中间人攻击(Man-In-The-Middle)&&Cain使用简介

 

 

中间人攻击(Man-In-The-Middle)

     局域网内通过向被攻击者和网关发送ARP请求或响应包来修改对方的ARP缓存(在对方使用了静态ARP映射，即绑定了MAC和IP对应关系的情况下无效)，发送的ARP包干了两个事情：”告诉网关我是被攻击者，告诉被攻击者我是网关“。这样在双方的ARP缓存被修改之后，他们向对方发送数据包时就都往我的MAC地址发了过来（以太网(局域网)里使用MAC作为网卡的唯一标示，而不是IP，IP是因特网上的主机的唯一标示），在我的嗅探器收到之后对这些数据包进行解析、过滤，并对其中感兴趣的数据包修改之后再向转发给原始的接受者。
     整个过程攻击者就像处于被攻击者和网关中间的转发器一样，负责双方的数据转发，就像一个交换机，你也可以自己编写嗅探器对来往数据做一些限制，就像路由器上的协议封锁、端口限制、关键字侦测之类的事情，以达到软件防火墙的目的。或者延长每个数据包的转发间隔，以限制对方的网络流量。

     总之，ARP欺骗之后，你截获了被攻击者和网关之间的所有通信数据，注意，这里是截获，不仅仅是得到了这些数据的拷贝。所以，你可以随心所欲的做你想做的任何事情。。偶也~~~~

     ARP协议参见《TCP/IP详解》第一卷第四章

 

 

Cain简介

     Cain & Abel 是由Oxid.it开发的一个针对Microsoft操作系统的免费口令恢复工具。号称穷人使用的L0phtcrack。它的功能十分强大，可以网络嗅探，网络欺骗（中间人攻击），破解加密口令、解码被打乱的口令、显示口令框、显示。。。

     以下仅对几个关键和使用中需要注意的地方进行了简要说明，更详细的使用说明可google之，或猛击只拟。

 

Cain功能说明

• 解码(Decoders)：通过读取本地计算机的缓存数据，得到本地计算机的一些敏感数据，比如本地计算机的用户名密码、曾经在本机上登陆过的无线AP用户名和密码、IE中缓存的用户名密码等等。

• 局域网扫描(NetWork)：扫描局域网内的计算机，并列出他们开放的默认共享、用户名、服务、使用的操作系统、版本、计算机名等等

• 破解器(Cracker)：破解各种hash值，比如MD5，802.11数据包、MySQL、Oracle、WPA、SHA，windows密码等等，破解方式可以选择暴力破解、字典破解、Rainbow表、Rainbow在线破解等等，如果是弱口令的话，使用暴力破解就可以很快计算出来。同时支持在清单中添加多条密文进行批量破解。

• 无线(Wireless)：列出当前信号范围内的所有无线AP及其属性、SSID、CHANNEL等、wep破解和注入（需要使用AirPcap网卡和驱动,AirPcap网卡超贵且国内买不到)，如需要破解WEP，建议使用BT3，同时需要一款支持linux下的无线网卡和BT3启动光盘或启动U盘，淘宝上几十块钱就很容易买到。

• 路由表打印(Traceroute)：打印自本机到远端地址所经过的所有节点

• 嗅探器(Sniffer)：
  Host：扫描局域网中的所有主机，获取IP、MAC、网卡特征、主机名
  ARP： 基于ARP欺骗的中间人攻击，选择左边树控件的"ARP"节点然后点中右边上方的列表，再点击工具栏上的加号，在弹出来的对话框中左边选择网关，右边选择被攻击者。 然后点击工具栏上的“核武器图标”开始进行ARP欺骗（注意config里需要选择有线（以太）网卡），本机将作为中间人转发被攻击者和网关之间的所有以太网封包，对其中感兴趣的封包进行截获、修改、查看。
      ARP欺骗有以下几个功能（包含但不限于）：
      ARP-DNS欺骗：在右边列表右键选择"Add to List"，在弹出来的对话框中上边填入欺骗的url，假如是www.wry.com，下边填入需要转向的IP，如果不知道IP可以点击右边的"Resolve"按钮填入域名,假设是www.tonovo.com，将自动解析为对应的IP。这样当被攻击者请求www.wry.com时就会转向www.tonovo.com。这个功能可以用来将目标域名转向你的钓鱼页面，骗取被攻击者的敏感信息，哈哈，邪恶吧。
      ARP-RDP：截获被攻击者机器上的RDP数据包，解析其中的远程桌面用户名和密码。
      ARP-FTP：截获被攻击主机上的ftp操作信息。
          
