Board logo

标题: [讨论]arp欺骗得出一个结论 [打印本页]

作者: 虚竹    时间: 2008-7-24 17:24     标题: [讨论]arp欺骗得出一个结论

[讨论]arp欺骗得出一个结论
议题作者:lubay
信息来源:邪恶八进制信息安全团队(www.eviloctal.com

常在局域网环境中,我们都是通过交换环境的网关上网的,在交换环境中使用NetXray或者NAI Sniffer一类的嗅探工具除了抓到自己的包以外,是不能看到其他主机的网络通信的。 但是我们可以通过利用ARP欺骗可以实现Sniffer的目的。ARP协议是将IP解析为MAC地址的协议,局域网中的通信都是基于MAC的。今天我们谈谈小榕的监听工具ARPSniffer(可以在http://www.netxeyes.com/ARPSniffer.exe下载)的使用方法。
一、先让我们了解这个软件ARPSniffer 0.5,08月12日发布的,基于交换环境的Sniffer工具(注意:需要安装WINPCAP 2.1驱动)
1、修正了ARP报文的问题,原来版本的ARP报文存在BUG,会出现丢包或者ARP欺骗不成功的现象。
2、可以指定嗅探的网卡。
3、包含了IPRouter的功能,不依靠于系统,也不用修改注册表。
二、我所在的交换环境及原理简介
我们知道在局域网中所有的主机都是靠网关与外界通信的(如图一),例如我所在的局域网中192.168.0.132和192.168.0.131都是通过网关192.168.0.1上网的,我要攻击者的系统为192.168.0.132(也就是我的系统),他希望听到192.168.0.131的通信,那么我们就可以利用ARP欺骗实现。实现方法如下:
1、 首先告诉192.168.0.131,网关192.168.0.1的MAC地址是192.168.0.132
2、 告诉192.168.0.1,192.168.0.131的MAC地址是192.168.0.132。
  这样192.168.0.131和192.168.0.1之间的数据包,就会发给192.168.0.132,也就是攻击者的机器,这样就可以听到会话了。但是这么做的有一个问题,192.168.0.131发现自己不能上网了,因为原来发给192.168.0.1的数据包都被192.168.0.132接收了,而并没有发给网关192.168.0.1。 这时候192.168.0.132设置一个包转发的东西就可以解决这个问题了,也就是从192.168.0.131收到的包转发给192.168.0.1,在把从192.168.0.1收到的包发给192.168.0.131。这样192.168.0.29根本就不会意识到自己被监听了,但小榕的这个工具没有这个功能,当捕获结束后,192.168.0.131会在一段时间内无法上网(因为它的ARP表还没有改过来),这个时候可以发一个/RESET来恢复,这样192.168.0.131就可以正常上网了。

以下是100M的网卡
复制内容到剪贴板
代码:
c:> ARPSniffer
ARPSniffer 0.5 (Router Inside), by netXeyes, Special Thanks BB
netXeyes.com 2002, security@vip.sina.com
Network Adapter 0: Realtek RTL8139(A/B/C/8130) PCI Fast Ethernet NIC
Usage: ArpSniffer <IP1> <IP2> <Sniffer TCP Port> <LogFile> <NetAdp> [/RESET]
以下是1000M的网卡
复制内容到剪贴板
代码:
ARPSniffer 0.5 (Router Inside), by netXeyes, Special Thanks BB
netXeyes.com 2002, security@vip.sina.com

Usage: ArpSniffer <IP1> <IP2> <Sniffer TCP Port> <LogFile> <NetAdp> [/RESET]
大家看出100M网卡和1000M网卡有什么不同嘛?
得出的结论目前ARP欺骗只能用于100M网卡而不能用于1000M网卡上欺骗,尽管你装什么版本的WINPCAP的驱动都是无法在1000M网卡欺骗,通宵得出的结论,以后大家要ARP欺骗先看清网卡是多少M的网卡。另外COMMVIEW这个欺骗也是很不错的工具,需要大家去研究。。。


帖子6 精华4 积分58 阅读权限40 在线时间4 小时 注册时间2005-12-10 最后登录2006-9-17 查看详细资料TOP 良辰择日,预测咨询,公司改名,权威易经

混世魔王
荣誉会员

作者: 青蛙    时间: 2008-7-24 17:24

完全是胡说八道

欺骗和网卡速率有什么关系?取保候审中........

