2006年3月9日 星期四

◇ 2006.03.09,Sniffer 測試...

作者: mosquito520 (我在夜裡飛翔...) 看板: mosquito520
標題: Sniffer 測試...
時間: Thu Mar 9 04:09:57 2006

今天上計算機網路...
老師要求要用一套軟體...
ethereal
http://www.ethereal.com/
用這套軟體去聽DNS封包...
把封包dump出來...
解釋封包結構跟內容...

換句話說...就是sniffer...
根據奇摩字典的翻譯...
sniffer...人體嗅探器
很奇怪的翻譯...

sniffer在網路安全的領域...
應該叫做竊聽器會比較合適...
竊聽封包的行為...

要竊聽封包應該要先瞭解封包的流程...
TCP/IP建立連線有所謂的3 way hand shake...
src送ACK封包出去給dst...
dst回傳SYN封包回src...
src再送SYN封包給dst...
或是說EST...這個時候就建立連線...

不過UDP則沒有這個步驟...
封包丟出去就不管死活了...

封包從src到dst...會經過很多router...包括自己的IP分享器...
反過來也是...

以前的Hub...就是一個很簡單的封包轉送器...可以用強波器的功能來看...
封包從router到Hub...接下來Hub會做的動作是...
把封包往255.255.255.255丟...
就是丟進broadcast...直接廣播的意思...
換句話說每個在這個Hub底下的Client都會收到這個封包...
接下來由網路卡作確認的動作...
檢查封包的標頭所含的Mac address是不是自己的...
不是就當作沒聽見...
是的話...當然就收進來做處理...

現在大多改用Switch Hub...交換式集線器...
Switch就是交換...
她的功能有點像是接線生...
在Switch Hub上面會有一個表...叫做ARP table...
Switch Hub收到封包的同時...會照著表...
看這是誰的封包...就送給誰...
所以自然其他人聽不到...提高了安全性...
也避免了封包碰撞的機會...


好~那接下來...
這樣就祇能聽到自己的封包啦...這樣就沒搞頭了...
所以這個時候我們要動一點手腳...
改寫ARP table...
有一套軟體...NetCUT就是做這個動作...
只要IP給他...他就幫你送出指令...
把他的Mac address指到沒有再用的IP去...
這樣封包就送不到了...
接下來的問題是...他就斷線了= =...
使用者會發現網路斷線...
而且作業系統在送封包沒有回應的情況下...
自己也會把ARP table寫回去...
NetCUT會幫你一直改ARP table...所以被害者等同於斷線...

但是如果要竊聽的話...就必須營造一個沒有問題的假象...
這個時候要做的動作就是ARP spoof...
欺騙ARP table...
讓Hub以為我就是被害者...讓被害者以為我就是Hub...
這樣咧...
被害者的封包不管往外還是往內都會先經過我...
這個時候就可以來竊聽了...

工具:DSniff(一流的網路審計和滲透測試工具)
網址:http://naughty.monkey.org/~dugsong/dsniff/
類別:開放源碼
平臺:Linux/BSD/Unix/Windows
簡介:DSniff是由Dug Song開發的一套包含多個工具的軟體套件。其中,dsniff、file
snarf、mailsnarf、msgsnarf、rlsnarf和 webspy可以用於監視網路上我們感興趣的
資料(如口令、e-mail、檔等),arpspoof、dnsspoof和macof能很容易地載取到攻擊者
通常難以獲取的網路資訊(如二層交換資料),sshmitm和webmitm則能用於實現重寫SSH
和HTTPS會話達到monkey-in-the -middle攻擊。在
http://www.datanerds.net/~mike/dsniff.html
可以找到Windows平臺上的移植版。

不過windows版似乎沒有移植ARP spoof的功能...
用CYGWIN跑unix版...少了一些東西我就懶的玩了...

另外找到的ARP spoof for win32...
http://tinyurl.com/85kzf
不過readme裡面有寫...
XP跑會有點問題...
我跑不起來Orz...

最後...放棄...
寫點東西讓自己不會忘的那麼快...
如果要玩MSNSniffer...
ARP要先搞定...
不然除了自己的封包以外啥都聽不見...

Refer:

網路安全領域最具代表性的75個安全工具
http://forum.icst.org.tw/phpBB2/viewtopic.php?p=23972&

密技偷偷報-玩密技才是真高手
http://totalpost.pcuser.com.tw/2AT124.htm

--
I hate nuclear weapons.
Therefore I'm a member of the Silient Service.
Today I become independent of my country which permits itself to make wars.
Today I've got free!

--
※ 發信站: 批踢踢兔(ptt2.cc)
◆ From: 220.133.140.180

沒有留言:

張貼留言

來推薦一下VPS Racknerd

網路上有蠻多這間VPS的推薦,不過大多是賺傭金的 推薦的點不外乎是便宜,然後中國那邊很多拿來當VPN跳板主機 我當初也是無聊租了一台來玩 後來實際上用起來覺得還可以 但是有幾個小地方當初租的時候沒注意到 就來分享一下,順便分享我的推薦連結 XDDD Racknerd有很多優惠方案...