« It's All About Google | 首頁 | 出差第五天 »

2006年05月19日

網路監聽 vs. 反監聽

監聽

ps. ettercap 若啟動了「Arp poisoning」, 結束之前記得「Mitm」→「Stop mitm attack(s)」, 若直接關掉 ettercap 會讓整個 LAN 掛掉好一陣子 :)

反監聽

以 arp 指令查看 arp table 資訊

Linux: arp
Windows: arp -a

若清單中出現兩個以上相同的 mac address, 表示被 "arp 欺騙", 封包正在被截聽

破解方法: 在 ARP 表格中定義固定 MAC Address 資料
指令: arp -s 真實的.閘道.IP 真實的:閘道:MAC:ADDRESS

PromiScan 搜索區域網路中, 網卡處於混雜模式 (promiscuous) 的機器

適用平台: Windows 2000 / XP
需求套件: WinPcap 3.0 以上版本

Step 1: 啟動 PromiScan 後, 點選「Setup」, 在“Network I/F”下拉選單中選擇網卡, 並於“IP Address”填入一個網路上未使用的 IP 位址

Step 2: 於“IP Address Range”中填入掃瞄範圍, 按「Start」開始掃瞄

Step 3: 若該 Host 網卡處於混雜模式者, 可在畫面上看出 B47、B16、B8、Gr 等欄位皆標示 "X", 並在最下面的狀態欄出現 "PROMISC SUSPECT" 字眼

.3 係正在使用 PromiScan 掃描區網的本機電腦
.8 是正在監聽封包的 Linux Host
.252 是 D 牌無線 AP
.254 是 Z 牌防火牆

其他偵察混雜模式的軟體參考:

  • l0pht antisniff (for Win98 / NT)
  • sentinel project (for openbsd 3.0-beta / freebsd 4.0 / netbsd 1.5.2 / linux 2.4.x)

聊天軟體加密傳輸

IM (Instant Messenger) 加密外掛軟體, 使用時聊天雙方都要使用相同的外掛才能加密傳輸.
另一個簡單的方式是, 只要一方透過 Simp 代理伺服器上線, 不需任何外掛套件, 雙方通訊過程都將自動加密.
下圖是在本機安裝 Simp Server, 並於 Gaim 帳號中設定代理伺服器為本機 11863 port 的範例


相關網頁


--- 2006.09.21 補充: ettercap-NG-0.7.3 操作備忘

Text Mode:

sudo ettercap -i eth0 -T -M arp:remote /gw.ip.addr/ /target.ip.addr-range/

按 q 結束程序即自動 stop mitm attack (target hosts 的 arp table 恢復正常)

GUI Mode:

sudo ettercap -i eth0 -G -n 255.255.255.0

Sniff → Unified sniffing (Shift + U)
Hosts → Scan for hosts (Ctrl + S)
Targets → Select TARGET(s) (Ctrl + T)
Target 1: /gw.ip.addr/
Target 2: /target.ip.addr-range/
(// & // for any)
Mitm → Arp poisoning
Start → Start sniffing (Ctrl + W)

此時若直接關閉 ettercap 視窗, 將造成持續的 arp 欺騙
導致 target hosts 網路異常

正確的結束方式為:
Mitm → Stop mitm attack(s)
Start → Exit (Ctrl + X)

如果已經造成持續的 arp 欺騙,
最簡單的解決方法就是執行 Text Mode, 對同個目標再 "欺騙" 一次
離開後 target hosts 的 arp table 即自動恢復正常

Ref: ettercap on-line man page

Posted by Jamyy at 2006年05月19日 15:34

Trackback Pings

TrackBack URL for this entry:
http://cha.homeip.net/cgi-bin/mt/mt-tb.cgi/199