帖子181 精华10 积分3720 阅读权限100 性别男 在线时间88 小时 注册时间2005-3-12 最后登录2008-6-19 查看详细资料TOP 让女孩一夜变的更有女人味

ttfct
荣誉会员

作者: 福仔    时间: 2008-7-24 17:24

此结论不对
安装的驱动有问题,照样得出以下的情况:

ARPSniffer 0.5 (Router Inside), by netXeyes, Special Thanks BB
netXeyes.com 2002, security@vip.sina.com

Usage: ArpSniffer <IP1> <IP2> <Sniffer TCP Port> <LogFile> <NetAdp> [/RESET]TTFCT http://WWW.TTFCT.COM

帖子279 精华4 积分4349 阅读权限100 性别男 在线时间111 小时 注册时间2006-2-13 最后登录2008-7-20 查看详细资料TOP 让女孩一夜变的更有女人味

memory
晶莹剔透§烈日灼然
作者: 醉鞭名马    时间: 2008-7-24 17:24

昨天刚用ARPSniffer得到一个大站的FTP

我也试过很多肉鸡都不会出现网卡,这个问题值得深刻讨论一下,到底是不是驱动的问题呢?
帖子5 精华0 积分17 阅读权限40 在线时间8 小时 注册时间2005-2-6 最后登录2008-6-3 查看详细资料TOP

又一天 该用户已被删除 地板 大 中 小 发表于 2006-6-7 18:36  只看该作者
提示: 作者被禁止或删除 内容自动屏蔽
TOP 让女孩一夜变的更有女人味

混世魔王
荣誉会员

作者: jilang    时间: 2008-7-24 17:24

接触ARP嗅探03年的时候.取保候审中........

帖子181 精华10 积分3720 阅读权限100 性别男 在线时间88 小时 注册时间2005-3-12 最后登录2008-6-19 查看详细资料TOP 良辰择日,预测咨询,公司改名,权威易经

hack520
运维管理组

作者: 前徐K神    时间: 2008-7-24 17:24

[s:75] 楼猪胡说八道。谁说1000M的网卡不能进行arpsniffer? 你装不上驱动就结论1000M网卡不行?
ARPSniffer 0.5 (Router Inside), by netXeyes, Special Thanks BB
netXeyes.com 2002, security@vip.sina.com

Usage: ArpSniffer <IP1> <IP2> <Sniffer TCP Port> <LogFile> <NetAdp> [/RESET]

这是驱动没装好。。。你滴明白?装驱动是有技巧的。。关于这个我就不多说什么自己看以前讨论ARP欺骗的文章去。。Www.China-Mu.Co.Kr 猪毛奇迹 1.02Q 将带给你无比的震撼。
帖子1082 精华6 积分5597 阅读权限150 性别男 在线时间576 小时 注册时间2005-3-18 最后登录2008-7-2 查看个人网站
查看详细资料TOP 让女孩一夜变的更有女人味

softbug
技术核心组

作者: 独寻醉    时间: 2008-7-24 17:24

ARPSniffer 我已经不再用这个垃圾软件了

fking写了个还不错 建议大家去下 xfocus论坛地址: http://www.ssk2.cn & www.iisuser.com
帖子287 精华14 积分6821 阅读权限200 性别男 在线时间96 小时 注册时间2005-1-7 最后登录2008-7-22 查看个人网站
查看详细资料TOP

memory
晶莹剔透§烈日灼然
作者: 醉鞭名马    时间: 2008-7-24 17:24

请问楼上fking写的软件名字是什么,我去安焦没有找到fking提交的软件

另外今天在一台肉鸡上嗅探出先了下面的情况

ARPSniffer 0.5 (Router Inside), by netXeyes, Special Thanks BB
www.netXeyes.com 2002, security@vip.sina.com
Can&#39;nt Detect Network Adapter.

