用ARP辅助嗅探是一种比较旧的方式,现在的局域网机器很多都装了ARP防火墙!如果机器装了ARP防火墙,ARP辅助嗅探方式就没用了,那还有其他的方式吗?答案是肯定的,那就是交换机缓存!看本文的详细分析。
嗅探(sniff),就是网络上流经的数据包,而数据包里面一般会包含很多重要的私隐信息,如:你正在访问什么网站,你的邮箱密码是多少,你在和哪个MM聊QQ等等......而很多方式(如著名的会话劫持)都是建立在嗅探的基础上的。下面让我们看一下交换机网络嗅探方法中的缓存的方式:
cncert的一个很出名的会话劫持工具SSCLONE就是采用这种方法进行嗅探的,它的网站上也有专门的文章说明“交换机缓存”的嗅探方法(见)。我在这里大概说一下原理吧。
交换机里面有一张CAM表,记录了Mac-Port信息(这个端口对应的机器的MAC地址是什么),MAC信息的获取是:交换机从转发的数据包中提取。所谓交换机缓存,就是修改这张CAM表以达到交换机的目的!比如现在有一个4端口的交换机,它的CAM表如下:
现在有port1和port2对应的MAC地址是一样的。如果现在网关(假设现在port4连接的是网关)来了一个数据包是给机器B(IP是192.168.1.22,MAC地址为22-22-22-22-22-22),交换机会顺序查询此刻的CAM表来确定该数据包转发去哪个端口!
在查询port1时,发现此端口对应MAC地址和数据包里的MAC地址相同,交换机直接就把包转发到port1的机器A了,由于该包已转发完毕,交换机继续处理下一个数据包......就这样,数据包又再次落入充满窥探的人手中!