议题提交：Linzi [BCT]
信息来源：邪恶八进制信息安全团队

C:\>arpsniffer.exe 192.168.0.1 192.168.0.22 80 c:\1.txt 0  /reset

ARPSniffer 0.5 (Router Inside), by netXeyes, Special Thanks BB
www.netXeyes.com 2002, security@vip.sina.com

Network Adapter 0: Realtek RTL8139 Family PCI Fast Ethernet NIC


Enable IP Router....OK

Get 192.168.0.1 Hardware Address: 00-11-d8-5e-25-71
Get 192.168.0.22 Hardware Address: 00-50-8d-67-1e-2d
Get 192.168.0.33 Hardware Address: 00-50-8d-67-1d-fd

Spoof 192.168.0.22: Mac of 192.168.0.1 ===> Mac of 192.168.0.33
Spoof 192.168.0.1: Mac of 192.168.0.22 ===> Mac of 192.168.0.33

Begin Sniffer.........

上面的是一次成功的嗅探，也是我从Spoof2 Can'nt Open Driver弄到可以的一次。
机子也重启了N次，下面的我谈谈的经验吧。

个人认为出现Spoof2 Can'nt Open Driver的原因有两个。
1.驱动问题:

第一次测试，装下wincap 3.0，arpsniffer 出现Spoof2 Can'nt Open Driver 失败
第二次测试，跑到官方去下载2.1的，还是出现Spoof2 Can'nt Open Driver，失败坏
第三次测试，先装2.1再装 3.0成功。郁闷.

2.Adapter问题
在arpsniffer成功和失败的区别有很多我个人觉得在Adapter，装完驱动， dos下输入
arpsniffer，回显如下:
ARPSniffer 0.5 (Router Inside), by netXeyes, Special Thanks BB
www.netXeyes.com 2002, security@vip.sina.com

Usage: ArpSniffer <IP1> <IP2> <Sniffer TCP Port> <LogFile> <NetAdp> [/RESET]
失败

成功的回显如下:
ARPSniffer 0.5 (Router Inside), by netXeyes, Special Thanks BB
www.netXeyes.com 2002, security@vip.sina.com

Network Adapter 0: Realtek RTL8139 Family PCI Fast Ethernet NIC

Usage: ArpSniffer <IP1> <IP2> <Sniffer TCP Port> <LogFile> <NetAdp> [/RESET]

多了一个Network Adapter 0: Realtek RTL8139 Family PCI Fast Ethernet NIC
很奇怪，再次郁闷。


不过，有了这个提示就可以嗅探成功。

flashman!~~~

装好以后必须重新启动,否则没有驱动...我一直使用2.1的都觉得不错的.

kevin有的时候2.1也会出错，这个时候再装3.0不用重启，却可以用，很快，有的时候先装3.0 再装3.1也变可以用，也不用重启.

这东东是不是有点过时了?数据能抓.抓来的都没用抓个21的抓2小时用户名抓不少,密码没抓到一个.

给来个新款吧.林子.

多次测试，wincap 3.1 beta4 最为稳定
装后不用重起就可以工作
对sniff 有独到见解的朋友可以和我交流~~
qq:173634

引用:

下面是引用tsgxyy于2005-07-02 04:38发表的:
这东东是不是有点过时了?数据能抓.抓来的都没用抓个21的抓2小时用户名抓不少,密码没抓到一个.

给来个新款吧.林子.

只要抓到数据。就肯定有password
只是有些password是加密过的而已

我装了好多版本的wincap  但是在winxp sp1都不成功 抓不到数据

我嗅的时候好象不能嗅很久，久的话就自己断开。。。。。
还有就是有时候嗅不到密码。明明见可以嗅到数据
但是在用户密码的地方就是没有数据
奇怪~！~！~！

呵呵。有时候我嗅到80端口的数据。如果数据量不是很大的话。可以嗅N个小时。。。。。。。
POST的东西也可以嗅到，就是用户密码在加密之前就被嗅了。
嘿嘿。曾经用此方法嗅了个点卡站。后来被公安叔叔抓
555555555555555555
不小心的啊

呵呵,我也出现了和楼主一样的错误,最后用 "先装2.1再装 3.0"的方法就成功了!

