[web安全]使用ARPspoof进行中间人（MiTM）攻击

上次发现的arpspoof，这次来研究了，记录了点东西，方便以后查阅。

中间人攻击：

坏人将自己置于服务器和客户端之间，从而可以访问呢两者之间的所有流量，方便窃听等干坏事。

ARPspoof:

ARPspoof是密歇根大学Dug Song开发的一套名为dsniff的工具。这套工具包括以下工具：

• arpspoof

• dsniff

• macof

• tcpkill

• filesnarf

• mailsnarf

• urlsnarf

• webspy

• sshmitm

• webmitm

• 其他

介绍下arpspoof的用法

arpspoof - 拦截交换局域网上的数据包
arpspoof [ -i interface ] [ -c own | host | both ] [ -t target ] [ -r ] host
参数：
-i:指定网卡接口，像eth0等。
-c:指定恢复arp配置时使用的硬件地址。
-t:目标地址，如果没指定则会指定LAN上的所有主机。
-r:捕获两个方向上的流量，这样就不需要arpspoof发出两个命令了。

实验

在下面的实验中主要使用的是arpspoof 和dsniff。

客户端:windows 7，ip:192.168.1.116

服务端：Debian Linux，ip: 192.168.1.118

攻击者：Kali系统

1.首先 服务器Debian Linux持续ping windows7

kali> ping 192.168.1.116 -t

ping windows 7系统

可以看到有windows7系统正在回应。

2.攻击者Kail系统 需要实施如下三个步骤：

(1)使Debian系统认为我们是Windows 7系统
(2)使Windows 7系统认为我们是Debian系统
(3)通过我们的攻击系统转发数据包，使这两者之间的连接是透明的，不会中断它们的通信。

完成第一个步骤：

kali> arpspoof -t 192.168.1.116 192.168.1.118

在这里插入图片描述

完成第二个步骤：

kali> arpspoof -t 192.168.1.118 192.168.1.116

在这里插入图片描述

会发现，我们只是前后两个ip对调了而已。
当第二个步骤指令执行时，会发现Debian Linux ping停止了。因为我们没有进行ip转发，中断了它们两者之间的通信。

完成第三个步骤：

kali> echo 1> / proc / sys / net / ipv4 / ip_forward
设置proc目录里的ip_forward字段中为1（1==启用，0==禁用）

在这里插入图片描述

这样当我们回到Debian系统时，我们可以看到ping已经恢复了,并且通过了Kail这个中间人。

在这里插入图片描述

成功成为中间人后，就可以使用嗅探工具了，dsniff就是这样一个工具。
它可以识别和获取以下类型的流量：

• FTP
• Telnet
• SMTP
• HTTP
• NNTP
• 等等

arpspoof还有许多组件，当我们需要的时候就可以使用。

• tcpkill用于终止TCP连接
• mailsnarf捕获SMTP邮件流量
• URLSnarf捕获并输出从HTTP流量中嗅探的所有请求的URL。

参考文章：
https://www.hackers-arise.com/single-post/2017/07/25/Man-the-Middle-MiTM-Attack-with-ARPspoofing