linux嗅探工具[Dsniff]( 三 )


[-d] [-I] [-pport]host[port]
注意:这里的-P后面指定的是本地使用的端口 , 也就是攻击目标主机用来连接SSH服务器的端口 , 而后面的port则是我转发SSH流量到SSH服务器使用的端口 , 此外如果是用了参数-I , 就可以在攻击目标主机连接到SSH服务器后 , 查看他们之间的交互内容 。
首先通过进行对攻击目标进行dns欺骗:
接着便可以进行嗅探:(由于使用了-I , 所以 , SSH连接后的交互内容也显示了出来)
与类似 , 也需要的“配合” , 不同的是 , “劫持”的是HTTP和HTTPS会话过程 , 捕获SSL的加密通信 。
[-d]
启用arp欺骗 , 将自己网卡的IP地址伪装成指定IP地址的MAC
持续不断的发送假的ARP响应包给一台或多台主机 , 以“毒害”其ARP缓存表 。一旦成功 , 即可以用别的嗅探工具来“接收”发送到本地的数据包 。与不同的是 , 并不进行真正的“嗅探” , 它只是简单的进行ARP欺骗 , 本地主
机必须启动内核的IP 功能(或者使用这样的工具) , 否则 , 所有“转向”发到本地的数据包就如同进了黑洞 , 正常的网络通信将无法进行 , 而一旦启动了本地的IP  , 内核将自动对本地收到的目的IP却是别处的数据包进行转发 , 正常的通信自然可以进行 。这样 , 就可以进行后续的许多工作 , 包括分析嗅探得到的数据包、修改数据包中的某些信息以重新转发等等 。
在Linux中 , 缺省是禁止IP 的 , 可以使用简单的命令启动它:
修改#vi /etc/.conf:
net.ipv4. =1
修改后运行# –p命令使得内核改变立即生效;
一旦启动了本地的IP  , 内核将自动对本地收到的目的IP却是别处的数据包进行转发 , (同时向数据包的源地址发送ICMP重定向报文 , 当然 , 由于启用了ARP欺骗 , 这个重定向报文是不起作用的) 。这里第17个数据包的源地址已经从本来的源MAC地址改变为本地MAC地址了 。说明数据包是本地转发出去的 。
[-] [-]host如果不指定则向网络中所有的主机发送欺骗
启用DNS欺骗 , 如果嗅探到局域网内有DNS请求数据包 , 它会分析其内容 , 并用伪造的DNS响应包来回复请求者 。如果是请求解析某个域名 , 会让该域名重新指向另一个IP地址(黑客所控制的主机) , 如果是反向IP指针解析 , 也会返回一个伪造的域名 。
[-] [-] []这里-f 可以指定主机列表文件 , 文件格式与/usr/local/lib/.hosts相同 , 如果不指定该文件 , 会返回本地的IP给域名解析请求者
这里本地主机会抢先代替DNS服务器来相应查询 , 前提是本地主机先回答DNS查询 , 如果因为网络问题 , DNS服务器先发送了应答 , DNS欺骗就不能生效了
macof
macof用来进行MAC  , 可以用来使交换机的MAC表溢出 , 对于以后收到的数据包以广播方式发送 。注意:在进行MAC泛洪之前就存在于交换机MAC表中的条目不会被覆盖 , 只能等到这些条目自然老化
macof[-] [-ssrc] [-ddst] [-etha] [-] [-] [-]
能够切断指定的TCP会话连接 , 主要是基于TCP的三次握手过程
[-] [-1...9]
这里 , 当检测到两边的TCP连接后 , 会同时想两边(冒充对方)发送tcp reset报文 , 重置连接 。