D:\>ARPSniffer.exe 192.168.0.1 192.168.0.5 80 d:\aaa.txt 0 /reset

ARPSniffer 0.5 (Router Inside), by netXeyes, Special Thanks BB
www.netXeyes.com 2002, security@vip.sina.com



Enable IP Router....OK

Get 192.168.0.1 Hardware Address: 00-0f-90-44-5a-00
Erro Get Mac Address of 192.168.0.5.

我在windows xp pro sp2下按楼主的做法都是无法打开驱动。安装beat4的结果如上？疑惑ing。



ps:后来在虚拟机上实验。安beat4立即可以。虚拟机的xpsp2和2000ad svr都实验成功。
弱弱的问下。sniffer是否需要什么系统服务支持之类的？
不知道是不是禁用了一些服务的原因。
尝试开了server。
computer Computer Browser
DNS Client
都没成功过。求教ing。

看了楼主的结论实验的结果还是不行。
实验如下：
系统环境：windows xp pro sp2 打了所有补丁。（怀疑和系统没关系。因为虚拟机里也一样的系统可以嗅探成功）
网络环境：网关：219.***.***.1
          本机：219.***.***.108
          隔壁机器：219.***.***.250（实验过程中全部开机连网）

第一次。装WinPcap2.1版本。装完后运行arpsniffer.exe
系统回显如下:

似乎满足要求

测试arpsniffer结果如下：


返回错误。错误号二。并且有一个windows错误提示框：


实验失败。

第二次。照本宣科
安装WinPcap3.0版本。
一样运行arpsniffer
回显如下：找不到网卡。。。


第三次。卸了3.0装WinPcap_3_1_beta4
运行。回显没了网卡的那一行


还是尝试着运行了下嗅探



返回错误14

后面又尝试了WinPcap的其他版本。
发现只有2.1可以有显示网卡的那一行。嗅探时发生错误。返回错误号2
2.2-3.0的全部不能找到网卡
3.1系列的版本是没有显示网卡那行，但嗅探时发生错误。返回错误号14

如何才能成功嗅探。期待您的解答。
ps:虚拟机上装3.1beat4版本2000 AD SVR 和xp pro sp2嗅探全部能够进行。
不知道是不是本机上安装补丁或是禁用了一些服务的缘故。

在win2k pro ＋SP4上装winpcap v2.1 和 3.1_beta 4测试都成功的
用最新的winpcap v3.1确不成功了，nmap运行没问题，可是arpsniffer.exe不能正常运行
直接运行arpsniffer不能出现
“Network Adapter 0: Realtek RTL8139 Family PCI Fast Ethernet NIC”
这一行～～

不知道大家有没有在最新的winpcap环境下测试过，那位朋友有经验说说 ～～～

经过多次测试~  任何版本的winpcap都不是太稳定~呵呵！

一般嘛~  几个版本轮流试~ 总有一次成功滴~ 反正不用重启服务器~ 如不成功就是RPWT拉~

不过现在ARP很少有用的~ 一般用来sniffFTP的密码~ 现在就连FTP的密码都看不到了~ 都只有个用户名没密码~~

很久没用小榕的了,我换了另外的arpsniffer工具.毕竟小榕的工具是好几年前写的了

引用:

下面是引用linzi于2005-10-15 21:12发表的:
很久没用小榕的了,我换了另外的arpsniffer工具.毕竟小榕的工具是好几年前写的了

推荐一款？
我最近用小榕的出现了一个头大的问题。
解决了好几天都没搞定。

除了arpsniffer.exe外还有什么比较好的工具呢？？
流光5的arpsniff功能应该不错吧，但是没独立的开发个组件～～～

引用:

下面是引用linzi于2005-10-16 20:47发表的:
arpcheat试试

http://www.chinesehack.org/down/show.asp?id=4802
是不是这个
我在肉鸡上一运行 就断网了
在他的README里发现一段话

