内网无ARP欺骗嗅探获取TOM邮箱

内网无 ARP 欺骗嗅探获取 TOM 邮箱

闲来无事想研究一下内网嗅探，正好租住的房子好几家合用一条电话线ADSL拨号上网，使用宽带路由器连接。从网上找了个DNS欺骗工具zxarps，启动虚拟机搭建一个测试网站，执行命令：zxarps.exe -idx 0 -ip 192.168.0.8 -hackdns “ www.baidu.com|192.168.0.3 ”在192.168.0.8主机浏览器离输入 www.baidu.com ，网站成功转到了测试网站，表明域名欺骗成功，但是不爽的是192.168.0.8主机上的360安全卫士arp防火墙提示检测到ARP地址欺骗，同时如果想测试成功被攻击主机的dns还要跟网关相同。

有没有能够绕过ARP防火墙并且又能成功嗅探到邮箱的工具呢?功夫不负有心人，终于让我找到了，我们有请无ARP欺骗工具---switch session clone，简称sssclone。在虚拟机里运行这个工具。

在右边的control panel标签中选择本地的网卡，程序会自动简称主机IP地址、网关ip和mac，RUL Filter处输入想要关注的网站后缀，例如本次输入TOM.COM，Packet/S滑块可以设置发包率，点击scan开始内网扫描，发现内网存活的主机，点击start按钮开始嗅探。

在宿主主机上登录tom邮箱，工具嗅探到得信息就出现在Domail List标签中，选中嗅探到得连接，就能看到该次访问的详细信息，其中包括cookie、登录的用户名和口令等，双击嗅探到得连接既可以以相应身份进入被嗅探者的邮箱，查看本地360安全卫士的ARP防火墙没有提示ARP地址冲突，经过测试嗅探sohu和163的邮箱不成功。

SSClone 1210  可以复制同一交换机下任意http session，其特点就是可以不通过传统的ARP欺骗方法，来实现局域网内的会话监听、劫持、复制等操作。其实这个软件本身是用来会话复制的，也就是拦截客户机发送给网关的数据包，如果拦截网关发送给客户机的数据包，那么就是会话劫持了。