admin 发表于 2016-11-6 01:53:52

突破arp防火墙继续嗅探

首先说下测试环境:
欺骗IP 192.168.15.108  5C:AC:4C:1A:00:BA
攻击IP 192.168.15.107  00:1B:FC:92:52:C2
路由: 192.168.15.1       14-d6-4d-7d-94-10
工具 cain+netfuke1.0.7+WinPcap
未欺骗是这样的情况 IP跟MAC是正确对应的


先安装WinPcap (此处略)
打开netfuke 如图


打开设置——嗅探配置——选择好网卡
勾选上 启用ARP欺骗  启用过滤器启用分析器 启用主动转发 如图


然后再选择设置——arp配置



来源IP填网关
中间人默认是自己
目标ip为攻击ip


保存好就按绿色那个按钮启动


现在我们就成功欺骗了 然后再打开cain 激活 启动嗅探
(不用再去弄什么网关目标ip的了因为数据已经经过我们本机了)
慢慢等着你想要的信息吧!

现在 我们来分析一下欺骗原理
我们去路由看下


大家发现了吧
192.168.15.108的MAC地址就跟192.168.15.107的MAC地址一样了
那样数据包就回发到我们192.168.15.107的地址上
我们是单向欺骗的 欺骗的是路由
cain模式是双向欺骗
但目标有arp防火墙 所以双向欺骗就失败了
什么,还不明白?我再说一下啊吧
正常的时候
访问者提交数据包到服务器——数据到达服务器网关——网关根据数据包把数据发到目标服务器mac----服务器响应后,再发到网关——网关再发给用户
当网关被欺骗后
访问者提交数据到服务器——数据到达服务器网关——网关因为MAC表被欺骗——网关把数据包发到攻击者的mac——netfuke(cain)分析数据——把数据报发到目标mac——目标响应——数据发到网关——网关发给用户
好了.以上原理仅个人理解

可能出现的问题
1.CAIN无法打开
这个,我也不清楚.看人品吧

2.netfuke无法进行arp欺骗
这个你看看本机是不是静态绑定了网关 还有是不是安装了ARP防护软件
静态绑定 删除arp表(arp -d)
装了ARP防护的 停止掉!

951276805 发表于 2016-11-6 23:18:53

https://bbs.cnblackhat.com//mobcent//app/data/phiz/default/03.pnghttps://bbs.cnblackhat.com//mobcent//app/data/phiz/default/03.pnghttps://bbs.cnblackhat.com//mobcent//app/data/phiz/default/03.pnghttps://bbs.cnblackhat.com//mobcent//app/data/phiz/default/03.png
页: [1]
查看完整版本: 突破arp防火墙继续嗅探