MITM中间人攻击理论

中间人攻击理论

中间人攻击（Man in the Middle Attack，简称“MITM 攻击”）是一种间接的入侵攻击。
通过各种技术手段，将入侵者控制的一台计算机，放置在网络连接中的两台通信计算机之间，这台计算机就称为“中间人”。

常见的攻击手段

1. 攻击者只要将网卡设为混杂模式，伪装成代理服务器监听特定的流量就可以实现攻击，只是因为很多通信协议都是以明文来进行传输的，如HTTP，FTP，Telnet等。随着交换机代替集线器，简单的嗅探攻击已经不能成功，必须先进行ARP欺骗才行。
2. SMB会话劫持
3. DNS欺骗
4. 为HTTPS提供假证书

以上攻击都是典型的MITM攻击。简而言之，所谓的MITI攻击就是通过拦截正常的网络通讯数据，并进行数据篡改和嗅探，而通信的双方却毫不知情。

ARP欺骗原理

• ARP协议概述：ARP协议是“Address Resolution Protocol”（地址解析协议）的缩写。
  计算机通过ARP协议将IP地址转换成MAC地址。

• ARP协议工作原理
  在以太网中，数据传输的目标地址是MAC地址，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址。
  计算机使用者通常只知道目标机器的IP信息，“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。
  简单地说，ARP协议主要负责将局域网中的32为IP地址转换为对应的48位物理地址，即网卡的MAC地址，保障通信顺利尽心。

arp工作原理如下：

以上是ARP正常通讯过程，下面是ARP欺骗过程：
ARP欺骗概述：
1、每个主机都用一个ARP高速缓存存放最近IP地址到MAC地址之间的映射记录。
2、默认情况下，ARP从缓存中读取IP-MAC条目，缓存中的IP-MAC条目是根据ARP响应包动态变化的。
3、要网络上有ARP响应包发送到本机，即会更新ARP高速缓存中的IP-MAC条目。
4、攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目，完成ARP欺骗。

ARP欺骗具体流程如下：
1、正常情况：主机xuegod63上保存着xuegod62的IP和MAC对应关系表

2、xuegod64恶意给63发一个ARP应答包，来刷新63上ARP缓存表。 让63上缓存的MAC地址变为64的MAC
3、情景1：xuegod63发给62的数据，最终都发给了xuegod64，而xuegod64还可以把数据传给62。 实现中间人攻击

4、情况2：ARP欺骗–冒充网关，实现中间人攻击

例如： 网络执法官，P2P终结者软件，都可以使用arp欺骗，来冒充网关。

怎样防范ARP欺骗
1.在主机绑定网关MAC与IP地址为静态（默认为动态），命令：arp -s 网关IP 网关MAC
2.在网关绑定主机MAC与IP地址
3.使用ARP防火墙

实战-使用 Ettercap 工具实现中间人攻击

实验主机
xuegod 62 192.168.1.62
xuegod63 192.168.1.63
kali-Linux 192.168.192.159


vsftp数据通信过程中，加密了吗？
没有加密
访问http://www.163.com，进行通信加密了吗？
国内90%的手机app软件使用http协议进行通知，，进行通信加密了吗？
没有加密

FTP服务器：xuegod 62 192.168.1.62
FTP客户端：xuegod63 192.168.1.63
中间人肉机：kali-Linux 192.168.192.159

xuegod62 安装ftp服务

添加一个系统用户：kill 密码： 123456 用于后期登录ftp
[root@xuegod63 ~]# useradd kill
[root@xuegod63 ~]# echo 123456 | passwd --stdin kill

xuegod63安装ftp客户端工具

kali-linux 配置

1. 初始化ettercap
   
2. 选择Sniff 抓包. 嗅探
   
3. 开始抓包。
   unified 全局扫描
   
4. 选择网卡
   
   5、选择主机 开始扫描主机
   
5. 生成主机列表
   
6. 点开主机列表
   
7. 查看被扫描的主机
   
8. 在xuegod63上登录xuegod62的ftp服务器。
   [root@xuegod63 ~]# ftp 192.18.1.62
   Connected to 192.18.1.62 (192.18.1.62).
   220 (vsFTPd 2.2.2)
   Name (192.18.1.62:root): mk #这个名字可以随意写
   331 Please specify the password.
   Password:123456
   530 Login incorrect.
   Login failed.
   ftp>
   此时，当登录 192.168.1.62 主机的mk和123456相关的敏感信息将会被传递给攻击者。

• 登录kali查看：
• 
• 从该界面可以看到，有用户登录 192.168.1.62 主机的 FTP 服务器了。
  其用户名为 mk，密码为 123456。

获取这些信息后停止嗅探，在菜单栏中依次单击 Start|Stop


扩展：
手机app 使用http协议 加密了吗？ 没有 这样用户名和密码 可以在局域网中被抓到
解决方法：
所有手机app 软件通信都应该使用https协议