邪恶八进制信息安全团队技术讨论组's Archiver

netxfly 2006-9-28 20:30

[讨论]在交换网络环境中 也可以像Hub网络中一样使用Sniffer

议题作者:nETxFLy [E.S.T]
信息来源:邪恶八进制信息安全团队([url]www.eviloctal.com[/url])


在以前的Hub网络中,只要在自已机器中运行了Sniffer就可以接收到别人的数据包

后来在Switch网络环境中,要Sniffer到别人的数据,只能是把Sniffer放到网关上,或者对指定IP的机器进行Arp Sniffer


不过,前一段时间,我发现,在Switch环境中,只要在自已机器上运行了一个叫“[b]p2p终结者[/b]”的软件,然后所有的HUB环境下的Sniffer都可以使用了,也就是说不需要把Sniffer放到网关上也能接收到整个Lan中的数据包了。

大家可以用P2P终结者配合x-sniffer测试一下

请熟悉协议和系统底层的大牛帮忙分析一下原理,偶想办法写一个可以在Switch下嗅探整个LAN的Sniffer。 [s:82]

goldberg 2006-9-28 20:46

安装使用p2p终结者后相当于该机器有一个网关 也就是一个入口 整个LAN内的所有机器都指向装有p2p终结者的那台机器 都可以经过那台机器然后连接到真正网关上 当然你在那台机器上使用sniffer就可以侦听整个LAN了

mgmg 2006-9-29 01:03

如果把mac地址和ip作绑定处理,你应该是不起作用了
伪造的网关这个时候是没有作用的,

hack520 2006-9-29 01:16

[s:75] 不过IP和MAC绑定的机房我感觉比较少?这么久以来我就遇到过2次。。。

mgmg 2006-9-29 01:24

也只有在局域网的环境里面才存在mac的概念,
所以现在,很多lan中,开始采用了绑定,
就是因为现在类似"网络执法官""p2p终结者"之类的软件肆意泛滥,
有必要帮定了,
sinffer还是在接入这里用,比较方便的可以获取到,

心只爱你 2006-10-2 22:28

现在MAC地址绑定用得很多了,连我学校的机房限制上网都用上了...

∑午夜忍者 2006-10-3 00:09

都绑定的话,会累死管理员的...一般是DHCP.估计财务的电脑是绑定的.端口绑定

heracs 2006-10-3 00:14

文章作者:这种类似于P2P终结者的软件采用了一种叫做ARP欺骗的技术,通过向局域网中的终端发送伪装的ARP欺骗包,达到欺骗的目的。

想要了解ARP欺骗技术,必须首先了解ARP协议的工作原理和主要作用。
我们平时在网络中传送数据,主要通过IP地址来识别终端设备。每个终端都配置了一个惟一的IP地址,当局域网内的终端需要与其它网络中的目标机器通信时(即源和目标不在同一个网段中),默认情况下,他会将数据发送到网关,由网关对数据包进行路由或转发。这些工作在网络层完成。而在数据链路层,即实际的两个交换机端口之间进行数据交换,则主要依靠MAC地址进行寻址和定位,并通过MAC地址来判断如何转发数局包以及向哪一个端口转发数据包。

当源确定了目标机器的IP地址并确定这个IP地址与其自身的IP地址在同一个网段中,他会利用ARP协议来发现目标终端的MAC地址。他会发送一个ARP请求的广播数据包,向局域网中的所有终端发送广播包,查询某个IP地址对应的MAC地址,当目标终端接受到这个ARP查询请求后,它会发送一个回应数据包,向源发回一个ARP回应数据包,告诉源自己的IP地址和对应的MAC地址,这时,源会将数据封装成帧,并直接通过MAC地址直接向目标机器发送数据。

由于ARP协议在设计之初没有考虑到安全性问题,它没有料到人为什么这么坏,因此,有些人开始动坏脑筋,发明了ARP欺骗这种技术。ARP欺骗技术的工作原理大致如下:

首先,局域网中存在一个正常的网关,IP地址是192.168.1.1,MAC地址是BB-BB-BB-BB-BB-BB。

其次,欺骗机向网络内除网关以外的其他终端都发送一个伪装的数据包,告诉其它终端,他是192.168.1.1(假设这个地址是网关IP地址),他的MAC地址是 AA-AA-AA-AA-AA-AA(假设)。同时,欺骗机也会向网关发送伪装的数据包,告诉网关它代表了这个网络中的所有终端。(如果这时候你查询网关上的MAC和IP地址对应表,你会发现,所有的IP地址都指向同一个MAC地址,即欺骗机的MAC地址)

其它终端在收到这个消息后,会认为网关的MAC地址发生了变化,因此,会在第一时间更新自己的MAC地址表,这时,如果终端需要与外界进行通信,他会将数据发送到网关,也就是发送到欺骗机,欺骗机收到数据包后,会将数据包重新进行封装,并转发到正确的网关,这时,所有的数据被正常的转发出去。

由于所有用户进出局域网的数据都被欺骗机进行转发,因此,只要在欺骗机上开启sniffer工具,你就能够轻而易举的嗅探网络中的数据。这也是类似于P2P终结者这种软件主要采用的技术。

实际上,作为终端用户,只要知道正确的网关地址和MAC地址,可以通过指定静态MAC地址的方式来防止ARP欺骗攻击,具体的命令为

arp -s 192.168.1.1 BB-BB-BB-BB-BB-BB

cnlnfjhh 2006-10-3 05:24

网络执法官 和 p2p终结者 一样 都可以暂时的冒充网关来接包和抛包 的确可以让sniffer的范围扩大
不过不可能是整个内Lan  楼主可否实验在大型网吧那种广义交换环境下的这种arp???

妖怪 2006-10-3 20:30

从原理来说,switch只是隔离了冲突域,所有端口还是在一个大广播域里的,所以nx你还是有机会可以伪造网关来嗅探数据,回答完毕。

darkz 2007-8-6 14:59

在这里,安装了p2p终结者的机器,欺骗局域网内部队其他机器,使他们把这个机器当作是网关,然后这个机器又向网关请求其他机器所发出的请求。也就是所有的机器发出去的请求都经过安装了p2p终结者的机器发向网关,而不是直接和网关通信,所以sniffer就可以嗅探到更多的信息了

mgmg 2007-9-14 11:20

交换网络中,最方便的嗅探方式是做镜象,端口镜象以后,所有的数据你都可以完全做分析了。

目前做一些取证的时候我们都采用这样的方式比较多。

东方 2007-9-27 20:15

ettercap  嗅探中的利器

也可以用tcpdump配合dsniff工具集使用。

在交换网络中嗅探多是arp欺骗了,或者发送MAC风暴,把switch降低为HUB级别。

另外mgmg兄所说的端口镜像是。。。?可否解释一下 [s:269]

页: [1]
© 1999-2008 EvilOctal Security Team