线时间88 小时 注册时间2005-3-12 最后登录2008-6-19 查看详细资料TOP 良辰择日，预测咨询，公司改名，权威易经

hack520
运维管理组