提示找不到网络网络适配器

是不是使用了静态arp表?
帖子5 精华0 积分17 阅读权限40 在线时间8 小时 注册时间2005-2-6 最后登录2008-6-3 查看详细资料TOP

sniper
荣誉会员

作者: MGM    时间: 2008-7-24 17:24

楼主胡说。至少我遇见过多次装不同版本驱动后有那个不同显示的。
讨论些别的好了,嘿嘿
例如安装好后欺骗成功,但是不转发,原因何在?
或者是安装好后,转发成功,80正常,但是目标FTP肯定要挂掉,又是为何?
另外4楼的观点我只同意一半,在internet上,任何情况都是可能的,虽然说有些大站,一个段都是他的,或者他就自己独立一个网关,这个情况的确有,但是arpsniffer在渗透有些时候在这种环境下,还是有作为的~~~

召唤牛人写一篇arpsniffer的总结性文章出来,哈哈
帖子92 精华4 积分3212 阅读权限100 在线时间106 小时 注册时间2004-11-26 最后登录2008-5-5 查看详细资料TOP

netwatch
晶莹剔透§烈日灼然
作者: newdeng    时间: 2008-7-24 17:24

LZ 找不到适配器不是软件不支持就是驱动有问题。

arp欺骗在局域网中还是很讨厌的,一颗老鼠屎可以坏一锅粥,现在有些软件如:网络执行管、聚生网管、网络剪刀手等就是使用arp欺骗来控制局域网内其他机器是否能上网。
帖子99 精华0 积分191 阅读权限40 性别男 在线时间76 小时 注册时间2006-5-24 最后登录2008-6-4 查看详细资料TOP

starky
晶莹剔透§烈日灼然
作者: 发现者    时间: 2008-7-24 17:24

arp 欺骗应该跟网卡的传输速率没有关系的啊  其实ARP 欺骗在局域网中很讨厌的向大家学习!共同进步

帖子5 精华0 积分20 阅读权限40 性别男 在线时间2 小时 注册时间2006-5-1 最后登录2007-5-8 查看详细资料TOP

tt2004
晶莹剔透§烈日灼然
作者: 南风    时间: 2008-7-24 17:24

[s:73] 怪不得我经常在内网被人搞,IP帮定MAC都抗不过去 [s:81]
帖子1 精华0 积分6 阅读权限40 在线时间0 小时 注册时间2005-12-8 最后登录2006-7-15 查看个人网站
查看详细资料TOP

血饮
晶莹剔透§烈日灼然
作者: 老猫    时间: 2008-7-24 17:24

局部网的绑定网卡吧,不然那东西真的害了不少人.饮血刀,血饮剑
帖子37 精华0 积分21 阅读权限40 性别男 来自广西柳州 在线时间5 小时 注册时间2006-9-19 最后登录2006-9-28 查看详细资料TOP

tlhelen
晶莹剔透§烈日灼然
作者: dghgs    时间: 2008-7-24 17:24

看了一下,使我想到了传奇木马。
帖子19 精华0 积分57 阅读权限40 在线时间51 小时 注册时间2005-10-18 最后登录2008-3-24 查看详细资料TOP

mgmg
晶莹剔透§烈日灼然
作者: 大圣    时间: 2008-7-24 17:24

ip绑定mac以后,你伪造网关是不起作用的,
帖子20 精华0 积分72 阅读权限40 性别男 在线时间3 小时 注册时间2005-12-27 最后登录2008-4-26 查看详细资料TOP

