?

?

假如網吧頻繁發生郵箱帳戶、游戲帳戶被盜的情況，那么網吧的聲譽勢必受到影響，作為網管也免不了被到老板責問一番。然而令人覺得郁悶的是，明明已經在防毒防木馬方面作了很多工作，為何還會發生此類的事情呢？在這里就來一起分享一下經驗，看一看如何找出隱藏在網吧內的ARP欺騙與嗅探入侵真兇。

　　正所謂知己知彼，百戰不殆。要抓住真兇首先要了解其屢屢得手的把戲！由于網吧中的電腦都在一個局域網之內，并且網吧內的電腦與外網的電腦有防火墻隔離保護，因此可以比較肯定的一點入侵者就在網吧內部，然而他到底使用了什么工具獲取別人的資料呢？由于網吧電腦安裝了殺毒軟件和還原工具，因此使用木馬獲取資料的可能性不大，最大的可能是使用嗅探工具。

　　靜態嗅探

　　說起嗅探就不得不說一下，局域網的工作原理。在使用集線器作為中央裝置乙太網中，數據包會廣播至各臺電腦，但是只有目標電腦才會接收數據包。其他電腦則不會理會這些不是發送給自己的數據包。但是使用嗅探工具的黑客，卻可以通過讓自己的網卡處于混雜模式，接收所有經過網卡的數據包，并從中分析出用戶的帳戶、密碼等資料。

　　Xsniff就是一個的典型的靜態嗅探工具。它可以幫助黑客自動捕獲局域網中計算機所傳輸的數據包，并且自動分析所捕捉到數據包的源地址、目的地址、通信端口號、信息長度、時間周期信息等內容，并且自動將有用的密碼信息存放至用戶指定的文件中。由于Xsniff是免安裝的綠色軟件，所以即使在限制了軟件安裝的網吧，它一樣可以順利執行。

運行了Xsniff之后，可以看到Xsniff提供了很多的參數命令。
　　<選項>含義如下:
　　-tcp : 輸出TCP數據報
　　-udp : 輸出UDP數據報
　　-icmp : 輸出ICMP數據報
　　-pass : 過濾密碼信息
　　-hide : 后臺運行
　　-host : 解析主機名
　　-addr <IP地址> : 過濾IP地址
　　-port <端口> : 過濾端口
　　-log <文件名> : 將輸出保存到文件
　　-asc : 以ASCII形式輸出
　　-hex : 以16進制形式輸出
　　其中最為經典的命令組合為：
　　xsniff –pass –hide –log password.txt
　　執行之后程序就會在后臺執行，黑客就可以去玩網游或是上網聊天了。即使網管在網吧亂轉一通，也很難發現是誰在搗亂。在他離開網吧之前，只需要將xsniff同目錄下的password.txt打開來看看，就可以知道此行是否有所斬獲,如下圖所示。依測試情況來看，此行還是有收獲的^_^

　　然而靜態嗅探只適用于集線器為中央裝置的網絡。隨著交換機大量使用，只有少量真正需要廣播的數據包，才會傳至每一個節點，其他的內容都不再廣播至整個網絡，所以靜態嗅探多出現在一些設備落后的小網吧。在較大的新型網吧中，出現的以ARP欺騙（ARPSpoof）為前導的新式嗅探。
　　
　　ARP欺騙（ARP Spoof）為前導的新式嗅探

　　用戶電腦在外向發送數據時，通訊協議會將數據拆分打包發送，并根據ARP列表在數據包中寫上目標的MAC地址。然后交換機根據數據幀中的MAC地址，將不同的幀發送至不同的端口。但是由于ARP協議本身的問題，列表中的MAC很容易被非法修改。例如黑客使用具有ARP欺騙功能的嗅探軟件，就能不斷向外發送ARPReply包，進行以下的非法攻擊：

　　1.修改局域網內其他主機ARP列表。將原網關IP地址與MAC地址的正確對應記錄刪除，然后將網關IP地址與黑客電腦的MAC地址對應起來。

　　2.修改網關上ARP列表，將原來各IP與MAC的正確記錄刪除，取而代之將各IP地址與黑客電腦的MAC地址對應起來。

　　將上述的操作完成后，用戶端與網關通訊的數據包就會源源不斷地發至黑客的電腦，為了不讓數據通訊中斷，具有ARP欺騙功能的嗅探軟件一邊轉發數據，一邊讓網卡工作于混雜模式（promiscuous），解讀所有流經自己的數據包，通過分析、解讀數據包內的信息，就可以獲得黑客感興趣的密碼、帳戶等資料了。

　　由于IPv4在安全方面的缺陷，理論上只要在局域網絡內任何一臺電腦運行這一類嗅探工具，就可以截取網內任意一臺電腦的通信信息。因此許多入門黑客比較喜歡在網吧使用這種手段是竊取用戶的私密資料。

　　以上的原理看起來很復雜，但是事實上一些打包發行的嗅探工具，將這一切變成只需要按幾個按鈕那么簡單，只要具有一點點網絡基礎的用戶，或許就能搖身一變成為威脅網吧安全的敵人。其中CAIN就是一種典型帶ARP欺騙的嗅探工具。

　　相對于在命令行執行的Xsniff,功能強大并且具有圖形化界面的CAIN更為菜鳥黑客所喜愛。該軟件不但能自動監聽局域網內的數據報文，還集成了自動分析、破解的功能，把明文的監聽到結果直接分類整理在圖形界面輸出。對于加密數據包，還提供字典破解、暴力破解等多種解密方法以協助黑客入侵。

　　雖然原裝的cain需要安裝才能使用，但是網上也有不少免安裝綠色版在流傳。所以網管們，最好還是謹防它為妙。所謂百聞不如一見，下面就讓各位親睹一次CAIN入侵。

　　打開CAIN切換到“sniff”選項卡，單擊“+”按鈕，單擊“OK”即可掃描網絡出網絡內開機狀態的所有主機。

　　在左邊選擇網關，右邊選擇需要監聽的電腦。按“OK”按鈕，Cain就會對目標電腦進行ARP欺騙，讓別的電腦將它當成網關，從而在交換環境進行嗅探。

　　監聽設置完成之后，黑客就可以去玩網游、或開QQ聊天，所有的分析、嗅探工作將由軟件在后臺自動完成，而所獲取FTP、HTTP、ICQ、電子郵件密碼均會自動記錄在軟件的Passport頁面里，運氣好的話，黑客很快就可以在記錄頁面中收獲不少用戶帳號和密碼。

在以上實例中我們可以看出，在嗅探軟件的協助下，入門黑客只需要簡單的操作，即可將整個局域網籠罩在他的魔爪之下，而危害更大的嗅探木馬，例如傳奇木馬、傳奇殺手、QQ密碼嗅探器，都是使用相類似的原理工作的，這里就不再說明與演示了。在了解對手的情況之后，在下篇中我們將來一起看看，作為網管應當怎樣防御這種嗅探入侵。

　　注1：大多數嗅探軟件均需要安裝一個捕獲底層數據包驅動WinPcap后才能正常運行。

總結

以上是生活随笔為你收集整理的ARP欺骗与嗅探入侵揭密--上篇(转)的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。