大家好,欢迎来到IT知识分享网。
中间人攻击理论
中间人攻击(Man in the Middle Attack,简称“MITM 攻击”)是一种间接的入侵攻击。
通过各种技术手段,将入侵者控制的一台计算机,放置在网络连接中的两台通信计算机之间,这台计算机就称为“中间人”。
常见的攻击手段
- 攻击者只要将网卡设为混杂模式,伪装成代理服务器监听特定的流量就可以实现攻击,只是因为很多通信协议都是以明文来进行传输的,如HTTP,FTP,Telnet等。随着交换机代替集线器,简单的嗅探攻击已经不能成功,必须先进行ARP欺骗才行。
- SMB会话劫持
- DNS欺骗
- 为HTTPS提供假证书
以上攻击都是典型的MITM攻击。简而言之,所谓的MITI攻击就是通过拦截正常的网络通讯数据,并进行数据篡改和嗅探,而通信的双方却毫不知情。
ARP欺骗原理
-
ARP协议概述:ARP协议是“Address Resolution Protocol”(地址解析协议)的缩写。
计算机通过ARP协议将IP地址转换成MAC地址。 -
ARP协议工作原理
在以太网中,数据传输的目标地址是MAC地址,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址。
计算机使用者通常只知道目标机器的IP信息,“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。
简单地说,ARP协议主要负责将局域网中的32为IP地址转换为对应的48位物理地址,即网卡的MAC地址,保障通信顺利尽心。
arp工作原理如下:
以上是ARP正常通讯过程,下面是ARP欺骗过程:
ARP欺骗概述:
1、每个主机都用一个ARP高速缓存存放最近IP地址到MAC地址之间的映射记录。
2、默认情况下,ARP从缓存中读取IP-MAC条目,缓存中的IP-MAC条目是根据ARP响应包动态变化的。
3、要网络上有ARP响应包发送到本机,即会更新ARP高速缓存中的IP-MAC条目。
4、攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,完成ARP欺骗。
ARP欺骗具体流程如下:
1、正常情况:主机xuegod63上保存着xuegod62的IP和MAC对应关系表
2、xuegod64恶意给63发一个ARP应答包,来刷新63上ARP缓存表。 让63上缓存的MAC地址变为64的MAC
3、情景1:xuegod63发给62的数据,最终都发给了xuegod64,而xuegod64还可以把数据传给62。 实现中间人攻击
4、情况2:ARP欺骗–冒充网关,实现中间人攻击
例如: 网络执法官,P2P终结者软件,都可以使用arp欺骗,来冒充网关。
怎样防范ARP欺骗
1.在主机绑定网关MAC与IP地址为静态(默认为动态),命令:arp -s 网关IP 网关MAC
2.在网关绑定主机MAC与IP地址
3.使用ARP防火墙
实战-使用 Ettercap 工具实现中间人攻击
实验主机
xuegod 62 192.168.1.62
xuegod63 192.168.1.63
kali-Linux 192.168.192.159
vsftp数据通信过程中,加密了吗?
没有加密
访问http://www.163.com,进行通信加密了吗?
国内90%的手机app软件使用http协议进行通知,,进行通信加密了吗?
没有加密
FTP服务器:xuegod 62 192.168.1.62
FTP客户端:xuegod63 192.168.1.63
中间人肉机:kali-Linux 192.168.192.159
xuegod62 安装ftp服务
添加一个系统用户:kill 密码: 123456 用于后期登录ftp
[root@xuegod63 ~]# useradd kill
[root@xuegod63 ~]# echo 123456 | passwd –stdin kill
xuegod63安装ftp客户端工具
kali-linux 配置
- 初始化ettercap
- 选择Sniff 抓包. 嗅探
- 开始抓包。
unified 全局扫描
- 选择网卡
5、选择主机 开始扫描主机
- 生成主机列表
- 点开主机列表
- 查看被扫描的主机
- 在xuegod63上登录xuegod62的ftp服务器。
[root@xuegod63 ~]# ftp 192.18.1.62
Connected to 192.18.1.62 (192.18.1.62).
220 (vsFTPd 2.2.2)
Name (192.18.1.62:root): mk #这个名字可以随意写
331 Please specify the password.
Password:123456
530 Login incorrect.
Login failed.
ftp>
此时,当登录 192.168.1.62 主机的mk和123456相关的敏感信息将会被传递给攻击者。
- 登录kali查看:
- 从该界面可以看到,有用户登录 192.168.1.62 主机的 FTP 服务器了。
其用户名为 mk,密码为 123456。
获取这些信息后停止嗅探,在菜单栏中依次单击 Start|Stop
扩展:
手机app 使用http协议 加密了吗? 没有 这样用户名和密码 可以在局域网中被抓到
解决方法:
所有手机app 软件通信都应该使用https协议
免责声明:本站所有文章内容,图片,视频等均是来源于用户投稿和互联网及文摘转载整编而成,不代表本站观点,不承担相关法律责任。其著作权各归其原作者或其出版社所有。如发现本站有涉嫌抄袭侵权/违法违规的内容,侵犯到您的权益,请在线联系站长,一经查实,本站将立刻删除。 本文来自网络,若有侵权,请联系删除,如若转载,请注明出处:https://yundeesoft.com/10897.html