问FaceNiff是如何工作的？

EN

FaceNiff可能利用WPA的“192号洞”，并利用ARP中毒来发起中间人攻击。简言之，这些步骤是：

• Eve使用组时态密钥(GTK)将ARP数据包注入网络，并将网络的网关IP与她的MAC地址配对。
• 客户注册夏娃的MAC地址作为他们的新网关。
• 客户端向AP发送用其私钥(PTK)加密的数据包，但以Eve为地址。(数据包仍然必须转到AP，因为它是“集线器”。)
• AP解密这些数据包，用Eve的PTK重新加密它们(因为它们是给她的)，然后重新广播它们。这些数据包现在已经被有效地清除到了夏娃。
• 随后发生了会议劫持事件。

根据登记册上的一篇文章，ARP中毒似乎确实与此有关。

http://www.theregister.co.uk/2011/06/03/android_饼干_偷盗_app/print.html

该应用程序甚至在WPA和WPA2加密方案保护的网络上工作，使用一种称为ARP欺骗的技术通过攻击者的设备重定向本地通信。然而，攻击者必须知道安全密码。

因此，对于WPA2网络来说，FaceNiff最有可能利用“霍尔196”。AirTight有一篇文章，很好地解释了Hole 196是什么，以及(粘贴在下面)如何利用它，以便Eve能够嗅到WPA2的流量，就好像它在清空中一样。

http://www.airtightnetworks.com/WPA2-Hole196

在WPA2网络中，恶意内部人员使用共享组密钥(GTK)直接向网络中的其他授权Wi客户端广播假数据包(以AP的MAC地址作为发射机地址)。一个可以使用GTK进行攻击的例子是典型的ARP中毒(中间人攻击)(在黑帽兵工厂，2010年和Defcon18上演示)。例如，在ARP中毒攻击中，内部人员可以在GTK加密数据包中包含ARP请求消息。ARP请求具有实际网关的IP地址，但具有攻击者机器的MAC地址。所有接收此消息的客户端都将更新他们的ARP表--将攻击者的MAC地址映射到网关的IP地址。所有“中毒”的will客户端都将用各自的私钥(PTK)加密的所有通信量发送给AP，但目标是攻击者的MAC地址。AP将解密通信量并将其转发给攻击者，现在使用攻击者的PTK对其进行加密。因为到达攻击者的所有通信量(来自AP)都是用攻击者的PTK加密的，因此攻击者可以解密通信量(包括登录凭据、电子邮件和其他敏感数据)。然后，攻击者可以选择将流量转发到网络的实际网关，这样受害者Wi客户端就不会看到任何异常行为并继续通信。

见WPA2 WiFi是否被保护以防止ARP中毒和嗅探？。从你的笔记使用arp欺骗，你可以认为洞196因素是相关的。

它似乎在内部使用ARP欺骗(我注意到FaceSniff的changelog中提到了一些ARP )。