一、嗅探可以做什么？為什么需要嗅探？

嗅探(sniff)，就是竊聽網絡上流經的數據包，而數據包里面一般會包含很多重要的私隱信息，如：你正在訪問什么網站，你的郵箱密碼是多少，你在和哪個MM聊QQ等等......而很多攻擊方式（如著名的會話劫持）都是建立在嗅探的基礎上的。

二、嗅探技術

在集線器盛行的年代，要做嗅探是件相當簡單的事情，你什么事情都不用干，集線器自動會把別人的數據包往你機器上發(fā)。但是那個年代已經過去了，現在交換機已經代替集線器成為組建局域網的重要設備，而交換機不會再把不屬于你的包轉發(fā)給你，你也不能再輕易地監(jiān)聽別人的信息了，注意，只是不再輕易地，不是不行！呵呵，要在交換機網絡下做嗅探還是有方法的，接下來我總結一下最近看到的關于交換機網絡嗅探的一些方法:

1、基于ARP欺騙的嗅探技術

以前搞ARP攻擊沒什么意思，它頂多就是把一些機器搞得不能上網，真的沒啥意思，但自從交換機成為架設局域網的主流設備后，ARP攻擊有了新的用途：用ARP欺騙輔助嗅探！原理很簡單，先看看下面兩幅圖：

左圖是正常通信時，兩臺機器數據流向。右圖是B被A機器ARP欺騙后，兩臺機器的數據流向，著重看右圖，B被ARP欺騙后，數據的流向改變了，數據先是發(fā)給了A，然后再由A轉發(fā)給網關；而從網關接收數據時，網關直接把發(fā)給B的數據轉發(fā)給了A，再由A轉發(fā)給B，而A的自己的數據流向是正常的?，F在B的數據全部要流經A，如果A要監(jiān)聽B是易于反掌的事情了。

再簡單說說這個ARP欺騙的過程吧，也就是怎么實現改變B的數據流向：

1).現在架設A的IP地址是192.168.1.11，MAC地址是:11-11-11-11-11-11；B的IP地址是192.168.1.77，MAC地址是77-77-77-77-77-77；網關IP地址是192.168.1.1，MAC地址是:01-01-01-01-01-01。

2).A發(fā)送ARP欺騙包（ARP應答包）給B，告訴B：我（A）是網關，你把訪問外網的數據發(fā)給我（A）吧！ARP欺騙包如下：

SrcIP: 192.168.1.1 ，SrcMAC:11-11-11-11-11-11

DstIP: 192.168.1.77 ，DstMAC:77-77-77-77-77-77

3).A發(fā)送ARP欺騙包（ARP應答包）給網關，告訴網關：我（A）是機器B，結果網關把所有給B的數據都發(fā)到A那里了。ARP欺騙包如下：

SrcIP: 192.168.1. 77，SrcMAC:11-11-11-11-11-11

DstIP: 192.168.1. 1，DstMAC:01-01-01-01-01-01

4).機器A有一個輔助用的轉發(fā)軟件，它負責把“網關->B”和“B->網關”的數據包轉發(fā)。

至此，ARP欺騙的輔助任務完成了，接下來就是用你的嗅探器進行偷窺了～噢～哈哈！

這里有幾點值得注意一下的：

1).ARP欺騙包每隔一段時間要發(fā)一次，否則網關和B的ARP緩存會更新！

2).ARP欺騙完成后，網關的ARP記錄會有兩記錄的MAC地址是相同的，分別是:192.168.1.11（11-11-11-11-11-11）和192.168.1.77（11-11-11-11-11-11），這樣可能會比較明顯，嗯～可以把A自己在網關的ARP緩存改了：192.168.1.11（01-10-01-10-01-10，亂寫一個），但這樣會有兩個問題：一個是這個MAC是亂寫的，局域網內根本沒有這個MAC地址的機器，根據交換機的工作原理，網關發(fā)給192.168.1.11這IP的機器的數據將會被廣播。第二個是，此刻你（A）的正常與外界通信的能力將會喪失?？梢詸嗪饪紤]一下。

