2、无arp欺骗的嗅探技术国内好像最早由cncert提出来的这种嗅探技术~或许是zhihui13,我也不太清楚谁先。就是通过欺骗交换机的cam表来达到嗅探目的,交换机cam表存储着端口和mac的信息,可以通过改写这个信息,让本应发给一个机器的数据发给了另一个端口,这个嗅探很难防御,目前很少有能绑定ip、mac、端口三者之间关系的交换机。现在只要不是傻瓜型交换机,带管理功能的都可以对端口--MAC进行绑定。交换机工作在2层,3层的IP和它没有关系。
平时坛友们遇到的大部分环境都是这种不是很高级的交换机,没法绑定mac和端口
按照 ARP 协议的设计,为了减少网络上过多的 ARP 数据通信,一个主机,即使收到的 ARP 应答并非自己请求得到的,它也会将其插入到自己的 ARP 缓存表中,这样,就造成了“ ARP 欺骗”的可能。如果黑客想探听同一网络中两台主机之间的通信(即使是通过交换机相连),他会分别给这两台主机发送一个 ARP 应答包,让两台主机都“误”认为对方的 MAC 地址是第三方的黑客所在的主机,这样,双方看似“直接”的通信连接,实际上都是通过黑客所在的主机间接进行的。黑客一方面得到了想要的通信内容,另一方面,只需要更改数据包中的一些信息,成功地做好转发工作即可。在这种嗅探方式中,黑客所在主机是不需要设置网卡的混杂模式的,因为通信双方的数据包在物理上都是发送给黑客所在的中转主机的。 目前利用 ARP原理编制的工具十分简单易用,这些工具可以直接嗅探和分析FTP、POP3、SMB、SMTP、HTTP/HTTPS、SSH、MSN等超过30种应用的密码和传输内容。 下面是测试时利用工具捕获的 TELNET 过程,捕获内容包含了 TELNET 密码和全部所传的内容 : 不仅仅是以上特定应用的数据,利用中间人攻击者可将监控到数据直接发给 SNIFFER等嗅探器,这样就可以监控所有被欺骗用户的数据。 还有些人利用 ARP原理 开发出网管工具,随时切断指定用户的连接。这些工具流传到捣乱者手里极易使网络变得不稳定,通常这些故障很难排查。
安装「彩影ARP防火墙」
内容全部来源于网络收集,如有侵权,请联系网站删除:QQ:24596024