# traffic sniffing ## 理論 因為router需要知道收到的封包要送到哪一個網卡上，故router會廣播問說這個IP是誰的，而此電腦會回應。而router上會建立一個ARP table用來記錄，而記錄的數值則是依目前最新收到的回應封包來決定。 ## Man-in-the-Middle Attack (MitM) 假設我們是A電腦，而我們希望竊聽B電腦，我們便會利用假的ARP reply去欺騙router說我們是B電腦，接著我們會欺騙B電腦我們是router，因此在之後的封包傳遞中，傳給B電腦的封包便會先傳給我們，我們再傳給B電腦，而B電腦傳出的封包便會先傳給我們(因為以為我們是router)，我們在傳出去。 # 工具 ## Wireshark 可以用來檢視和分析聽到的封包 ## tshark 用來監聽用 ## dsniff 用來監聽 ## Nmap 可以用來掃描一個電腦上的port，透過丟封包到那些port上，看他們的回應來檢測 # Wifi sniffing ### WPA2-PSK加密 簡單來說就是WIFI與使用者會各自生成一組隨機碼，並透過握手封包來交換，故只要我們得到握手封包與WIFI密碼就能夠擷取到資訊。 ### 實際竊聽過程 我們需要可以使用monitor mode的網卡才能夠竊聽，但我們要如何才能得到握手封包->強迫對方斷線(像蓋臺) ## 常見port - port 80/443 Web Server - port 3389 RDP(Bluekeep便是這個bug) - port 445 SMB ## 語法 -**ifconfig**:用來查看自己的ip與網卡