我发现的以下bug:

1.本机运行该程序时会使自己上不了网，可能是数据包转发的时候出了点问题。[了解的告诉我一下]

2.在欺骗嗅探的时候会降低对方的网速，程序执行还有优化的地方，希望大家提出比较好的解决方法。

--》其他bug等待大家发现。。。

不知道linzi兄遇到过这样的情况没

好像没什么好讨论的

几乎很成熟的技术了

现在感觉成功率在80%左右

现在绑定mac的多了  和自身机器也没有多大关系

引用:

下面是引用linzi于2005-10-17 09:43发表的:
我用的是最新板的........ [s:40]  [s:43]  [s:45]  [s:44]

找到了一个
http://www.xfocus.net/tools/200509/1082.html
比先前那个版本高
拿去试试

===============================================================================

           Arp Cheat And Sniffer V2.1

===============================================================================

Usage:
-si              源ip
-di              目的ip     *代表所有,多项用,号分割
-sp              源端口
-dp              目的端口    *代表所有
-w               嗅探方式，1代表单向嗅探[si->di]，0代表双向嗅探[si<->di]
-p               嗅探协议[TCP,UDP,ICMP]大写
-m               最大记录文件，以M为单位
-o               文件输出
-hex              十六进制输出到文件
-unecho            不回显
-unfilter          不过虑0字节数据包
-low              粗略嗅探，丢包率高，cpu利用率低 基本0
-timeout           嗅探超时,除非网络状况比较差否则请不要调高,默认为120秒
-sniffsmtp          嗅探smtp
-sniffpop          嗅探pop
-sniffpost          嗅探post
-sniffftp          嗅探ftp
-snifftelnet        嗅探telnet，以上5个嗅探不受参数si,sp,di,dp,w,p影响.
-sniffpacket        规则嗅探数据包，受参数si,sp,di,dp,w,p影响.
-sniffall          开启所有嗅探
-onlycheat          只欺骗
-cheatsniff         欺骗并且嗅探
-reset            欺骗后恢复
-g               [网关ip]
-c               [欺骗者ip] [mac]
-t               [受骗者ip]
-time             [欺骗次数]
Example:
arpsniffer -p TCP -dp 25,110 -o f:\1.txt -m 1 -sniffpacket
  嗅探指定规则数据抱并保存到文件
arpsniffer -sniffall -cheatsniff -t 127.0.0.1 -g 127.0.0.254
  欺骗并且开启所有嗅探，输出到屏幕
arpsniffer -onlycheat -t 127.0.0.1 -c 127.0.0.2 002211445544 -time 100 -reset
  对目标欺骗一百次,欺骗后恢复
Note:
      Program for 阿黛,I am very sorry for do this so late.Forgive me~~ :)



使用这个工具的时候
在有的机子试验时为什么有的会提示..找到到本机MAC地址叱??

我安了 2.3 3.0 3.1  但是老是出现了arpsniffer，回显如下:
ARPSniffer 0.5 (Router Inside), by netXeyes, Special Thanks BB
www.netXeyes.com 2002, security@vip.sina.com

Usage: ArpSniffer <IP1> <IP2> <Sniffer TCP Port> <LogFile> <NetAdp> [/RESET]

没有成功  大哥们告诉我一下 我出了什么错误

不好意思,ArpCheatSniffer是偶写的~~
现在在写升级的gui版,出现本机mac无法获取的话,直接使用arp -s yourmac
添加静态mac就行

用cain结合另外的嗅探器如Iris来对站进行嗅,成功率非常高.

小榕的工具我很久没用了,也想用了,呵呵

哪里可以下到驱动啊？？？到底是wincap 还是 winpcap？我都没有搜到过wincap2.0

引用:

这里是引用第[25 楼]的zdliang88于2006-01-16 15:20发表的：
哪里可以下到驱动啊？？？到底是wincap 还是 winpcap？我都没有搜到过wincap2.0

去焦点下,嗅探专栏里有 [s:67]