假如网吧频繁发生邮箱帐户、游戏帐户被盗的情况，那么网吧的声誉势必受到影响，作为网管也免不了被到老板责问一番。然而令人觉得郁闷的是，明明已经在防毒防木马方面作了很多工作，为何还会发生此类的事情呢？在这里就来一起分享一下经验，看一看如何找出隐藏在网吧内的ARP欺骗与嗅探入侵真凶。

　　正所谓知己知彼，百战不殆。要抓住真凶首先要了解其屡屡得手的把戏！由于网吧中的电脑都在一个局域网之内，并且网吧内的电脑与外网的电脑有防火墙隔离保护，因此可以比较肯定的一点入侵者就在网吧内部，然而他到底使用了什么工具获取别人的资料呢？由于网吧电脑安装了杀毒软件和还原工具，因此使用木马获取资料的可能性不大，最大的可能是使用嗅探工具。

　　静态嗅探

　　说起嗅探就不得不说一下，局域网的工作原理。在使用集线器作为中央装置乙太网中，数据包会广播至各台电脑，但是只有目标电脑才会接收数据包。其他电脑则不会理会这些不是发送给自己的数据包。但是使用嗅探工具的黑客，却可以通过让自己的网卡处于混杂模式，接收所有经过网卡的数据包，并从中分析出用户的帐户、密码等资料。

　　Xsniff就是一个的典型的静态嗅探工具。它可以帮助黑客自动捕获局域网中计算机所传输的数据包，并且自动分析所捕捉到数据包的源地址、目的地址、通信端口号、信息长度、时间周期信息等内容，并且自动将有用的密码信息存放至用户指定的文件中。由于Xsniff是免安装的绿色软件，所以即使在限制了软件安装的网吧，它一样可以顺利执行。

图1

　　运行了Xsniff之后，可以看到Xsniff提供了很多的参数命令。
　　<选项>含义如下:
　　-tcp : 输出TCP数据报
　　-udp : 输出UDP数据报
　　-icmp : 输出ICMP数据报
　　-pass : 过滤密码信息
　　-hide : 后台运行
　　-host : 解析主机名
　　-addr <IP地址> : 过滤IP地址
　　-port <端口> : 过滤端口
　　-log <文件名> : 将输出保存到文件
　　-asc : 以ASCII形式输出
　　-hex : 以16进制形式输出
　　其中最为经典的命令组合为：
　　xsniff –pass –hide –log password.txt
　　执行之后程序就会在后台执行，黑客就可以去玩网游或是上网聊天了。即使网管在网吧乱转一通，也很难发现是谁在捣乱。在他离开网吧之前，只需要将xsniff同目录下的password.txt打开来看看，就可以知道此行是否有所斩获,如下图所示。依测试情况来看，此行还是有收获的^_^

图2

　　然而静态嗅探只适用于集线器为中央装置的网络。随着交换机大量使用，只有少量真正需要广播的数据包，才会传至每一个节点，其他的内容都不再广播至整个网络，所以静态嗅探多出现在一些设备落后的小网吧。在较大的新型网吧中，出现的以ARP欺骗（ARP Spoof）为前导的新式嗅探。
　　
　　ARP欺骗（ARP Spoof）为前导的新式嗅探

　　用户电脑在外向发送数据时，通讯协议会将数据拆分打包发送，并根据ARP列表在数据包中写上目标的MAC地址。然后交换机根据数据帧中的MAC地址，将不同的帧发送至不同的端口。但是由于ARP协议本身的问题，列表中的MAC很容易被非法修改。例如黑客使用具有ARP欺骗功能的嗅探软件，就能不断向外发送ARP Reply包，进行以下的非法攻击：

　　1.修改局域网内其他主机ARP列表。将原网关IP地址与MAC地址的正确对应记录删除，然后将网关IP地址与黑客电脑的MAC地址对应起来。

　　2.修改网关上ARP列表，将原来各IP与MAC的正确记录删除，取而代之将各IP地址与黑客电脑的MAC地址对应起来。

　　将上述的操作完成后，用户端与网关通讯的数据包就会源源不断地发至黑客的电脑，为了不让数据通讯中断，具有ARP欺骗功能的嗅探软件一边转发数据，一边让网卡工作于混杂模式（promiscuous），解读所有流经自己的数据包，通过分析、解读数据包内的信息，就可以获得黑客感兴趣的密码、帐户等资料了。

　　由于IPv4在安全方面的缺陷，理论上只要在局域网络内任何一台电脑运行这一类嗅探工具，就可以截取网内任意一台电脑的通信信息。因此许多入门黑客比较喜欢在网吧使用这种手段是窃取用户的私密资料。

　　以上的原理看起来很复杂，但是事实上一些打包发行的嗅探工具，将这一切变成只需要按几个按钮那么简单，只要具有一点点网络基础的用户，或许就能摇身一变成为威胁网吧安全的敌人。其中CAIN就是一种典型带ARP欺骗的嗅探工具。

　　相对于在命令行执行的Xsniff,功能强大并且具有图形化界面的CAIN更为菜鸟黑客所喜爱。该软件不但能自动监听局域网内的数据报文，还集成了自动分析、破解的功能，把明文的监听到结果直接分类整理在图形界面输出。对于加密数据包，还提供字典破解、暴力破解等多种解密方法以协助黑客入侵。

　　虽然原装的cain需要安装才能使用，但是网上也有不少免安装绿色版在流传。所以网管们，最好还是谨防它为妙。所谓百闻不如一见，下面就让各位亲睹一次CAIN入侵。

　　打开CAIN切换到“sniff”选项卡，单击“+”按钮，单击“OK”即可扫描网络出网络内开机状态的所有主机。

图3

　　在左边选择网关，右边选择需要监听的电脑。按“OK”按钮，Cain就会对目标电脑进行ARP欺骗，让别的电脑将它当成网关，从而在交换环境进行嗅探。

图4

　　监听设置完成之后，黑客就可以去玩网游、或开QQ聊天，所有的分析、嗅探工作将由软件在后台自动完成，而所获取FTP、HTTP、ICQ、电子邮件密码均会自动记录在软件的Passport页面里，运气好的话，黑客很快就可以在记录页面中收获不少用户帐号和密码。

图5

　　在以上实例中我们可以看出，在嗅探软件的协助下，入门黑客只需要简单的操作，即可将整个局域网笼罩在他的魔爪之下，而危害更大的嗅探木马，例如传奇木马、传奇杀手、QQ密码嗅探器，都是使用相类似的原理工作的，这里就不再说明与演示了。在了解对手的情况之后，在下篇中我们将来一起看看，作为网管应当怎样防御这种嗅探入侵。

　　注1：大多数嗅探软件均需要安装一个捕获底层数据包驱动WinPcap后才能正常运行。

继续浏览：慎防ARP欺骗与网络嗅探（下篇）

欢迎访问最专业的网吧论坛,无盘论坛,网吧经营,网咖管理,网吧专业论坛https://bbs.txwb.com

关注天下网吧微信,了解网吧网咖经营管理，安装维护: