黑客教程四:嗅探技術
在局域網中,由於大家都是共用一個交換機或hub,就使黑客竊聽其它計算機之間的通訊成爲了可能。這種竊聽稱“嗅探”。(所有的公司、網吧、物業、工廠等,由於有多臺計算機上網,所以一般都是連接在一個設備上,再共享上網,這就可以使用此技術)
那麼這種技術有什麼危害呢?那危害可大了,大家想啊,當你訪問一個服務器時,服務器要求你登錄,你要輸入用戶名和密碼吧?你的用戶名和密碼會被你的計算機打成數據包送到服務器上去。如果黑客正在嗅探你發送的數據,那麼包含在數據中的用戶名和密碼不是被黑客知道了嗎?
另外,黑客也可以用這種技術監視你每天都在幹什麼,訪問什麼網站,下載哪些軟件。每天都有雙眼睛在你後面監視你上網,是不是很不爽啊。
那麼,嗅探是怎麼實現的呢?
如果在hub環境下,由於hub的泛洪特性,只要你的計算機安裝了winpcap插件,並打開嗅探工具,就可以監視其它人的計算機流量了。
默認情況下,計算機的網卡只接收目的MAC是自己或是廣播的。安裝了winpcap插件後,你的網卡將變爲“混雜模式”,即使不是發給你的,也要接收並分析。
在hub環境下,有winpcap+嗅探工具即可。
而winpcap是什麼呢?winpcap(windows packet capture)是windows平臺下一個免費,公共的網絡訪問系統。
但是到了交換環境下,由於交換機有轉發/過濾選擇功能,就是發給誰的數據幀,就找到對應的端口,其它人無法接收。這樣就對黑客接收其它計算機之間的通訊造成了困難。比如A/B/C三個用戶的計算機都接在交換機上,A要發數據給B,交換機根據目的地的地址(當然 是MAC地址而不是IP)就把數據轉給B,C是一個黑客,但他並不能接收到數據,你即使是混雜模式也無法接收到發給B的數據。
這樣,我們就要想辦法接收到本來不該發給你的數據。怎麼辦呢?我們可以利用局域網中非常重要的一個協議ARP(地址解析協議)的一個漏洞來解決這個問題。另外,我們也可以修改交換機的配置來解決問題。具體的方法有三種:
1、ARP欺騙:還是以剛纔的A/B/C爲例,C是黑客,而A和B是正常用戶。C先對A說:我是B,我的 MAC是3333。A作爲一臺計算機(計算機就是弱智,大家都知道),就傻傻的把數據發給3333,交換機接收數據,就真的發給了3333(其實是C而不 是B),然後C再把數據真正的發給B。這樣不知不覺中,A和B之間的數據就在C上“繞了一圈”。
2、交換欺騙:瞭解網絡設備的人都知道,交換機不同於HUB的最大特點就是交換機會做地址學習。學習是要有信息源的,如果信息源是假的呢?還是這個例子,C先找到B的MAC地址,假如是2222,然後C就對交換機說:我的地址是2222。於是,當A向B發送數據時,交換機就傻呼呼的把數據交給了2222對應的那個口(其實是C)。同樣C再把數據交給B,這樣也可以實現這個功能。
3、端口監視:大多數智能交換機爲了讓網管有能力監視網絡中用戶間的通訊。(給不良網管提供了一個渠道哦)都有一個端口監視的功能。以CISCO交換機爲例,在網管所在接口上輸入以下命令:
int fast 0/8(假設這個是網管連接的接口)
port monitor fast 0/1
port monitor fast 0/2
port monitor fast 0/3
... ...
把所有接口都打一遍,交換機就會把所有計算機之間通訊的數據都給網管發個副本。這樣,打開嗅探工具後,其它的數據內容就一目瞭然嘍。
具體的實現方法如下:
如果是HUB環境(估計現在找不到了),你安裝一個winpcap插件,再安裝一個嗅探工具即可。
如果是交換環境,你需要先配置交換機的端口監視(見上一節)。如果你不掌握交換機的控制權,你就需要以下的組合:
winpcap+欺騙工具+嗅探工具
×××讓人鬱悶的是,使用欺騙工具和嗅探工具都需要有winpcap支持,然而不同版本間的winpcap 似乎不兼容。也就是說欺騙工具和嗅探工具所要求的winpcap版本必須一致。而winpcap常見版本又很多,這就需要大家多測試,多摸索哪些欺騙工具 和哪些嗅探工具使用相同版本的winpcap,可以工作在一起。×××
下面舉個例子,說明嗅探的過程,以下組合都是我經過多次測試有效的:
例:winpcap3.0a+winarpspoof(欺騙工具)+arpsniffer(小榕開發的命令行嗅探工具)
--先要安裝winpcap,winpcap各版本安裝都非常簡單,但更換版本的時候,提示“是否保留原有文件”必須選“否”。由於arpsniffer這款工具壓縮包中一般會內置winpcap插件,所以不必單獨下載。
--接下來打開欺騙工具winarpspoof,先點scan(掃描)找到局域網中所有開啓的計算機。再點start開始欺騙(網絡會中斷2、3秒時間)。
--最後,在cmd中輸入:arpsniffer IP1 IP2 端口 日誌文件 ""
兩個IP地址可以是局域網中任意兩臺開機狀態的計算機地址,請千萬不要輸入自己的地址(會藍屏)。端口處,輸入你要監視哪些協議通訊,例如你要監視網絡中大家在上什麼網站,輸入什麼網站密碼就應該寫80。而日誌文件是爲了把嗅探記錄下來,以便將來搜索重要信息(例如密碼),最後就寫""就行了。
--然後你會看到有很多的文件出現,你就成功了。慢慢在裏面找重要信息吧。關於以上的操作,我做了一個動畫教程。可惜我沒有空間,也懶得去找什麼空間。有可以提供空間的,請與我聯繫吧。我這人懶,要求發郵件的恕不能滿足要求。而以上提到的軟件在http://www.77169.org中有的下。
另外,以下幾種組合大家也可以嘗試。
switchsniffer,它可以與winpcap 3.1和cain配合。這裏提到的cain是一款專業的嗅探密碼工具,可以捕獲各種密碼,圖形界面,而且有暴力或字典破解加密密碼的功能。可惜僅僅能嗅探密碼,像有些同志想監視別人的,它做不到。
switchsniffer+xsniff+winpcap3.1也不錯。
另外有一個專用於網絡管理員監視網絡流量的嗅探工具:sniffer pro(不是黑客工具),在交換環境下應該與端口監視配合使用。這款工具主要用於管理員監視和分析網絡流量,而不是黑客分析數據,有點不符合本筆記主旨,就不多說了。
本章最後,說幾句:
1、嗅探工具必須要有欺騙工具或者是交換機配置的支持才能發揮作用。你想你嗅探自己發送的數據有什麼意思?
2、嗅探工具和欺騙工具要求的winpcap版本一致才能正常工作,而嗅探工具層出不窮,欺騙工具卻少得可憐。所以一定要優先滿足欺騙工具的需求。我找了好久,還是以下這個網站的欺騙工具最強悍http://www.nextsecurity.net/,上面提到的兩個欺騙工具都是它的作品。大家可以到那裏去找最新版本。
3、嗅探不是萬能的,它只能在局域網中運行,而且針對於加密的數據,如果不掌握密鑰的無效(好在IPV6前,還是不加密的多)
好,第四章結束。