黑客教程四：嗅探技术

黑客教程四：嗅探技术

在局域网中，由于大家都是共用一个交换机或hub，就使黑客窃听其它计算机之间的通讯成为了可能。这种窃听称“嗅探”。（所有的公司、网吧、物业、工厂等，由于有多台计算机上网，所以一般都是连接在一个设备上，再共享上网，这就可以使用此技术）

　　那么这种技术有什么危害呢？那危害可大了，大家想啊，当你访问一个服务器时，服务器要求你登录，你要输入用户名和密码吧？你的用户名和密码会被你的计算机打成数据包送到服务器上去。如果黑客正在嗅探你发送的数据，那么包含在数据中的用户名和密码不是被黑客知道了吗？

　　另外，黑客也可以用这种技术监视你每天都在干什么，访问什么网站，下载哪些软件。每天都有双眼睛在你后面监视你上网，是不是很不爽啊。

---

　　那么，嗅探是怎么实现的呢？

　　如果在hub环境下，由于hub的泛洪特性，只要你的计算机安装了winpcap插件，并打开嗅探工具，就可以监视其它人的计算机流量了。

　　默认情况下，计算机的网卡只接收目的MAC是自己或是广播的。安装了winpcap插件后，你的网卡将变为“混杂模式”，即使不是发给你的，也要接收并分析。

在hub环境下，有winpcap+嗅探工具即可。

　　而winpcap是什么呢？winpcap(windows packet capture)是windows平台下一个免费，公共的网络访问系统。

---

　　但是到了交换环境下，由于交换机有转发/过滤选择功能，就是发给谁的数据帧，就找到对应的端口，其它人无法接收。这样就对黑客接收其它计算机之间的通讯造成了困难。比如A/B/C三个用户的计算机都接在交换机上，A要发数据给B，交换机根据目的地的地址（当然 是MAC地址而不是IP）就把数据转给B，C是一个黑客，但他并不能接收到数据，你即使是混杂模式也无法接收到发给B的数据。

　　这样，我们就要想办法接收到本来不该发给你的数据。怎么办呢？我们可以利用局域网中非常重要的一个协议ARP（地址解析协议）的一个漏洞来解决这个问题。另外，我们也可以修改交换机的配置来解决问题。具体的方法有三种：

　　1、ARP欺骗：还是以刚才的A/B/C为例，C是黑客，而A和B是正常用户。C先对A说：我是B，我的 MAC是3333。A作为一台计算机（计算机就是弱智，大家都知道），就傻傻的把数据发给3333，交换机接收数据，就真的发给了3333（其实是C而不 是B），然后C再把数据真正的发给B。这样不知不觉中，A和B之间的数据就在C上“绕了一圈”。

　　2、交换欺骗：了解网络设备的人都知道，交换机不同于HUB的最大特点就是交换机会做地址学习。学习是要有信息源的，如果信息源是假的呢？还是这个例子，C先找到B的MAC地址，假如是2222，然后C就对交换机说：我的地址是2222。于是，当A向B发送数据时，交换机就傻呼呼的把数据交给了2222对应的那个口（其实是C）。同样C再把数据交给B，这样也可以实现这个功能。

　　3、端口监视：大多数智能交换机为了让网管有能力监视网络中用户间的通讯。（给不良网管提供了一个渠道哦）都有一个端口监视的功能。以CISCO交换机为例，在网管所在接口上输入以下命令：

　　int fast 0/8(假设这个是网管连接的接口)

　　port monitor fast 0/1

　　port monitor fast 0/2

　　port monitor fast 0/3

... ...

　　把所有接口都打一遍，交换机就会把所有计算机之间通讯的数据都给网管发个副本。这样，打开嗅探工具后，其它的数据内容就一目了然喽。

---

　　具体的实现方法如下：

　　如果是HUB环境（估计现在找不到了），你安装一个winpcap插件，再安装一个嗅探工具即可。

　　如果是交换环境，你需要先配置交换机的端口监视（见上一节）。如果你不掌握交换机的控制权，你就需要以下的组合：

　　winpcap+欺骗工具+嗅探工具

　　×××让人郁闷的是，使用欺骗工具和嗅探工具都需要有winpcap支持，然而不同版本间的winpcap 似乎不兼容。也就是说欺骗工具和嗅探工具所要求的winpcap版本必须一致。而winpcap常见版本又很多，这就需要大家多测试，多摸索哪些欺骗工具 和哪些嗅探工具使用相同版本的winpcap，可以工作在一起。×××

---

　　下面举个例子，说明嗅探的过程，以下组合都是我经过多次测试有效的：

　　例：winpcap3.0a+winarpspoof（欺骗工具）+arpsniffer（小榕开发的命令行嗅探工具）

　　--先要安装winpcap，winpcap各版本安装都非常简单，但更换版本的时候，提示“是否保留原有文件”必须选“否”。由于arpsniffer这款工具压缩包中一般会内置winpcap插件，所以不必单独下载。

　　--接下来打开欺骗工具winarpspoof，先点scan（扫描）找到局域网中所有开启的计算机。再点start开始欺骗（网络会中断2、3秒时间）。

　　--最后，在cmd中输入：arpsniffer IP1 IP2 端口 日志文件 ""

　　两个IP地址可以是局域网中任意两台开机状态的计算机地址，请千万不要输入自己的地址（会蓝屏）。端口处，输入你要监视哪些协议通讯，例如你要监视网络中大家在上什么网站，输入什么网站密码就应该写80。而日志文件是为了把嗅探记录下来，以便将来搜索重要信息（例如密码），最后就写""就行了。

　　--然后你会看到有很多的文件出现，你就成功了。慢慢在里面找重要信息吧。关于以上的操作，我做了一个动画教程。可惜我没有空间，也懒得去找什么空间。有可以提供空间的，请与我联系吧。我这人懒，要求发邮件的恕不能满足要求。而以上提到的软件在http://www.77169.org中有的下。

　　另外，以下几种组合大家也可以尝试。

　　switchsniffer，它可以与winpcap 3.1和cain配合。这里提到的cain是一款专业的嗅探密码工具，可以捕获各种密码，图形界面，而且有暴力或字典破解加密密码的功能。可惜仅仅能嗅探密码，像有些同志想监视别人的，它做不到。
　　switchsniffer+xsniff+winpcap3.1也不错。

　　另外有一个专用于网络管理员监视网络流量的嗅探工具：sniffer pro（不是黑客工具），在交换环境下应该与端口监视配合使用。这款工具主要用于管理员监视和分析网络流量，而不是黑客分析数据，有点不符合本笔记主旨，就不多说了。

---

　　本章最后，说几句：

　　1、嗅探工具必须要有欺骗工具或者是交换机配置的支持才能发挥作用。你想你嗅探自己发送的数据有什么意思？

　　2、嗅探工具和欺骗工具要求的winpcap版本一致才能正常工作，而嗅探工具层出不穷，欺骗工具却少得可怜。所以一定要优先满足欺骗工具的需求。我找了好久，还是以下这个网站的欺骗工具最强悍http://www.nextsecurity.net/，上面提到的两个欺骗工具都是它的作品。大家可以到那里去找最新版本。

　　3、嗅探不是万能的，它只能在局域网中运行，而且针对于加密的数据，如果不掌握密钥的无效（好在IPV6前，还是不加密的多）

　　好，第四章结束。