认识黑客入侵的利器 嗅探软件逐个了解（2）

　　ARP是指地址解析协议，它允许网络将IP地址解析成MAC地址。基本上，ARP是这样工作的：当某个使用局域网IP的主机想要与另一台主机联络的时候，它需要那台主机的MAC地址。首先，它会查询自己的ARP缓存(想要查看你的ARP缓存，在命令行中输入ARP)，看看是否已经知道那台主机的MAC地址，如果没有，它会发出广播ARP请求，询问谁拥有我正在找的主机的IP地址? 如果拥有该地址的主机收到该ARP请求，它就会用自己的MAC地址响应，于是两台主机就可以使用IP进行对话了。通常，在像以太网这样使用Hub或者801.11b标准的总线网络中，所有NICs(网络接口卡)为混杂模式的主机都能收到所有的传输，但是在使用交换机的网络中却有所不同。交换机会查看发送给它的数据，并只把数据包传给它的目标MAC地址所属主机。使用交换机的网络更安全一些并且能够提高网速，因为它只把数据包发给需要去的地方。但是仍然有突破这种网络的方法。使用Arpspoof(Dsniff的部分功能)，Ettercap或者Cain我们就可以欺骗局域网中的其他主机，告诉它们，我们就是它们要找的那个主机，把它们传输通过我们来转发。

　　即使是使用交换机的网络，攻击者也可以很容易地从恢复启动CD中使用Dsniff或者Ettercap，来进行ARP欺骗并将传输转为通过它们来进行。这些工具甚至能够自动解析出用户名和密码，这给使用者提供极大的便利。如果攻击者在网关和FTP服务器之间进行ARP欺骗，那么它就能嗅探传输并在用户试图从站点外获取数据的时候提取用户名和密码，使用SMTP和POP3也是一样。即使是用SFTP、SSL以及SSH，仍然可以用Ettercap嗅探密码，因为该工具可以代理那些类型的连接。用户可能会收到警告说，他们试图获得的服务器的公共密钥已经被修改，或者可能不合法，但是我们中有多少人只是将那些信息关闭而根本不读呢?

　　图1中的图片说明了ARP欺骗/ARP病毒如何工作的。基本上，攻击者跟Alan的电脑说，他就是Brain的电脑，反之亦然。这样，攻击者把Alan和Brain之间的网络传输全部接收过来了。一旦攻击者在两个节点之间进行了ARP欺骗，他就可以用任何他喜欢的工具进行嗅探(TCPDump、Wireshark、Ngrep等等)。在网关和电脑之间进行ARP欺骗的话，攻击者可以看到电脑正在发送和从网上接收的所有数据。本文中我只会讲到如何使用这些工具。

　　使用Dsniff和Ettercap快速演示ARP欺骗

　　让我们从Dug Song的、支持Dsniff的ARPspoof程序开始吧。我使用的Unix版本，但是你可以找到Win32版本的。运行Dsniff最简单的方法就是从恢复启动CD启动。首先你应该确定包转发已经开启，不然我们的机器会丢弃所有我们想要嗅探的主机之间的传输，导致服务无响应。我用的一些工具会自动进行这项工作(比如Ettercap)，但是保险起见，你也许会希望自己来做这件事。根据操作系统的不同，你可以使用如下的命令：

　　Linux：

　　echo 1 > /proc/sys/net/ipv4/ip_forward

　　BSD：

　　sysctl -w net.inet.ip.forwarding=1

　　现在你的计算机将把转发所有的传输，现在你可以开始ARP欺骗了。我们假设你想要嗅探一个主机和网关之间的所有传输，这样你就可以看到它发送到网络上的所有数据。如果想要获得双向的所有传输，你应当使用如下2个命令行：

　　arpspoof -t 192.168.1.1 192.168.1.2 & >/dev/null

　　arpspoof -t 192.168.1.2 192.168.1.1 & >/dev/null

　　“& >/dev/nul”部分是为了使它在终端运行起来更容易，但是为了debug，你可能想要忽略它。现在你可以使用你想要的任何套件来嗅探连接。新手的话，我推荐使用Dsniff，它支持ARPspoof来嗅探纯文本密码。用Dsniff开始嗅探，你只需退出到命令窗口并输入：

　　dsniff

　　Dsniff找到用户名和密码后，它会将它们显示在屏幕上。如果你想要查看所有其他传输，我推荐你使用TCPDump或者 Wireshark。如果想要停止ARP欺骗，输入如下命令：

　　killall arpspoof

　　这会关闭上面启动的2个Arpspoof。

　　另一个很棒的工具是Ettercap，它相当于ARP病毒和密码嗅探界的瑞士军刀。我通常在非互动模式中使用它，但是默认情况下它的交互界面非常友好，使用起来很方便。如果你想要使用Ettercap来进行ARP病毒，你可以使用下面示范的命令例句。如果我们的目标是网络上的所有主机，想要嗅探每个节点之间的所有传输，我们可以用下列命令：

　　ettercap -T -q -M ARP // //

　　你应当谨慎的使用上面那段命令，因为如果把一个大网络中所有的传输都通过一台很慢的计算机的话，那么这很有可能使整个网络连接瘫痪。