目 录CONTENT

文章目录

部分中间人攻击手法简介

老K博客
2023-09-26 / 0 评论 / 0 点赞 / 141 阅读 / 1,305 字 / 正在检测是否收录...
广告 广告

这是我在先知社区看到的,感觉很好就转过来这里了
原文地址

中间人攻击简介

中间人攻击(Man-in-the-Middle Attack,简称MITM攻击)是一种网络安全攻击,攻击者通过在通信的两端之间插入恶意节点,从而达到监视、篡改或劫持通信流量的效果

中间人攻击常见的手法包括:

  1. ARP 欺骗(ARP Spoofing):攻击者发送 ARP 欺骗包,让受害者误认为攻击者的 MAC 地址是目的 IP 对应的 MAC 地址,从而将流量导向攻击者。
  2. DNS 欺骗(DNS Spoofing):攻击者篡改 DNS 服务器的记录,使受害者访问网站时被重定向到攻击者控制的网站。
  3. SSL 压制(SSL Stripping):攻击者压制受害者和服务器之间的 SSL/TLS 加密连接,使用明文传输窃取信息。
  4. WiFi 伪装(Evil Twin):攻击者设置一个与正规 WiFi 相似的假冒网络,诱使用户连接,获取网络流量。
  5. 会话劫持(Session Hijacking):攻击者通过获取会话标识符,接管受害者与服务器之间的会话。

ARP欺骗

简介

ARP欺骗是中间人攻击方式中的一项经典攻击手法,该攻击方式可以令受害者错认为攻击者的MAC是网关MAC,从而将全部流量转发至攻击者主机。由于ARP协议的限制,该手段通常用于内网机器通讯时的地址转换。

原理:

地址解析协议,即ARP(Address ResolutionProtocol),是根据IP地址获取物理地址的一个TCP/IP协议。主机发送信息时将包含目标IP地址的ARP请求广播到局域网络上的所有主机,并接收返回消息,以此确定目标的物理地址;收到返回消息后将该IP地址和物理地址存入本机ARP缓存中并保留一定时间,下次请求时直接查询ARP缓存以节约资源。通俗的说,DNS是域名与IP对应的协议,而arp是IP与mac(物理地址)对应的协议,DNS常用于主机与外网机器连接时进行地址转换,而arp多用于内网机器通信时地址的转换

手法:
  • 攻击者使用 ARP 欺骗工具发送 ARP 响应报文,声称自己的 MAC 地址是受害者要找的 IP 的 MAC。

  • 受害者接收到响应后会更新自己的 ARP 缓存,之后发往该 IP 的流量就会发往攻击者。
    效果:

  • 攻击者可以窃听通信内容,劫持会话,进行网站钓鱼等攻击。

  • 攻击者可以成为“中间人”,控制受害者和服务器之间的通信。

  • 如果攻击者同时欺骗受害者和服务器,可以修改传输的数据包内容。

  • 攻击者可以选择只劫持部分特定的流量,使攻击难以被察觉。

网络拓扑

网络拓扑如图:

image

受害者:192.168.243.128 (00-0C-29-12-DC-7A)

攻击者:192.168.243.129 (00:0c:29:f7:fb:a8)

提前开启抓包工具对虚拟网卡进行抓包

arp欺骗方法

使用kali,工具命令如下:

arpspoof -i <网卡接口> -t <目标的内网地址> <网关ip>

执行命令后,可以在抓包软件中看出,攻击者发出了大量的 arp response 包,声明自己为网关地址(243.2)

image

此时我们再去攻击者设备上查看arp表,发现网关地址的mac已经被污染为攻击者的mac

image

流量转发与劫持

劫持成功后,受害者所有的流量都会发送至攻击者,但攻击者默认并没有开始流量转发功能,所以会导致受害者无法上网

在受害者这里发送dns请求

image

攻击者这里就能看到了,说明流量成功的被转移到攻击者主机这里

image

为了能在劫持流量的同时,保证受害者正常上网,攻击者主机需要开启流量转发功能

出于安全考虑,Linux系统默认是禁止数据包转发的。所谓转发即当主机拥有多于一块的网卡时,其中一块收到数据包,根据数据包的目的ip地址将包发往本机另一网卡,该网卡根据路由表继续发送数据包。这通常就是路由器所要实现的功能。

su - #改变用户为root,并使用root环境变量
echo 1 >/proc/sys/net/ipv4/ip_forward   #将参数换为1

默认为0,0为不转发,1为启用流量转发

启用流量转发后,再操作受害者访问网页,可以发现能正常上网,且流量被攻击者截获

image image
0
广告 广告

评论区