讨论《安装部署》---不一定要端口镜像

lovehuhu · 发表于 2008-9-26 18:01:01

大家都知道，在安装科来中，最重要的一个步骤就是部署安装好科来的PC。

通常的方法有:
1.端口镜像
2.使用HUB
3.使用TAP(分路器）
这些都可以在菜版的贴中得到详细的介绍
http://www.csna.cn/forum.php?mod ... &extra=page%3D1

假设，我的路由器不支持端口镜像，又没有HUB，更没有TAP,再或者我根本没有管理员权限(这里只是做技术交流请不要做违法的事),但我现在想要捕获到我网络中的数据包。那就试试下面的方法:

在需要捕获的机子上做一下操作
第一步：用MAC扫描工具扫描整个网络

其中192.168.2.1 00:21:27:68:4f:3c是网关
192.168.2.103  00:14:85:d1:80:d3是本机（抓包的机器）

第二步：用科来数据包生成器

操作类型：1    （ARP 请求）       注释:设置为请求包
源物理地址：00:21:27:68:4f:3c    注释:真实网关的MAC
源IP地址：192.168.2.1             注释:真实网关的IP
目标物理地址：FF:FF:FF:FF:FF:FF    注释:广播MAC
目标IP地址：192.168.2.255       注释:广播IP

然后就是发包了

建议在500MS以上的循环延迟（不然网络可能会有影响）

现在就可以抓包了(抓包的过程中,发包不要停止)

然后我们来做个比较：

（没有部署好的截图）目标地址：只有广播地址

（部署好的截图）目标地址：是指定了IP的
                                 能够看到192.168.2.100有QQ，迅雷，网页

总结：最初我是利用ARP欺骗原理，把自己的MAC码告诉其它PC我是网关，来实现包的劫持（从ARP病毒中得到的启发）,但这种情况，会影响到网络。后来发现，只要发出请求包，也可以实现，现发出来与大家共享，愿与大家交流，请大家指出不对的地方。

[ 本帖最后由 lovehuhu 于 2008-9-26 23:12 编辑 ]

lovehuhu · 发表于 2008-9-26 21:35:42

愿与大家分享,希望大家提出意见.

oldjiang · 发表于 2008-9-26 21:56:52

不能持续抓包
或者抓的包不完整

lovehuhu · 发表于 2008-9-26 21:58:59

还是比较全的,我做过实验

lovehuhu · 发表于 2008-9-26 21:59:41

大家可以先做个实验,看看先!

lovehuhu · 发表于 2008-9-26 22:00:53

抓包的时候,发包不要停

oldjiang · 发表于 2008-9-26 22:30:25

实际是在欺骗交换机，生成错误的mac地址表
不完整，是指没有完整的会话
把包发上来看看

lovehuhu · 发表于 2008-9-26 22:38:54

因为上面的贴是在公司,的网络中抓的,抓的包,我没有带回.

下面是我在家里抓,我家里有三台电脑,路由器是TP-LINK402(不支持端口镜像)

192.168.6.2 是放在客厅接电视机做HTPC用的,现在正在用KUGOO放歌.下面是截图:

lovehuhu · 发表于 2008-9-26 22:50:38

抓了个时间比较短的包

oldjiang · 发表于 2008-9-26 22:51:00

接收为0，单向的

lovehuhu · 发表于 2008-9-26 22:56:59

确实是单向的，抓到的是pc发出的包．

lovehuhu · 发表于 2008-9-26 22:58:02

但我也可以用这个方法来欺骗路由，不是吗？

lovehuhu · 发表于 2008-9-26 23:07:30

想问个白痴点的问题，如果只是解决局域网内部网络的问题，抓单向的包，有没有局限性和缺陷，分别是什么？谢谢指点！！

孤独的意尹者 · 发表于 2008-9-26 23:14:32

1、可以通过MAC flood将交换机MAC填满，是交换机成为hub，在抓包。
2、通过ARP欺骗，开启主机路由转发功能，开启防火墙过滤icmp重定向报文，可实现完整的局域网中间人攻击，可以实现完整会话的情况下，抓取全网数据包，cain就是这么干的，呵呵

lovehuhu · 发表于 2008-9-26 23:16:40

原帖由 孤独的意尹者 于 2008-9-26 23:14 发表
1、可以通过MAC flood将交换机MAC填满，是交换机成为hub，在抓包。
2、通过ARP欺骗，开启主机路由转发功能，开启防火墙过滤icmp重定向报文，可实现完整的局域网中间人攻击，可以实现完整会话的情况下，抓取全网数据 ...

学习了!!

oldjiang · 发表于 2008-9-26 23:18:21

参考robur的文章：
http://www.csna.cn/forum.php?mod=viewthread&tid=8747
http://www.csna.cn/forum.php?mod=viewthread&tid=8749
随便发一个包都可以，只要源mac地址是网关的mac，不一定是ARP包，交换机就会把内网到网关的包发给你

单向的包，当然有局限性，不全啊，只能说有包比没有好

lovehuhu · 发表于 2008-9-26 23:28:43

原帖由 oldjiang 于 2008-9-26 23:18 发表
参考robur的文章：
http://www.csna.cn/forum.php?mod=viewthread&tid=8747
http://www.csna.cn/forum.php?mod=viewthread&tid=8749
随便发一个包都可以，只要源mac地址是网关的mac，不一定是ARP包，交换机就会把内网到网关的包发给你 ...

谢谢Oldjiang,在发这个帖之前,我在给一些小公司检查内部网络问题的时候(因为这些公司的交换机都没有端口镜像),就是用的这个方法,也解决了不少问题.所以现发出来与大家交流.

lovehuhu · 发表于 2008-9-26 23:40:28

看了robur的文章,真是感觉一山还比一山高啊

oldjiang · 发表于 2008-9-26 23:43:06

也是一个办法，虽然不正统，呵呵

oldjiang · 发表于 2008-9-26 23:43:19

robur出品，都是精品

viviviva · 发表于 2008-9-27 17:15:01

这种方法早在2006年就用科来进行单机分析了!其实也就是ARP欺骗

讨论《安装部署》---不一定要端口镜像

本帖子中包含更多资源

回复 3# 的帖子

本帖子中包含更多资源

本帖子中包含更多资源