[原创]交换环境下进行sniffer的方法（WIN平台）

sesco · 发表于 2006-11-17 11:40:55

谢谢各位的分析，很受启发。

wugenfa · 发表于 2006-12-4 10:25:00

hen

hen

wastebaby · 发表于 2006-12-7 22:52:36

郁闷不懂啊。。哎太笨了。

lumenjushi · 发表于 2007-1-22 15:27:04

受教了
有机会一定要尝试的

wugenfa · 发表于 2007-1-22 18:39:31

原理挺简单，不知道操作起来怎么样~~~~
有机会测试一下，呵呵……

wux · 发表于 2007-2-21 15:16:37

基本步骤：
1.在嗅探的主机上开启数据包转发功能
2.将自己的MAC伪装一下，别让网管发现了
3.向被监控的对象发送高频率的伪装后的网关MAC地址，注意不能用广播哦，否则一个网段都被你废了
4.开始sniffer

被监视者的防范方法：
1. 记住自己所在网段的网关的MAC 地址，一般不会变的。如果发现变了一定要问网管，否则就是ARP类的病毒木马在作怪，或者被sniffer了
2. 安装一个antiarp等类似的软件，防止网关的MAC被修改

azngb · 发表于 2007-4-17 19:22:03

arpsender怎么用啊
斑竹能不能详细　的给俺说说

hopehands · 发表于 2007-4-17 21:31:59

非常好。。谢谢。。哈哈

lumenjushi · 发表于 2007-5-21 22:04:17

首先感谢楼住的分享但我有一点不明白在局域网里交换机是以MAC地址来转发数据帧的,而不是以IP地址来转发的为什么要开路由呢我是菜鸟请指教谢谢

lumenjushi · 发表于 2007-5-21 22:23:44

按照楼主的方法试过了,我是在网吧试的
我选择了其中的一台机子(假设为A), 给它发了一个ARP应答包
源物理地址填的是我的MAC地址,源IP填的是网关的IP(目的是把我伪装成网关)
同样给网关发了一个ARP应答包,源MAC地址填的是我的MAC,源IP填的是A机的IP(目的是把我自己伪装成A机)
然后打开本机的 routing and remote acess service服务
然后在过滤器里设定过滤地址分别为A机MAC和网关MAC 最终我一个包也没抓住
请问为什么

lumenjushi · 发表于 2007-5-21 22:28:39

还有一个疑问,假设我向某台机子发出了ARP应答包,把自己伪装成网关,那么它的ARP缓存就应该被我更改了吧,那么问题是,这个"错误"的缓存在多久后会被网关刷新

lumenjushi · 发表于 2007-5-22 16:05:08

怎么没有人回答问题了呢看来我得自己想办法解决了

lumenjushi · 发表于 2007-5-24 19:52:13

这个方法看似可行,可是有一个问题,就是要不停的发包,假如对方抓一下包的话就能发现你了

v313376448 · 发表于 2007-7-8 17:59:03

这个对客户端ARP双向绑定环境的不启作用。骗不了，可以用homeshare软路由软件效果更好

luzhenfeng · 发表于 2007-8-5 16:08:21

ding a

fengxuyi · 发表于 2007-8-5 21:16:47

请教一下不停的给B和B的真实网管发送ARP响应包，这个用什么实现？自己编的程序还是有前辈的软件？

fengxuyi · 发表于 2007-8-5 21:18:58

原帖由 lumenjushi 于 2007-5-21 22:23 发表
按照楼主的方法试过了,我是在网吧试的
我选择了其中的一台机子(假设为A), 给它发了一个ARP应答包
源物理地址填的是我的MAC地址,源IP填的是网关的IP(目的是把我伪装成网关)
同样给网关发了一个ARP应答包,源 ...

在你发送完以后可能ARP表的生存时间已经到了，网关和你要欺骗的主机已经又一次进行了ARP。

fengxuyi · 发表于 2007-8-5 21:20:51

原帖由 lumenjushi 于 2007-5-21 22:28 发表
还有一个疑问,假设我向某台机子发出了ARP应答包,把自己伪装成网关,那么它的ARP缓存就应该被我更改了吧,那么问题是,这个"错误"的缓存在多久后会被网关刷新

大约30秒！

luxxsys · 发表于 2007-9-13 01:21:28

在这里真是真是真是真是长见识了……服了你们这些高手了。

学习ing……

luxxsys · 发表于 2007-9-15 00:20:28

太好了，这个办法我也实践成功了。就是构造包的时候比较麻烦，我是用科来手工构造的，要是有人能够写一个专门的工具就好了呵呵。

期待啊……

bezier · 发表于 2007-11-5 13:07:56

为什么在我的etherpeek的edit send packet中没有arp协议，只有ip和tcp协议？

bezier · 发表于 2007-11-6 23:41:31

用ARPSENDER实验成功了，挺管用的。呵呵，不过用Etherpeek就不行没有成功

qianshengxin · 发表于 2009-6-22 13:15:21

谢谢分享，支持支持！辛苦了!学习一下！

openylx · 发表于 2009-12-2 17:14:41

我觉得多做点这种小试验，能够让我们思路更加清晰

ferite · 发表于 2009-12-22 22:42:00

不行啊被欺骗的电脑提示网络冲突

[原创]交换环境下进行sniffer的方法（WIN平台）

ARP欺骗的关键

arpsender???

回复 #1 peterhu318 的帖子

回复 #1 peterhu318 的帖子

浏览过的版块