[讨论]arp欺骗得出一个结论
议题作者:lubay信息来源:邪恶八进制信息安全团队([url]www.eviloctal.com[/url])
常在局域网环境中,我们都是通过交换环境的网关上网的,在交换环境中使用NetXray或者NAI Sniffer一类的嗅探工具除了抓到自己的包以外,是不能看到其他主机的网络通信的。 但是我们可以通过利用ARP欺骗可以实现Sniffer的目的。ARP协议是将IP解析为MAC地址的协议,局域网中的通信都是基于MAC的。今天我们谈谈小榕的监听工具ARPSniffer(可以在[url]http://www.netxeyes.com/ARPSniffer.exe[/url]下载)的使用方法。
一、先让我们了解这个软件ARPSniffer 0.5,08月12日发布的,基于交换环境的Sniffer工具(注意:需要安装WINPCAP 2.1驱动)
1、修正了ARP报文的问题,原来版本的ARP报文存在BUG,会出现丢包或者ARP欺骗不成功的现象。
2、可以指定嗅探的网卡。
3、包含了IPRouter的功能,不依靠于系统,也不用修改注册表。
二、我所在的交换环境及原理简介
我们知道在局域网中所有的主机都是靠网关与外界通信的(如图一),例如我所在的局域网中192.168.0.132和192.168.0.131都是通过网关192.168.0.1上网的,我要攻击者的系统为192.168.0.132(也就是我的系统),他希望听到192.168.0.131的通信,那么我们就可以利用ARP欺骗实现。实现方法如下:
1、 首先告诉192.168.0.131,网关192.168.0.1的MAC地址是192.168.0.132
2、 告诉192.168.0.1,192.168.0.131的MAC地址是192.168.0.132。
这样192.168.0.131和192.168.0.1之间的数据包,就会发给192.168.0.132,也就是攻击者的机器,这样就可以听到会话了。但是这么做的有一个问题,192.168.0.131发现自己不能上网了,因为原来发给192.168.0.1的数据包都被192.168.0.132接收了,而并没有发给网关192.168.0.1。 这时候192.168.0.132设置一个包转发的东西就可以解决这个问题了,也就是从192.168.0.131收到的包转发给192.168.0.1,在把从192.168.0.1收到的包发给192.168.0.131。这样192.168.0.29根本就不会意识到自己被监听了,但小榕的这个工具没有这个功能,当捕获结束后,192.168.0.131会在一段时间内无法上网(因为它的ARP表还没有改过来),这个时候可以发一个/RESET来恢复,这样192.168.0.131就可以正常上网了。
[color=red]以下是100M的网卡[/color]
[code]c:> ARPSniffer
ARPSniffer 0.5 (Router Inside), by netXeyes, Special Thanks BB
netXeyes.com 2002, [email]security@vip.sina.com[/email]
Network Adapter 0: Realtek RTL8139(A/B/C/8130) PCI Fast Ethernet NIC
Usage: ArpSniffer <IP1> <IP2> <Sniffer TCP Port> <LogFile> <NetAdp> [/RESET][/code]
[color=red]以下是1000M的网卡[/color]
[code]ARPSniffer 0.5 (Router Inside), by netXeyes, Special Thanks BB
netXeyes.com 2002, [email]security@vip.sina.com[/email]
Usage: ArpSniffer <IP1> <IP2> <Sniffer TCP Port> <LogFile> <NetAdp> [/RESET][/code]
[color=red]大家看出100M网卡和1000M网卡有什么不同嘛?
得出的结论目前ARP欺骗只能用于100M网卡而不能用于1000M网卡上欺骗,尽管你装什么版本的WINPCAP的驱动都是无法在1000M网卡欺骗,通宵得出的结论,以后大家要ARP欺骗先看清网卡是多少M的网卡。另外COMMVIEW这个欺骗也是很不错的工具,需要大家去研究。。。[/color] 完全是胡说八道
欺骗和网卡速率有什么关系? 此结论不对
安装的驱动有问题,照样得出以下的情况:
ARPSniffer 0.5 (Router Inside), by netXeyes, Special Thanks BB
netXeyes.com 2002, [email]security@vip.sina.com[/email]
Usage: ArpSniffer <IP1> <IP2> <Sniffer TCP Port> <LogFile> <NetAdp> [/RESET] 昨天刚用ARPSniffer得到一个大站的FTP
我也试过很多肉鸡都不会出现网卡,这个问题值得深刻讨论一下,到底是不是驱动的问题呢? 很老的技术了`我是2005年开春的时候开始玩的,那个时候注意ARP嗅探的人很少,找篇技术文章都不好找。不过对于牛人来说`已经是被玩腻了的东西。我已经学的晚了。现在已经不怎么玩了`我好象去年的时候,在八进制为ARP嗅探拍过一个牛人吧。现在想想,那时候太不懂得如何做人了哈哈。。
不支持1G的网卡` 并不是技术上的问题,而是你拿的工具版本不支持。 ARPSNIFF这种东西,拿来搞 一些小站还是行的,搞大站太危险了,一不留神就把人家搞的上不了网。而且真正的大站,你根本就没可能嗅探到,他们都是自己的独立网关机柜`一般都是十几台服务器一个网关自己组个局域网和外网 。
并不是他们注意安全,而是因为他们所需要的带宽非常大。依照我的实际经验得出的结果是,一般的世界排名在150名内的,都是有自己的专用机柜。这个结论是根据我在对方内网得到的结果,压根除了他们自己的服务器,没别人的。他们一般的带宽最低都是500M-1G,有的达到了3-5G互联网带宽。甚至更高。你能日下他们一个局域网的机器,那你想D谁都行了。 接触ARP嗅探03年的时候. [s:75] 楼猪胡说八道。谁说1000M的网卡不能进行arpsniffer? 你装不上驱动就结论1000M网卡不行?
