linux嗅探工具[Dsniff]( 三 ) _ssh

[-d] [-I] [-pport]host[port]
注意：这里的-P后面指定的是本地使用的端口，也就是攻击目标主机用来连接SSH服务器的端口，而后面的port则是我转发SSH流量到SSH服务器使用的端口，此外如果是用了参数-I ，就可以在攻击目标主机连接到SSH服务器后，查看他们之间的交互内容。
首先通过进行对攻击目标进行dns欺骗：
接着便可以进行嗅探：（由于使用了-I ，所以， SSH连接后的交互内容也显示了出来）
与类似，也需要的“配合” ，不同的是， “劫持”的是HTTP和HTTPS会话过程，捕获SSL的加密通信。
[-d]
启用arp欺骗，将自己网卡的IP地址伪装成指定IP地址的MAC
持续不断的发送假的ARP响应包给一台或多台主机，以“毒害”其ARP缓存表。一旦成功，即可以用别的嗅探工具来“接收”发送到本地的数据包。与不同的是，并不进行真正的“嗅探” ，它只是简单的进行ARP欺骗，本地主
机必须启动内核的IP 功能（或者使用这样的工具），否则，所有“转向”发到本地的数据包就如同进了黑洞，正常的网络通信将无法进行，而一旦启动了本地的IP ，内核将自动对本地收到的目的IP却是别处的数据包进行转发，正常的通信自然可以进行。这样，就可以进行后续的许多工作，包括分析嗅探得到的数据包、修改数据包中的某些信息以重新转发等等。
在Linux中，缺省是禁止IP 的，可以使用简单的命令启动它：
修改#vi /etc/.conf：
net.ipv4. =1
修改后运行# –p命令使得内核改变立即生效；
一旦启动了本地的IP ，内核将自动对本地收到的目的IP却是别处的数据包进行转发，（同时向数据包的源地址发送ICMP重定向报文，当然，由于启用了ARP欺骗，这个重定向报文是不起作用的）。这里第17个数据包的源地址已经从本来的源MAC地址改变为本地MAC地址了。说明数据包是本地转发出去的。
[-] [-]host如果不指定则向网络中所有的主机发送欺骗
启用DNS欺骗，如果嗅探到局域网内有DNS请求数据包，它会分析其内容，并用伪造的DNS响应包来回复请求者。如果是请求解析某个域名，会让该域名重新指向另一个IP地址（黑客所控制的主机），如果是反向IP指针解析，也会返回一个伪造的域名。
[-] [-] []这里-f 可以指定主机列表文件，文件格式与/usr/local/lib/.hosts相同，如果不指定该文件，会返回本地的IP给域名解析请求者
这里本地主机会抢先代替DNS服务器来相应查询，前提是本地主机先回答DNS查询，如果因为网络问题， DNS服务器先发送了应答， DNS欺骗就不能生效了
macof
macof用来进行MAC ，可以用来使交换机的MAC表溢出，对于以后收到的数据包以广播方式发送。注意：在进行MAC泛洪之前就存在于交换机MAC表中的条目不会被覆盖，只能等到这些条目自然老化
macof[-] [-ssrc] [-ddst] [-etha] [-] [-] [-]
能够切断指定的TCP会话连接，主要是基于TCP的三次握手过程
[-] [-1...9]
这里，当检测到两边的TCP连接后，会同时想两边（冒充对方）发送tcp reset报文，重置连接。