  Passwords：当ARP欺骗开启后，被攻击者与网关之间的数据包都会流经本机，cain会对其进行解析，所有和密码相关的数据都会被嗅探到并在此栏列出，例如POP3、Ftp、Http等协议的用户名和密码信息。    
  VOIP：cain会copy一份嗅探到的VOIP数据包，这样如果对方使用了VOIP软件通话，你就可以对这些数据包进行回放了。
   
  注：当cain开启ARP欺骗之后，由于中间人攻击将被攻击者和网关之间通信的数据包都转发到本机网卡上，所以你还可以用其它一些基于本地网卡的嗅探器进一步来嗅探并解析收到的数据包，而不仅仅是上面提到的协议及内容。例如使用NetResident对截获的数据包进行回放(Replay)，NetResident可以解析SMTP、Pop3、Http等一些高层协议，并将他们记录存储下来以供回放，但NetResident目前还没有破解版。有兴趣的用户也可以自己编写协议解析器挂到cain之上用于捕获、修改、展现通过cain嗅探到的协议数据。

注意事项

• 由于cain在sniffer时使用了winpcap，但winpcap不能解析802.11x封包，仅支持以太网封包 ，所以cain的sniffer功能只能在有线网卡（以太网卡）上使用。
• 在使用ARP欺骗捕获RDP数据包(windows基于3389端口的远程桌面通信协议)时，只有在被欺骗主机预先填好远程登录用户名和密码的情况下嗅探者在捕获的RDP封包里才能得到登陆远程桌面的用户名和密码。比如：win2003上使用tsmmc.msc而且保存了远程终端的用户名密码，之后再使用tsmmc.msc登录，这时，嗅探者才能捕获到被嗅探主机发往远程终端RDP数据包中的用户名和密码。当Sniffer -> ARP -> ARP-RDP一栏中出现嗅探到的RDP数据包后，在右边列表中选中一条嗅探到的记录，右键->view即打开这些封包的记录文件，找到Symmetric encryption phase reached...之后的第一个Client decrypted packet封包，右边是字符形式的展现，可看到这个封包里远程桌面的用户名和密码分别是Administrator和aaa
  ***************************************
  - Symmetric encryption phase reached...
  ***************************************
• [Client decrypted packet] - 361 bytes total; 334 bytes decrypted
  0000 03 00 01 69 02 f0 80 64 00 03 03 eb 70 81 5a 48 ...i...d....p.ZH
  0010 00 00 00 46 92 2f 8b 85 39 e9 ff 04 08 04 08 b3 ...F./..9.......
  0020 43 00 00 00 00 1a 00 00 00 00 00 00 00 00 00 41 C..............A
  0030 00 64 00 6d 00 69 00 6e 00 69 00 73 00 74 00 72 .d.m.i.n.i.s.t.r
  0040 00 61 00 74 00 6f 00 72 00 00 00 61 00 61 00 61 .a.t.o.r...a.a.a
  0050 00 02 00 1c 00 31 00 39 00 32 00 2e 00 31 00 36 .....1.9.2...1.6
  0060 00 38 00 2e 00 31 00 31 00 39 00 2e 00 35 00 00 .8...1.1.9...5..
  0070 00 40 00 43 00 3a 00 5c 00 77 00 69 00 6e 00 64 [email protected].:./.w.i.n.d
  0080 00 6f 00 77 00 73 00 5c 00 73 00 79 00 73 00 74 .o.w.s./.s.y.s.t
  0090 00 65 00 6d 00 33 00 32 00 5c 00 6d 00 73 00 74 .e.m.3.2./.m.s.t
  00a0 00 73 00 63 00 61 00 78 00 2e 00 64 00 6c 00 6c .s.c.a.x...d.l.l
  00b0 00 00 00 20 fe ff ff 2d 4e fd 56 07 68 c6 51 f6 ... ...-N.V.h.Q.
  00c0 65 f4 95 00 00 00 00 00 00 00 00 00 00 00 00 00 e...............
  00d0 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
  00e0 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
  00f0 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
  0100 00 00 00 00 00 00 00 00 00 00 00 2d 4e fd 56 07 ...........-N.V.
  0110 68 c6 51 f6 65 f4 95 00 00 00 00 00 00 00 00 00 h.Q.e...........
  0120 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
  0130 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
  0140 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
  0150 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
  0160 00 00 00 00 00 00 00 00 00                      .........
• 当目标主机使用了“静态ARP映射表”绑定MAC和IP时，攻击者的ARP欺骗无法生效,因为这时的ARP欺骗不能更改对方的ARP映射缓存。