ARPSniffer 0.5 (Router Inside), by netXeyes, Special Thanks BB
netXeyes.com 2002, [email]security@vip.sina.com[/email]
Usage: ArpSniffer <IP1> <IP2> <Sniffer TCP Port> <LogFile> <NetAdp> [/RESET]
这是驱动没装好。。。你滴明白?装驱动是有技巧的。。关于这个我就不多说什么自己看以前讨论ARP欺骗的文章去。。 ARPSniffer 我已经不再用这个垃圾软件了
fking写了个还不错 建议大家去下 xfocus 请问楼上fking写的软件名字是什么,我去安焦没有找到fking提交的软件
另外今天在一台肉鸡上嗅探出先了下面的情况
ARPSniffer 0.5 (Router Inside), by netXeyes, Special Thanks BB
[url]www.netXeyes.com[/url] 2002, [email]security@vip.sina.com[/email]
Can'nt Detect Network Adapter.
提示找不到网络网络适配器
是不是使用了静态arp表? 楼主胡说。至少我遇见过多次装不同版本驱动后有那个不同显示的。
讨论些别的好了,嘿嘿
例如安装好后欺骗成功,但是不转发,原因何在?
或者是安装好后,转发成功,80正常,但是目标FTP肯定要挂掉,又是为何?
另外4楼的观点我只同意一半,在internet上,任何情况都是可能的,虽然说有些大站,一个段都是他的,或者他就自己独立一个网关,这个情况的确有,但是arpsniffer在渗透有些时候在这种环境下,还是有作为的~~~
召唤牛人写一篇arpsniffer的总结性文章出来,哈哈 LZ 找不到适配器不是软件不支持就是驱动有问题。
arp欺骗在局域网中还是很讨厌的,一颗老鼠屎可以坏一锅粥,现在有些软件如:网络执行管、聚生网管、网络剪刀手等就是使用arp欺骗来控制局域网内其他机器是否能上网。 arp 欺骗应该跟网卡的传输速率没有关系的啊 其实ARP 欺骗在局域网中很讨厌的 [s:73] 怪不得我经常在内网被人搞,IP帮定MAC都抗不过去 [s:81] 局部网的绑定网卡吧,不然那东西真的害了不少人. 看了一下,使我想到了传奇木马。 ip绑定mac以后,你伪造网关是不起作用的, 从前感觉楼主说的和我情况一样
100M的网卡用arpsniffer有时候不能用,换下wincap版本驱动就可以了
但是1000m网卡,怎么装wincap驱动都不可以````
但是后来发现3.0驱动装上后,重启就可以了
Network Adapter 0: Intel(R) PRO/1000 MT Network Connection
这个就是完全可以的 我同意
ARPSniffer这玩意有的时候确实不稳定..
上次搞个我们地区G0vernment的服务器。想ARPSniffer结果。。。。。服务器连不上了..估计宕机了..
那次可吓死我了...
现在登录3389就cain。。。实在不行就放弃..我可不敢在用ARPSniffer 个人觉得小榕的这个ARPsniffer有点老了,2002年的啊.
最近不是有arpsproof,arpsf,zxarps吗?Cain也是不错的. 这个说法新鲜,倒是第一次听说。不过觉得没一点道理。因为你要知道ARP的原理,你就知道你自己说的一点都没有道理了。ARP欺骗分2种情况,一种是通过假装网关欺骗大部分机器,这样机器访问不了正确的网关而导致上不了网,另外一种是欺骗路由器,把很多假地址发给路由,路由发的数据就到不了真正的地址,导致机器上不了网。这2个过程跟网速有关? 完全在ARP的协议和MAC上的原理,
你没弄清. [s:268] 樓主...鬍說八道
ARP嗅探現在人人都會了.. 现在很多这些工具都是流量一大就完蛋 不关网卡的事。。。前年 去年流行过一阵
现在人都开始防范了 基本没用了 arp说难也不难~~因为有人发布利用工具!
我想很多人都在用的时候时常会的不到你想要的东西~~
这点我自己测试了很多站~~同样的安装方法在同样的环境下也有可能不一样!
我在说哈你使用的ARP驱动不一定是最新的但是一定要是合适你的ARP工具的~~
我说个软件大家就知道~ettercap
dsniff
这2个他们就不会用最新的wincap驱动~~
反而用最新的你是的不到你想要的~~
~~~~
这是我个人看发+我自己试验得到的~~因为对大家有点用~~~ 唉,我的双向绑定也是不行 对这个我实在是不怎么敢兴趣,有用我也是用CAIN,但是都没效果,都是搞到垃圾资料,无利用价值 [s:270] [quote]引用第7楼softbug于2006-06-08 11:52发表的 :
ARPSniffer 我已经不再用这个垃圾软件了
fking写了个还不错 建议大家去下 xfocus[/quote]
请问你说的这个软件是什么名字,好方便我到那里去,谢谢了
页:
[1]