leehomhack
晶莹剔透§烈日灼然
作者: 小乖    时间: 2008-7-24 17:25

从前感觉楼主说的和我情况一样
100M的网卡用arpsniffer有时候不能用,换下wincap版本驱动就可以了

但是1000m网卡,怎么装wincap驱动都不可以````

但是后来发现3.0驱动装上后,重启就可以了

Network Adapter 0: Intel(R) PRO/1000 MT Network Connection

这个就是完全可以的
帖子8 精华0 积分27 阅读权限40 在线时间14 小时 注册时间2007-2-2 最后登录2007-7-9 查看详细资料TOP

刘的林
晶莹剔透§烈日灼然
作者: BHY    时间: 2008-7-24 17:25

我同意
ARPSniffer这玩意有的时候确实不稳定..
上次搞个我们地区G0vernment的服务器。想ARPSniffer结果。。。。。服务器连不上了..估计宕机了..
那次可吓死我了...
现在登录3389就cain。。。实在不行就放弃..我可不敢在用ARPSnifferωǒ會學著放棄你ゞ是因爲ωǒ太じovの你..

帖子36 精华0 积分105 阅读权限40 性别男 来自枣庄 在线时间24 小时 注册时间2007-6-2 最后登录2008-4-26 查看个人网站
查看详细资料TOP

achillis
晶莹剔透§烈日灼然
作者: 粟米    时间: 2008-7-24 17:25

个人觉得小榕的这个ARPsniffer有点老了,2002年的啊.
最近不是有arpsproof,arpsf,zxarps吗?Cain也是不错的.学习中.......

帖子54 精华0 积分194 阅读权限40 性别男 在线时间12 小时 注册时间2006-9-10 最后登录2008-7-18 查看详细资料TOP

udbkl
晶莹剔透§烈日灼然
作者: 有心人    时间: 2008-7-24 17:25

这个说法新鲜,倒是第一次听说。不过觉得没一点道理。因为你要知道ARP的原理,你就知道你自己说的一点都没有道理了。ARP欺骗分2种情况,一种是通过假装网关欺骗大部分机器,这样机器访问不了正确的网关而导致上不了网,另外一种是欺骗路由器,把很多假地址发给路由,路由发的数据就到不了真正的地址,导致机器上不了网。这2个过程跟网速有关?
帖子5 精华0 积分11 阅读权限40 性别男 在线时间5 小时 注册时间2007-6-22 最后登录2008-4-3 查看详细资料TOP

corpse0
晶莹剔透§烈日灼然
作者: ccbi8888    时间: 2008-7-24 17:25

完全在ARP的协议和MAC上的原理,
你没弄清.
帖子2 精华0 积分9 阅读权限40 在线时间3 小时 注册时间2007-6-28 最后登录2007-7-31 查看详细资料TOP

bandit.
晶莹剔透§烈日灼然
作者: mai76    时间: 2008-7-24 17:25

樓主...鬍說八道

ARP嗅探現在人人都會了..
帖子1 精华0 积分6 阅读权限40 性别男 在线时间6 小时 注册时间2007-2-2 最后登录2008-3-23 查看详细资料TOP

cnhawk
晶莹剔透§烈日灼然
作者: 肥鹏    时间: 2008-7-24 17:25

现在很多这些工具都是流量一大就完蛋
帖子24 精华0 积分79 阅读权限40 在线时间60 小时 注册时间2004-12-31 最后登录2008-7-1 查看详细资料TOP

pxue
晶莹剔透§烈日灼然
作者: 上帝之吻    时间: 2008-7-24 17:25

不关网卡的事。。。前年 去年流行过一阵

现在人都开始防范了 基本没用了
帖子3 精华0 积分13 阅读权限40 在线时间0 小时 注册时间2006-7-2 最后登录2008-2-2 查看详细资料TOP

back_fish
晶莹剔透§烈日灼然




欢迎光临 【3.A.S.T】网络安全爱好者 (http://3ast.com./) Powered by Discuz! 7.2