交换机网络嗅探方法之欺骗交换机缓存

嗅探(sniff)，就是窃听网络上流经的数据包，而数据包里面一般会包含很多重要的私隐信息，如：你正在访问什么网站，你的邮箱密码是多少，你在和哪个MM聊QQ等等......而很多攻击方式（如著名的会话劫持）都是建立在嗅探的基础上的。下面让我们看一下交换机网络嗅探方法中的欺骗交换机缓存的方式：

cncert的一个很出名的会话劫持工具SSCLONE就是采用这种方法进行嗅探的，它的网站上也有专门的文章说明“欺骗交换机缓存”的嗅探方法（见参考资料）。我在这里大概说一下原理吧。

交换机里面有一张CAM表，记录了Mac－Port信息（这个端口对应的机器的MAC地址是什么），MAC信息的获取是：交换机从转发的数据包中提取。所谓欺骗交换机缓存，就是修改这张CAM表以达到欺骗交换机的目的！比如现在有一个4端口的交换机，它的CAM表如下：

port1 -- 11-11-11-11-11-11  
 
port2 -- 22-22-22-22-22-22  
 
port3 -- 33-33-33-33-33-33  
 
port4 -- 44-44-44-44-44-44 

现在port1的机器A（IP是192.168.1.11，MAC地址为11-11-11-11-11-11）想要嗅探port2的机器B（IP是192.168.1.22，MAC地址为22-22-22-22-22-22），怎么办呢？呵呵～流程如下：

机器A对外发送一个数据包，如下：

SrcIP:192.168.1.11 ScrMac:22-22-22-22-22-22

DstIP:xxx.xxx.xxx.xxx（随便写），DstMac:xx-xx-xx-xx-xx-xx（随便写）

此时，交换机收到这个包，发现在原来CAM里面，port1对应的机器MAC地址是11-11-11-11-11-11，怎么现在变为：22-22-22-22-22-22了呢？？哦，应该是这台机器的MAC地址变了吧～好！那我更新CAM表！

更新后的交换机CAM表如下：

port1 -- 22-22-22-22-22-22  
 
port2 -- 22-22-22-22-22-22  
 
port3 -- 33-33-33-33-33-33  
 
port4 -- 44-44-44-44-44-44 

现在有port1和port2对应的MAC地址是一样的。如果现在网关（假设现在port4连接的是网关）来了一个数据包是给机器B（IP是192.168.1.22，MAC地址为22-22-22-22-22-22），交换机会顺序查询此刻的CAM表来确定该数据包转发去哪个端口！

在查询port1时，发现此端口对应MAC地址和数据包里的MAC地址相同，交换机直接就把包转发到port1的机器A了，由于该包已转发完毕，交换机继续处理下一个数据包......就这样，数据包又再次落入充满窥探欲望的人手中！

这里也需要注意几个问题：

1).A收到包后，还是需要转发给B的，不然B和外面的对话就中断了。

2).当A把包转发给B时，需要修复交换机的CAM表。

当你看完以上这两点注意时，可能会发现利用这种的一些缺陷：

1).A在转发包给B时需要恢复CAM表，转发后又要再次欺骗。如果在转发包时，网关来了一个数据给B，此时的CAM表是正确的，交换机会把这个数据会直接发给B，A无法监听到这个包，由于每次转发都需要完成以上操作，导致CAM表刷新相当频繁，最后的结果是，A监听到的数据很不完整。

2).你接的交换机的端口号决定着你的命运！

如果B接的port1端口，A接的是port2端口，那么，用这种方式，A将永远也嗅探不到B的信息，更悲观的想一下，如果你连接的是这个交换机最后一个端口呢？？！:<

3).跨交换机进行嗅探丢包非常多！

看下图：

现在交换机A连接交换机B的port1，机器C连接port2，如果没有机器B的话，机器A还是能比较顺利监听机器到C的信息的，但是有了机器B就不同了，交换机的CAM表里port1这条记录，会因为机器A和机器B的发包而经常改变。导致的问题大家也可以想到了。

防止欺骗交换机缓存的方法只有在交换机处绑定port-mac这对信息，但由于这和交换机原先设计的理念有矛盾，故这个是无法实现的，也就是说，没有办法防止，值得一说的是，现在无线网已经兴起了，和集线器时代一样，在无线网络监听别人的信息是不费吹灰之力的事情，无线网的安全也值深思！

交换机网络嗅探方法中欺骗交换机缓存的方式就为大家叙述完了，如果读者想了解其他的方法请阅读：

交换机网络嗅探方法之用ARP欺骗辅助嗅探

服务器租用/服务器托管中国五强！虚拟主机域名注册顶级提供商！15年品质保障！--亿恩科技[ENKJ.COM]