算是一个记录过程吧,windows下面玩cain久了,发现他占cpu高,关键是没有命令行的,
linux下面玩arp欺骗与嗅探(双向、多ip)网站安全
。今天也碰到个linux的,直接获得了root密码。上去玩centos的arp欺骗与sniff。(先本地虚拟机里面用federa core 10测试了)。
用的是dsniff,具体安装资料见前面转载的文章。另外,我安装了tcpdump。
这儿说下tcpdump的过滤参数:
第一种是关于类型的关键字,主要包括host,net,port, 例如 host 210.27.48.2,指明 210.27.48.2是一台主机,net 202.0.0.0 指明 202.0.0.0是一个网络地址,port 23 指明端口号是23。如果没有指定类型,缺省的类型是host.
第二种是确定传输方向的关键字,主要包括src , dst ,dst or src, dst and src ,这些关键字指明了传输的方向。举例说明,src 210.27.48.2 ,指明ip包中源地址是210.27.48.2 , dst net 202.0.0.0 指明目的网络地址是202.0.0.0 。如果没有指明方向关键字,则缺省是src or dst关键字。
第三种是协议的关键字,主要包括fddi,ip,arp,rarp,tcp,udp等类型。Fddi指明是在FDDI(分布式光纤数据接口网络)上的特定 的网络协议,实际上它是"ether"的别名,fddi和ether具有类似的源地址和目的地址,所以可以将fddi协议包当作ether的包进行处理和 分析。其他的几个关键字就是指明了监听的包的协议内容。如果没有指定任何协议,则tcpdump将会监听所有协议的信息包。
除了这三种类型的关键字之外,其他重要的关键字如下:gateway, broadcast,less,greater,还有三种逻辑运算,取非运算是 'not ' '! ', 与运算是'and','&';或运算 是'or' ,'││';这些关键字可以组合起来构成强大的组合条件来满足人们的需要,下面举几个例子来说明,
电脑资料
《linux下面玩arp欺骗与嗅探(双向、多ip)网站安全》(https://www.unjs.com)。例如:
#tcpdump host 210.27.48.1
#tcpdump host 210.27.48.1 or 210.27.48.2
#tcpdump tcp port 23 host 210.27.48.1
具体参照:http://www.thismail.org/bbs/thread-2787-1-1.html
特别注意:如果想dump包给别的软件分析,tcpdump的包长度限制截断默认90个字节一定要去掉.
即加上-s 0 参数.
dsniff的使用:
http://www.godupgod.com/post/102.html
arpspoof [-iinterface] [-t target ip] host
其中target与host的ip,根据我的测试,应该是随便可以,只是决定单向的方向。
比如host写网关,target写要欺骗的ip,那么都是网关给外面的包。
反过来,如果target为网关,则是外面进来的包。
如果想搞双向,则需要运行两个arp命令,target与host的ip换过来。
麻烦吧。
另外,还发现一个问题,除了多个ip欺骗要开多个arpspoof外,
就是他不能伪造mac,这样就很容易暴露自己。
==========基于上面原因,建议使用ettercap