黑帽联盟

标题: 突破arp防火墙继续嗅探 [打印本页]
作者: admin    时间: 2016-10-12 13:32
标题: 突破arp防火墙继续嗅探
首先说下测试环境:
欺骗IP 192.168.15.108  5C:AC:4C:1A:00:BA
攻击IP 192.168.15.107  00:1B:FC:92:52:C2
路由: 192.168.15.1       14-d6-4d-7d-94-10

工具 cain+netfuke1.0.7+WinPcap
未欺骗是这样的情况 IP跟MAC是正确对应的
 arp嗅探


1、先安装WinPcap (此处略)
打开netfuke 如图
 arp防火墙


2、打开设置——嗅探配置——选择好网卡
勾选上 启用ARP欺骗  启用过滤器启用分析器 启用主动转发 如图
 无线安全


3、然后再选择设置——arp配置

 局域网安全


4、来源IP填网关
中间人默认是自己
目标ip为攻击ip
 局域网嗅探


5、保存好就按绿色那个按钮启动
 安全工具


6、现在我们就成功欺骗了 然后再打开cain 激活 启动嗅探
(不用再去弄什么网关目标ip的了因为数据已经经过我们本机了)
慢慢等着你想要的信息吧!


现在 我们来分析一下欺骗原理
我们去路由看下
 arp命令


大家发现了吧
192.168.15.108的MAC地址就跟192.168.15.107的MAC地址一样了
那样数据包就回发到我们192.168.15.107的地址上
我们是单向欺骗的 欺骗的是路由
cain模式是双向欺骗
但目标有arp防火墙 所以双向欺骗就失败了

我再说一下啊吧
正常的时候
访问者提交数据包到服务器——数据到达服务器网关——网关根据数据包把数据发到目标服务器mac----服务器响应后,再发到网关——网关再发给用户
当网关被欺骗后
访问者提交数据到服务器——数据到达服务器网关——网关因为MAC表被欺骗——网关把数据包发到攻击者的mac——netfuke(cain)分析数据——把数据报发到目标mac——目标响应——数据发到网关——网关发给用户

好了.以上原理仅个人理解 有错的地方请大牛指出!
可能出现的问题
1.CAIN无法打开
这个,我也不清楚.看人品吧
2.netfuke无法进行arp欺骗
这个你看看本机是不是静态绑定了网关 还有是不是安装了ARP防护软件
静态绑定 删除arp表(arp -d)
装了ARP防护的 停止掉!

有其他错误的,欢迎大家指出!
作者: 无心    时间: 2016-10-12 17:32
学习了



欢迎光临 黑帽联盟 (https://bbs.cnblackhat.com/) Powered by Discuz! X2.5