linux下面玩arp欺骗与嗅探（双向、多ip）

算是一个记录过程吧，windows下面玩cain久了，发现他占cpu高，关键是没有命令行的。

今天也碰到个linux的，直接获得了root密码。上去玩centos的arp欺骗与sniff。（先本地虚拟机里面用federa core 10测试了）。

用的是dsniff,具体安装资料见前面转载的文章。另外，我安装了tcpdump。

这儿说下tcpdump的过滤参数：

第一种是关于类型的关键字，主要包括host，net，port, 例如 host 210.27.48.2，指明 210.27.48.2是一台主机，net 202.0.0.0 指明 202.0.0.0是一个网络地址，port 23 指明端口号是23。如果没有指定类型，缺省的类型是host.

第二种是确定传输方向的关键字，主要包括src , dst ,dst or src, dst and src ,这些关键字指明了传输的方向。举例说明，src 210.27.48.2 ,指明ip包中源地址是210.27.48.2 , dst net 202.0.0.0 指明目的网络地址是202.0.0.0 。如果没有指明方向关键字，则缺省是src or dst关键字。

第三种是协议的关键字，主要包括fddi,ip,arp,rarp,tcp,udp等类型。Fddi指明是在FDDI(分布式光纤数据接口网络)上的特定 的网络协议，实际上它是"ether"的别名，fddi和ether具有类似的源地址和目的地址，所以可以将fddi协议包当作ether的包进行处理和 分析。其他的几个关键字就是指明了监听的包的协议内容。如果没有指定任何协议，则tcpdump将会监听所有协议的信息包。
除了这三种类型的关键字之外，其他重要的关键字如下：gateway, broadcast,less,greater,还有三种逻辑运算，取非运算是 not ! , 与运算是and,&;或运算 是or ,││；这些关键字可以组合起来构成强大的组合条件来满足人们的需要，下面举几个例子来说明。

例如：

#tcpdump host 210.27.48.1

#tcpdump host 210.27.48.1 or 210.27.48.2

#tcpdump tcp port 23 host 210.27.48.1

具体参照：http://www.thismail.org/bbs/thread-2787-1-1.html

特别注意:如果想dump包给别的软件分析,tcpdump的包长度限制截断默认90个字节一定要去掉.

即加上-s 0 参数.

dsniff的使用：

http://www.godupgod.com/post/102.html

arpspoof [-iinterface] [-t target ip] host

其中target与host的ip，根据我的测试，应该是随便可以，只是决定单向的方向。

比如host写网关，target写要欺骗的ip，那么都是网关给外面的包。

反过来，如果target为网关，则是外面进来的包。

如果想搞双向，则需要运行两个arp命令，target与host的ip换过来。

麻烦吧。

另外，还发现一个问题，除了多个ip欺骗要开多个arpspoof外，

就是他不能伪造mac，这样就很容易暴露自己。

==========基于上面原因，建议使用ettercap