[web安全]使用ARPspoof进行中间人(MiTM)攻击

上次发现的arpspoof,这次来研究了,记录了点东西,方便以后查阅。

中间人攻击:

坏人将自己置于服务器和客户端之间,从而可以访问呢两者之间的所有流量,方便窃听等干坏事。

ARPspoof:

ARPspoof是密歇根大学Dug Song开发的一套名为dsniff的工具。这套工具包括以下工具:

  • arpspoof

  • dsniff

  • macof

  • tcpkill

  • filesnarf

  • mailsnarf

  • urlsnarf

  • webspy

  • sshmitm

  • webmitm

  • 其他

介绍下arpspoof的用法

arpspoof - 拦截交换局域网上的数据包
arpspoof [ -i interface ] [ -c own | host | both ] [ -t target ] [ -r ] host
参数:
-i:指定网卡接口,像eth0等。
-c:指定恢复arp配置时使用的硬件地址。
-t:目标地址,如果没指定则会指定LAN上的所有主机。
-r:捕获两个方向上的流量,这样就不需要arpspoof发出两个命令了。

实验

在下面的实验中主要使用的是arpspoof 和dsniff。

客户端:windows 7,ip:192.168.1.116
服务端:Debian Linux,ip: 192.168.1.118
攻击者:Kali系统
1.首先 服务器Debian Linux持续ping windows7

kali> ping 192.168.1.116 -t
[web安全]使用ARPspoof进行中间人(MiTM)攻击_第1张图片可以看到有windows7系统正在回应。

2.攻击者Kail系统 需要实施如下三个步骤:

(1)使Debian系统认为我们是Windows 7系统
(2)使Windows 7系统认为我们是Debian系统
(3)通过我们的攻击系统转发数据包,使这两者之间的连接是透明的,不会中断它们的通信。

完成第一个步骤:

kali> arpspoof -t 192.168.1.116 192.168.1.118
在这里插入图片描述

完成第二个步骤:

kali> arpspoof -t 192.168.1.118 192.168.1.116
在这里插入图片描述
会发现,我们只是前后两个ip对调了而已。
当第二个步骤指令执行时,会发现Debian Linux ping停止了。因为我们没有进行ip转发,中断了它们两者之间的通信。

完成第三个步骤:

kali> echo 1> / proc / sys / net / ipv4 / ip_forward
设置proc目录里的ip_forward字段中为1(1启用,0禁用)
在这里插入图片描述这样当我们回到Debian系统时,我们可以看到ping已经恢复了,并且通过了Kail这个中间人。
[web安全]使用ARPspoof进行中间人(MiTM)攻击_第2张图片
成功成为中间人后,就可以使用嗅探工具了,dsniff就是这样一个工具。
它可以识别和获取以下类型的流量:

  • FTP
  • Telnet
  • SMTP
  • HTTP
  • NNTP
  • 等等
arpspoof还有许多组件,当我们需要的时候就可以使用。
  • tcpkill用于终止TCP连接
  • mailsnarf捕获SMTP邮件流量
  • URLSnarf捕获并输出从HTTP流量中嗅探的所有请求的URL。

参考文章:
https://www.hackers-arise.com/single-post/2017/07/25/Man-the-Middle-MiTM-Attack-with-ARPspoofing

你可能感兴趣的:(web安全)