shiemar
2005-07-06, 10:26 AM
前輩們好:
因工作上的需要利用SNIFFER PRO來監控網路流量,書上的教學是說將SNIIFER PRO主機架設在ROUTER與SERVER中間的HUB上,上司希望
能架設在一班的網路端點,小弟不懂得怎麼做。
查詢舊文章找到dennis2002兄的發言,有提到說可以利用偽造ARP的方
式來監測同一SWITCH上的主機間及對外的封包,可是沒有解說較詳細的
操作方式,小弟自己也試不出來,不知道有沒有前輩可以告知的?
另外想請教的是如果用在同網域不同SWITCH上是否也可行?謝謝喔 :)
贊助商連結
raytracy
2005-07-07, 10:04 AM
用 ARP Spoofing 方式不見得很保險, 新型的設備或是 Firewall 都有反制的機制. 如果您要看的流量, 僅限於流過 router 的部份, 可以忽略內部之間互相通訊的話, 則針對 router 去監聽即可. 將 router 連接至一台高階的 switch, 然後將接 router 的 port 資料 mirror 到另外一個空的 port 上去, 再將 sniffer 插到這個 port 上面去, 即可監聽到所有資料.....
若您的 sniffer 是買正版的, 可以請求原廠在方面提供技術建議.....這也是原廠的服務範圍, 您可以合理的要求....
cheerx
2005-07-07, 11:19 AM
上游的ROUTER之前找一台有PORT MIRROR的SWITCH裝上去,設定好後SNIFFER裝在該機器下面應該就可以聽到資料了.在正式的環境用ARP假冒並不適合,那樣會鑿成SWITCH一些無謂的負擔,甚至可能把SWITCH搞當機.
shiemar
2005-07-11, 11:21 AM
感謝兩位前輩的指導!
我不知道公司網路內是否有PORT MIRROR的SWITCH,用的SNIFFER PRO應該是採用國產序號認證,測試環境可能沒有辦法有太大的改變,我只是小課員說 ^^|| 。
能否再請教一下關於ARP Spoofing 的方法,我在網路搜尋不到相關的方法,
可否指導ARP Spoofing 的作法或是哪裡可以在哪裡找到相關的資訊,謝謝。
感謝兩位前輩的指導!
我不知道公司網路內是否有PORT MIRROR的SWITCH,用的SNIFFER PRO應該是採用國產序號認證,測試環境可能沒有辦法有太大的改變,我只是小課員說 ^^|| 。
能否再請教一下關於ARP Spoofing 的方法,我在網路搜尋不到相關的方法,
可否指導ARP Spoofing 的作法或是哪裡可以在哪裡找到相關的資訊,謝謝。
這是你要找的ARP Spoofing Guideline
http://www.hackinthebox.org/modules.php?op=modload&name=News&file=article&sid=12868&mode=thread&order=0&thold=0
不過我建議你考慮一下,真的有必要用這種駭客手法嗎?
沒有PORT SPAN功能的SWITCH有其他方法可行
比方說,在你要監聽的流量必經處擺一台hub做in-line串接
倘若要聽edge端主機或工作站,就將監聽對象跟Sniffer串在同一台hub上再做uplink
使用Sniffer只要掌握一個基本原則,就是要擺對位置並且聽得到標的流量
須要使用ARP Spoofing這麼複雜的手法嗎?
這是你要找的ARP Spoofing Guideline
http://www.hackinthebox.org/modules.php?op=modload&name=News&file=article&sid=12868&mode=thread&order=0&thold=0
不過我建議你考慮一下,真的有必要用這種駭客手法嗎?
沒有PORT SPAN功能的SWITCH有其他方法可行
比方說,在你要監聽的流量必經處擺一台hub做in-line串接
倘若要聽edge端主機或工作站,就將監聽對象跟Sniffer串在同一台hub上再做uplink
使用Sniffer只要掌握一個基本原則,就是要擺對位置並且聽得到標的流量
須要使用ARP Spoofing這麼複雜的手法嗎?
想請問如果是家用switch接ADSL撥接上網 用ARP Spoofing應該還是沒用吧?!
用了FreeBSD 的Dsniff 沒有gateway可以欺騙 也不能搞man-in-middle
難道只能再接個hub?
shiemar
2005-07-21, 11:38 AM
這是你要找的ARP Spoofing Guideline
http://www.hackinthebox.org/modules.php?op=modload&name=News&file=article&sid=12868&mode=thread&order=0&thold=0
不過我建議你考慮一下,真的有必要用這種駭客手法嗎?
沒有PORT SPAN功能的SWITCH有其他方法可行
比方說,在你要監聽的流量必經處擺一台hub做in-line串接
倘若要聽edge端主機或工作站,就將監聽對象跟Sniffer串在同一台hub上再做uplink
使用Sniffer只要掌握一個基本原則,就是要擺對位置並且聽得到標的流量
須要使用ARP Spoofing這麼複雜的手法嗎?
不好意思,太晚回覆了。
謝謝你的指導,連結內容很詳盡,可惜裡面修改MAC程式的路徑已經失效了,
當初的想法是因為公司內部可供使用的NB不多,所以想在不更動硬體設備的情形下用PC做監控,好像實行的難度還滿高的說 :|||:
謝謝前輩們的指導,小弟學到了很多 :)