[原创]交换环境下进行sniffer的方法（WIN平台）

peterhu318

交换环境下进行sniffer(基于WINDOWS平台）

题      目：交换环境下进行sniffer，Windows平台。
试验环境：公司内部，通过一个ADSL路由器上网，内部采用8口小交换机连接
目      标：现在要监听机器B
采用软件：Ethereal 0.99  ，安装在WINXP平台上， 机器为A，arp欺骗软件:arpsender

监听原理：为了监听B,需要用到ARP欺骗：即不停的向B发ARP响应包，告诉它网关的MAC是MAC_A(而不是正常的网关的MAC),这样当B向网关发包时，所有的包都到了机器A；再不停的向网关发ARP响应包，告诉网关，机器B的MAC地址是MAC_A（而不是正常的MAC_B)，这样，当网关要向B发数据时，就也发送到了A。

遇到的问题：但是，实验中发现，机器A收到网关至B或者B到网关的数据包后，没有再进行转发，直接丢弃了，这样就造成了一种现象：机器B无法上网了。（包倒是监听到了一些）

解决：这肯定是机器A的IP路由没有打开。经过努力，发现WINXP的系统服务里有一项 routing and remote acess service，将其启动就可以了。

菜鸟人飞

厉害，佩服！

libin125_0

原理挺简单，不知道操作起来怎么样~~~~
有机会测试一下，呵呵……

菜青虫

呵呵，原理很清楚 ，回家试一下，

1259

交换环境欺骗参见http://www.netexpert.cn/forum.ph ... B%BB%BB%BB%B7%BE%B3的详细讨论

libin125_0

厉害~~~~~
这样，一般客户端利用网络分析软件，就可以洞察任何其他客户端上的网络信息了~~~~~~~~~
真的太厉害了~~~~~~~~~~~~我都不晓得怎么说了....................................

jiesen

哪位做过了测试或实验，成功了的话，可否发发图上来研究呢？

jiesen

交换环境下的ARP欺骗和Sniffer,就这么简单

1、准备
    win2000/xp ＋Etherpeek 。将自己的MAC修改为一个不存在的，具体步骤不再叙述。干坏事嘛，总得伪装一下。
2、将本机的网关设为非本网段的任一IP，比如设成其他网段的网关。制作一个批处理包含以下命令：
     arp -s 网关IP  本网段网关的MAC
这样做的目的是防止ARP欺骗时自己上网也困难
3、在注册表的HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters下增加：

    Name:IPEnableRouter

    Type:REG_DWORD

    Value:0x01

    重启系统即可。
目的是启用路由转发功能，以便在随后的ARP欺骗中本机充当MAN-IN-THE-MIDDLE(中间人）
4、启动Etherpeek,构造如图所示的包（图1），可以将这个包存盘，以备后用。
5、以每秒5个包的速度向外发送这个ARP欺骗包（图2）。
6、启动捕获，就可以抓到整个网段内的包。
7、注意：不要用此方法干坏事。被网管抓住别找我！

图片附件: packet.jpg (2005-6-20 23:53, 54.31 K)




图片附件: sendwindow.jpg (2005-6-20 23:53, 19.76 K)



==============================================
以上两个案例我都没能做成功，有哪位是做成功了的呢？谢谢！大家交流下！

libin125_0

按照楼主的方法，小弟成功的实现了在交换环境下对特定客户端的实时监视~~~~~~
00:40:CA:5F:9B:CF      192.168.0.101        本机
00:0C:41:CC:C6:50      192.168.0.1            网关
00:13:CE:2D:A6:70      192.168.0.102       被监视客户端（笔记本无线上网）
其它192.168.0.103（笔记本无线）  192.168.0.100  192.168.0.105都是网内的其他机器