以前的一篇文章《Arp攻擊實戰(zhàn)》，里面所使用的ARP攻擊工具："WinArpAttacker"，它就有利用這種原理進行嗅探的功能，見下圖：

#p#

2、欺騙交換機緩存

用ARP欺騙輔助嗅探是一種比較舊的方式，現在的局域網機器很多都裝了ARP防火墻！如果機器裝了ARP防火墻，上面的嗅探方式就沒用了:<，那還有其他的方式嗎？嗯～有！那就是欺騙交換機緩存！

cncert的一個很出名的會話劫持工具SSCLONE就是采用這種方法進行嗅探的，它的網站上也有專門的文章說明“欺騙交換機緩存”的嗅探方法（見參考資料）。我在這里大概說一下原理吧。

交換機里面有一張CAM表，記錄了Mac－Port信息（這個端口對應的機器的MAC地址是什么），MAC信息的獲取是：交換機從轉發(fā)的數據包中提取。所謂欺騙交換機緩存，就是修改這張CAM表以達到欺騙交換機的目的！比如現在有一個4端口的交換機，它的CAM表如下：

port1 -- 11-11-11-11-11-11

port2 -- 22-22-22-22-22-22

port3 -- 33-33-33-33-33-33

port4 -- 44-44-44-44-44-44

現在port1的機器A（IP是192.168.1.11，MAC地址為11-11-11-11-11-11）想要嗅探port2的機器B（IP是192.168.1.22，MAC地址為22-22-22-22-22-22），怎么辦呢？呵呵～流程如下：

機器A對外發(fā)送一個數據包，如下：

SrcIP:192.168.1.11  ScrMac:22-22-22-22-22-22

DstIP:xxx.xxx.xxx.xxx（隨便寫），DstMac:xx-xx-xx-xx-xx-xx（隨便寫）

此時，交換機收到這個包，發(fā)現在原來CAM里面，port1對應的機器MAC地址是11-11-11-11-11-11，怎么現在變?yōu)椋?2-22-22-22-22-22了呢？？哦，應該是這臺機器的MAC地址變了吧～好！那我更新CAM表！

更新后的交換機CAM表如下：

port1 -- 22-22-22-22-22-22

port2 -- 22-22-22-22-22-22

port3 -- 33-33-33-33-33-33

port4 -- 44-44-44-44-44-44

現在有port1和port2對應的MAC地址是一樣的。如果現在網關（假設現在port4連接的是網關）來了一個數據包是給機器B（IP是192.168.1.22，MAC地址為22-22-22-22-22-22），交換機會順序查詢此刻的CAM表來確定該數據包轉發(fā)去哪個端口！在查詢port1時，發(fā)現此端口對應MAC地址和數據包里的MAC地址相同，交換機直接就把包轉發(fā)到port1的機器A了，由于該包已轉發(fā)完畢，交換機繼續(xù)處理下一個數據包......就這樣，數據包又再次落入充滿窺探欲望的人手中！

這里也需要注意幾個問題：

1).A收到包后，還是需要轉發(fā)給B的，不然B和外面的對話就中斷了。

2).當A把包轉發(fā)給B時，需要修復交換機的CAM表。

當你看完以上這兩點注意時，可能會發(fā)現利用這種的一些缺陷：

1).A在轉發(fā)包給B時需要恢復CAM表，轉發(fā)后又要再次欺騙。如果在轉發(fā)包時，網關來了一個數據給B，此時的CAM表是正確的，交換機會把這個數據會直接發(fā)給B，A無法監(jiān)聽到這個包，由于每次轉發(fā)都需要完成以上操作，導致CAM表刷新相當頻繁，最后的結果是，A監(jiān)聽到的數據很不完整。

2).你接的交換機的端口號決定著你的命運！

如果B接的port1端口，A接的是port2端口，那么，用這種方式，A將永遠也嗅探不到B的信息，更悲觀的想一下，如果你連接的是這個交換機最后一個端口呢？？！:<

3).跨交換機進行嗅探丟包非常多！

看下圖：

現在交換機A連接交換機B的port1，機器C連接port2，如果沒有機器B的話，機器A還是能比較順利監(jiān)聽機器到C的信息的，但是有了機器B就不同了，交換機的CAM表里port1這條記錄，會因為機器A和機器B的發(fā)包而經常改變。導致的問題大家也可以想到了。

現在，防止欺騙交換機緩存的方法只有在交換機處綁定port-mac這對信息，但由于這和交換機原先設計的理念有矛盾，故這個是無法實現的，也就是說，沒有辦法防止:<

值得一說的是，現在無線網已經興起了，和集線器時代一樣，在無線網絡監(jiān)聽別人的信息是不費吹灰之力的事情，無線網的安全也值深思。