认识黑客入侵的利器 了解嗅探软件

　　即使是使用交换机的网络，攻击者也可以很容易地从恢复启动CD中使用Dsniff或者Ettercap，来进行ARP欺骗并将传输转为通过它们来进行。这些工具甚至能够自动解析出用户名和密码，这给使用者提供极大的便利。如果攻击者在网关和FTP服务器之间进行ARP欺骗，那么它就能嗅探传输并在用户试图从站点外获取数据的时候提取用户名和密码，使用SMTP和POP3也是一样。即使是用SFTP、SSL以及SSH，仍然可以用Ettercap嗅探密码，因为该工具可以代理那些类型的连接。用户可能会收到警告说，他们试图获得的服务器的公共密钥已经被修改，或者可能不合法，但是我们中有多少人只是将那些信息关闭而根本不读呢？

　　图1中的图片说明了ARP欺骗/ARP病毒如何工作的。基本上，攻击者跟Alan的电脑说，他就是Brain的电脑，反之亦然。这样，攻击者把Alan和Brain之间的网络传输全部接收过来了。一旦攻击者在两个节点之间进行了ARP欺骗，他就可以用任何他喜欢的工具进行嗅探（TCPDump、Wireshark、Ngrep等等）。在网关和电脑之间进行ARP欺骗的话，攻击者可以看到电脑正在发送和从网上接收的所有数据。本文中我只会讲到如何使用这些工具。

　　使用Dsniff和Ettercap快速演示ARP欺骗

　　让我们从Dug Song的、支持Dsniff的ARPspoof程序开始吧。我使用的Unix版本，但是你可以找到Win32版本的。运行Dsniff最简单的方法就是从恢复启动CD启动。首先你应该确定包转发已经开启，不然我们的机器会丢弃所有我们想要嗅探的主机之间的传输，导致服务无响应。我用的一些工具会自动进行这项工作（比如Ettercap），但是保险起见，你也许会希望自己来做这件事。根据操作系统的不同，你可以使用如下的命令：