很直观的图片如下，在广播地址、本机和被控端都形成了一个三角形~~~~~~~~~~

libin125_0

郁闷，太大了只能传图。
重新来一次，抓个小点的。==5

libin125_0

今天IP又重新分配了，重新介绍一下：
00:40:CA:5F:9B:CF       192.168.0.104        本机
00:0C:41:CC:C6:50      192.168.0.1            网关
00:40:05:12:85:58        192.168.0.105        被监视端
00:13:CEB:21:6F       192.168.0.100        被监视端（本本）
刚才的图理解错了，直观表现应该不是三角，应该是下图的样子。
被监视端直接通过本机与网关相连：

jiesen

有步骤吗、第二个图对了，你用的arpsender
这个软件吗？还是做的包来发？

libin125_0

呵呵，我很菜，做包还不会~~~~~~~~~~~
只有用 哪个ARPsender了，有这个软件。挺好用的。
不过在使用 网络执法官   等网管工具的时候也会发现这种欺骗的存在~~~~~~

菜鸟人飞

原帖由 libin125_0 于 2006-6-20 13:39 发表
呵呵，我很菜，做包还不会~~~~~~~~~~~
只有用 哪个ARPsender了，有这个软件。挺好用的。
不过在使用 网络执法官   等网管工具的时候也会发现这种欺骗的存在~~~~~~

其实这就是ARP欺骗实例，让安装分析软件的机器充当中间人的角色。
网络执法官等软件的工作原理，也大致如此，它们在进行控制某些主机时，即对这些主机发送一些欺骗数据包，且不将数据包进行正确的转发，所以造成了这些主机无法正常通讯。

做包，是指的编辑数据包，手工生成数据包吗？
如果是，其实挺简单的，可以结合Sniffer Pro或Etherpeek的发包工具，在它的编辑框中更改每个字段的值，然后将修改后的数据包发出，这样分析软件捕获到的包，就是我们刚才手动编辑生成并发送的数据包了。

[ 本帖最后由 菜鸟人飞 于 2006-6-20 15:05 编辑 ]

libin125_0

呵呵，多谢指点。
在我的感觉中，手工发包多是利用DOS命令，用批处理方式发送，呵呵……
去找个工具试试~~~~~~~

jiesen

使用Arpsender成功了，一定要装winpcap3.0以上版，Arpsender才工作正常；
采用Etherpeek 做包没成功，被检测主机已经得到欺骗的网关MAC地址，但是监控机就是不作中转和回应！作的ARP响应包如图：
00-0c-f1-1d-39-f1为我的监控机MAC地址，网关的IP是192.168.1.1;

[ 本帖最后由 jiesen 于 2006-6-20 18:09 编辑 ]

libin125_0

楼上的开启了Routing and Remote Access服务没有啊？开启之后应该是没有问题的。
小弟一切按照楼主的方法做的，开启服务----用工具发包----用分析软件捕获，一切正常…………

看来没有问题还不是什么好事情啊，楼上大哥好好分析，小弟也爱莫能助，解决后希望能分享经验，嘿嘿……

jiesen

Routing and Remote Access服务是一定要开的！第一步就要开的！呵呵

jiesen

附测试PPT文档及注意事项！多次测试通过!

libin125_0

谢谢jiesen斑竹~~~~~~~~
我是觉得本机总发包告诉网关一会儿是这个地址，下一个又是哪个地址。下次记得要绑定了~~~~~~~~

zmc837

受教了，今晚回去就做坏事，哈哈

heitd

感谢提供 ～～～ ！！！

aylwb

谢谢jiesen斑竹~~~~~~~~

fadu

原理挺简单，不知道操作起来怎么样~~~~
有机会测试一下，呵呵……

haoqiang18

呵呵,顶一下了

scott_yq

看来都是高手，小弟长见识了。呵呵

iMayday

嘎嘎~试试去

sbyguli

长见识了。呵呵！找机会试以下

fg0000

原帖由 jiesen 于 2006-6-19 22:11 发表
交换环境下的ARP欺骗和Sniffer,就这么简单

1、准备
    win2000/xp ＋Etherpeek 。将自己的MAC修改为一个不存在的，具体步骤不再叙述。干坏事嘛，总得伪装一下。
2、将本机的网关设为非本网段的任一IP，比如 ...

怎么修改,修改IP 还行,物理地址就不知道了,
还有中间人需要设置NAT转换才能上网 XP下行吗

jianci

明天做下试验了哦了~