Venom Academy/道德黑客/嗅探

一位维基教科书用户建议将本书或章节合并到黑客工具中。 请在讨论页面上讨论是否应该进行合并。

在本节中，我们将深入探讨嗅探。嗅探可以定义为通过捕获网络（有线或无线）上的数据包来收集数据的一种方法。嗅探的主要目标是捕获未加密的通信。让我们更详细地了解它。

嗅探基本上分为两类，将在下面解释。

• 主动嗅探
• 被动嗅探

主动嗅探发生在攻击者通过发送数据包请求并监听响应与受害者机器直接交互时。一些示例可能包括 ARP 欺骗和中间人攻击。

被动嗅探发生在攻击者不与目标机器直接交互时，仅当攻击者仅嗅探数据包而不执行攻击时才会发生。

在任何网络上进行嗅探之前，您首先需要了解混杂模式和非混杂模式之间的区别，在本例中，它们与网卡相关联。默认情况下，您的网卡设置为非混杂模式，这意味着机器只会接收仅针对您的数据包。在混杂模式下，网卡将强制允许我们捕获所有不针对我们计算机的流量。

MITM 攻击的主要目标是攻击者可以将自己置于两台机器之间的通信中间。例如，有人登录 Facebook，如果我们使用 MITM，攻击者会将自己置于受害者和 Facebook 服务器之间。因此，所有通信都可以被攻击者捕获。

ARP 欺骗是用来拦截两台机器之间通信的最流行的攻击。这是通过向两个可能的攻击目标和服务器发送虚假的 ARP 响应来实现的。它的工作原理是攻击者会向网络上的任何计算机发送虚假的 ARP 响应，以使计算机相信攻击者的 IP 与某个地址相关联。因此，计算机变得困惑，并可能将数据包发送给攻击者，认为它是合法的服务器。

在我们进行 MITM 攻击之前，我们需要先启用 IP 转发，以便流量可以转发到其预期的目的地。要执行此操作，请使用以下命令

root@venom [$]~ echo 1 > proc ipfoward

现在我们已经启用了 IP 转发，我们需要收集信息来执行 MITM 攻击，所需的信息是

1. 攻击者的 IP 地址
2. 受害者的 IP 地址
3. 默认网关值

要查找您的 IP，您可以使用 ifconfig 命令。然后，要查找受害者的 IP，我们可以使用以下命令

netdiscover

Netdiscover 将列出网络中的所有机器，您只需要复制受害者的 IP 地址即可。默认网关也将显示在 netdiscover 中。现在，要执行 MITM 攻击，我们首先需要使用 arpspoof 执行 ARP 欺骗攻击，命令语法如下所示

arpspoof -i <the interface you are using> -t <target host> <gateway  address>

这里我们将向您展示一个示例及其输出。

root@venom [$]~ arpspoof -i eth0 -t 192.168.75.142 192.168.75.2
0a:12:18:1a:2b:16:32:8c 0806 ARP reply 192.168.75.2 is-at 0a:12:18:1a:2b:16:32:8c

正如我们上面所看到的，我们的 ARP 欺骗攻击运行良好。现在我们需要将我们接收到的所有流量发送到一个名为dSniff的工具。现在执行以下命令

dsniff

在我们的示例中，dsnif 返回了以下输出

root@venom [$]~ dsniff
dsniff: listening on eth0 
---------------------------------------
07/23/13/ 07:14:20 tcp 192.168.75.142 -> venom.machines.com 21 (ftp)
USER anonymous
PASS IFuser

如我们的示例所示，dsnif 设法在 MITM 攻击期间返回了收集到的密码

请注意，有很多工具可用于嗅探，我们可以研究它们，但这里无法全部列出。

混杂模式和非混杂模式