promiscuous mode問題

**honghongive** · 2009-10-11, 08:27 PM

一塊網卡
能否用promiscuous mode, 是否必定取決於網卡是否支持

軟件支持是沒有用的嗎?

因為我不用如何判斷自己的網卡是否支持promiscuous mode

用Wireshark 打開了promiscuous mode, 但抓下來的所有封包的來源和目的地
都是自己網卡和路由器的, 所以我不懂如何判斷是網卡沒有promiscuous mode還是路由器設定錯誤, 還是開了防火牆的關係

**wangcm** · 2009-10-11, 11:31 PM

有線網卡:如果是接在switch下的話沒用特別的技倆就只會看到和本機相關及broadcast/multicast的封包

....

無線網卡:絕大部份人想玩的是RF monitor mode,在*nix下問題不大,但一般Win32的driver(包括Windows本身)並不支援RF monitor(只有少數網卡配合特定版本的driver才能讓AP看到完整的802.11相關部份

)....

**Lettuce** · 2009-10-12, 10:09 AM

裝個winpcap試試?

**wangcm** · 2009-10-12, 10:27 AM

作者：Lettuce

裝個winpcap試試?

樓主並沒有詳細說明他的環境/需求(i.e. OS及有線或無線網卡),再者在Win32上裝wireshark時預設是會裝winpcap的

....

**honghongive** · 2009-10-12, 08:10 PM

詳細資料如下

xp pro sp3
網卡是主機板上的網卡 (Intel(R) 82567LF-2 Gigabit Network Connection)
路由器是Linksys WRT54G, 內含4 port switch, 並換了tomato 1.17

我不需要玩無線的
我只想試試成功抓到網絡上, 目的地不是我的ip和mac的封包看看

老師在講解osi的時候說的很含糊, 我完全搞不到, 究竟一個封包在路由途中, 不斷轉變的, 是ip地址, 還是mac地址?

因為搞不懂, 所以也分不出究竟抓回來的, 是不是真的全是我自己的封包

另外, winpcap確實是安裝好了

上面提到的"特別的技倆"
是否指打開dmz?

**tvirus** · 2009-10-12, 08:19 PM

不是你的IP及MAC Address的...
通常也到不了你那邊啊....................................................................................

因為是個Internet..........................................................................................

**bx2aa** · 2009-10-13, 02:10 AM

作者：honghongive

詳細資料如下

xp pro sp3
網卡是主機板上的網卡 (Intel(R) 82567LF-2 Gigabit Network Connection)
路由器是Linksys WRT54G, 內含4 port switch, 並換了tomato 1.17

我不需要玩無線的
我只想試試成功抓到網絡上, 目的地不是我的ip和mac的封包看看

老師在講解osi的時候說的很含糊, 我完全搞不到, 究竟一個封包在路由途中, 不斷轉變的, 是ip地址, 還是mac地址?

因為搞不懂, 所以也分不出究竟抓回來的, 是不是真的全是我自己的封包

另外, winpcap確實是安裝好了

上面提到的"特別的技倆"
是否指打開dmz?

Switch 抓不到別人的封包(Frame)

傳輸中不斷變的是 MAC Address.

在 winpcap 同網站下載 windump
用 windump -i ? host !自己IP
我的 Intel 2200BG 無線網卡在 XP SP3 裏, 只能用 windump -i 2 -p host !192.168.?.?

特別的技倆就是讓 Switch 把所有的二層封包(Frame) 都當 unknow unicast 和 unknown multicast, 對所有 port flooding.
其他就要靠設備如純 HUB 或是 monitor session ......

**wangcm** · 2009-10-14, 02:54 PM

作者：bx2aa

snipped....

特別的技倆就是讓 Switch 把所有的二層封包(Frame) 都當 unknow unicast 和 unknown multicast, 對所有 port flooding.
其他就要靠設備如純 HUB 或是 monitor session ......

攻擊switch讓其MAC address table爆掉造成port flooding蠻容易被查覺的,還有一個方法就是用假的ARP request/response竄改LAN中其它機器的ARP cache,把封包導引過來再轉送到真正的目的地(如此一來就有機會上下其手了

),不過這麼做通常也只看得到與gateway相關封包而已(反正大部份人感興趣的大概就是這部份吧

)....BTW,這麼做其實也不難查覺就是了

....

**bx2aa** · 2009-10-16, 09:35 PM

作者：wangcm

攻擊switch讓其MAC address table爆掉造成port flooding蠻容易被查覺的,還有一個方法就是用假的ARP request/response竄改LAN中其它機器的ARP cache,把封包導引過來再轉送到真正的目的地(如此一來就有機會上下其手了

),不過這麼做通常也只看得到與gateway相關封包而已(反正大部份人感興趣的大概就是這部份吧

)....BTW,這麼做其實也不難查覺就是了

....

ARP SPOOF 對其他防火牆有沒有用我不清楚, 但是對 CISCO 防火牆 PIX/ASA 沒用.
可以對交換機做 MACOF 但是要 ARP SPOOF 欺騙 PIX/ASA Firewall 就不行.
MACOF switchport port-security 可以擋.

沒好設備的就在 WAN PORT 放個 HUB 所有上 Internet 通通跑不掉.