标签:模式 工具 端口 教学 shark 避免 推断 广播 实验
- 通过浏览器输入IP,得到校局域网的外网IP A,(但是并不排除还有其他公网IP)
- 通过观察,学校在宿舍、教学楼等区域覆盖无线网,同时在教学楼和实验楼等区域部署有有线网络。
- 学校共有1万余人,每人一台移动设备加上固定设备大约两万。师生通过账号、密码登陆,使用网络。
- 通过wireshark捕捉包,内网是A类地址,10.0.0.0~10.255.255.255。该网内有2^24-2个主机号可分配。而一个IP号对应的端口号共有65535个,如果局域网内有两万个设备同时运行,每个设备可以分配到3个端口号。但是一般来说,这是远远不够的,虽然同一时段需要联网的设备可能只有2/3,但是为了避免发生无法上网的情况,至少应该考虑在同时登陆两万台设备且平均需要10个端口号,即至少需要3个公网IP,充分考虑则需要5个公网IP。
- 在无线局域网内,我尝试了将wireshark设置为混杂模式,但是捕捉不到其他人的数据包。
- 尝试在设置中设置也没有用。
- 后来,我尝试用java配合jpcap写程序,也仍然捕捉不到其他人的包。
- 在win10下我打算安装sniffer和cain,因为win10的问题也没有安装成功。
通过请教,得到是与SSID相关。按照暂时的理解,在无线局域网下,网络会为每台设备分配一个SSID编号,无线信号发射装备会根据SSID编号调制不同的信号,而分配到SSID编号的设备会将网卡设为能够接收和发射对应信号的状态。这样,同一局域网下的设备就无法接收到其他设备的数据。
所谓的混杂模式,是能够接收到达网卡的所有信号,但是这个信号必须是此时的网卡能够响应的物理信号。在非混杂模式下,网卡只会接受和发射与本地主机mac地址或IP地址相关的数据报文,而非相关报文则会直接丢弃;即网卡在混杂模式下,允许网卡暂时存储与本地主机不相关的报文并被软件或程序调用,当然前提是无线信号能够被此时的网卡处理。
以上推断,说明如果想直接接收非本机相关信号,则需要改变网卡状态,
- 将网卡调到相应状态
- 在本地主机正常上网和窃听他人数据两者切换或并行
- 专门的接收装备或用手机、电脑作接收装备
推测,在无线局域网下,由于电脑和手机等设备收发信号能力有限,所以主要依靠网络专用的信号收发装备。当有设备需要广播ARP报文时,先发送给网络集转设备,然后由该设备转发出去。
如果能够直接接收到局域网内其他数据包并解析,那么毫无疑问是最佳选择,这种情况下,本地主机没有对局域网内其他设备及网关发送任何附加数据包,是无痕迹的,是最简单的,也是最安全的。
目前,还有三个方案:
- 假设是Win10的防火墙在妨碍接收——关闭防火墙
- 假设Win10的策略拒绝了接收——装Ubuntu系统,安装使用该系统下的嗅探工具ettercap
- 在Ubuntu下搭建java开发环境,搭配jpcap写程序实现。
混杂模式虽然能够毫无痕迹,但是具有很强的局限性。即其必须近距离靠近需要侦听的设备。以下将探讨ARP欺骗拿到非本地主机相关的数据包。
- 相关知识和技术思路
- 通过工具ettercap实现
- 通过java+jpcap实现
- 讨论相关过程中留下的痕迹和可能被发现的点
- 站在管理员的角度设计方法监管发现ARP欺骗
拿到数据包后通过工具和编程尽量实现数据还原和信息挖掘
校局域网下 探讨
标签:模式 工具 端口 教学 shark 避免 推断 广播 实验
原文地址:https://www.cnblogs.com/heibaimao123/p/9893080.html
