首页 > 安全 > 系统安全 >

linux下面玩arp欺骗与嗅探(双向、多ip)

2011-01-24

算是一个记录过程吧,windows下面玩cain久了,发现他占cpu高,关键是没有命令行的。 今天也碰到个linux的,直接获得了root密码。上去玩centos的arp欺骗与sniff。(先本地虚拟机里面用federa core 10测试了)。 用的是dsniff,具体安装资

算是一个记录过程吧,windows下面玩cain久了,发现他占cpu高,关键是没有命令行的。

今天也碰到个linux的,直接获得了root密码。上去玩centos的arp欺骗与sniff。(先本地虚拟机里面用federa core 10测试了)。

用的是dsniff,具体安装资料见前面转载的文章。另外,我安装了tcpdump。

这儿说下tcpdump的过滤参数:

第一种是关于类型的关键字,主要包括host,net,port, 例如 host 210.27.48.2,指明 210.27.48.2是一台主机,net 202.0.0.0 指明 202.0.0.0是一个网络地址,port 23 指明端口号是23。如果没有指定类型,缺省的类型是host.

第二种是确定传输方向的关键字,主要包括src , dst ,dst or src, dst and src ,这些关键字指明了传输的方向。举例说明,src 210.27.48.2 ,指明ip包中源地址是210.27.48.2 , dst net 202.0.0.0 指明目的网络地址是202.0.0.0 。如果没有指明方向关键字,则缺省是src or dst关键字。

第三种是协议的关键字,主要包括fddi,ip,arp,rarp,tcp,udp等类型。Fddi指明是在FDDI(分布式光纤数据接口网络)上的特定 的网络协议,实际上它是"ether"的别名,fddi和ether具有类似的源地址和目的地址,所以可以将fddi协议包当作ether的包进行处理和 分析。其他的几个关键字就是指明了监听的包的协议内容。如果没有指定任何协议,则tcpdump将会监听所有协议的信息包。
除了这三种类型的关键字之外,其他重要的关键字如下:gateway, broadcast,less,greater,还有三种逻辑运算,取非运算是 not ! , 与运算是and,&;或运算 是or ,││;这些关键字可以组合起来构成强大的组合条件来满足人们的需要,下面举几个例子来说明。

例如:

#tcpdump host 210.27.48.1

#tcpdump host 210.27.48.1 or 210.27.48.2

#tcpdump tcp port 23 host 210.27.48.1

具体参照:http://www.thismail.org/bbs/thread-2787-1-1.html

特别注意:如果想dump包给别的软件分析,tcpdump的包长度限制截断默认90个字节一定要去掉.

即加上-s 0 参数.

dsniff的使用:

http://www.godupgod.com/post/102.html

arpspoof [-iinterface] [-t target ip] host

其中target与host的ip,根据我的测试,应该是随便可以,只是决定单向的方向。

比如host写网关,target写要欺骗的ip,那么都是网关给外面的包。

反过来,如果target为网关,则是外面进来的包。

如果想搞双向,则需要运行两个arp命令,target与host的ip换过来。

麻烦吧。

另外,还发现一个问题,除了多个ip欺骗要开多个arpspoof外,

就是他不能伪造mac,这样就很容易暴露自己。

==========基于上面原因,建议使用ettercap

相关文章
最新文章
热点推荐