利用ARP欺骗进行MITM(中间人攻击)
ARP欺骗主要骑着信息收集得作用,比如可以利用欺骗获取对方流量,从流量分析你认为重要得信息
0X01 了解ARP
Arp协议
ARP(Address Resolution Protocol,地址解析协议)是一个位于TCP/IP协议栈中的网络层,负责将某个IP地址解析成对应的MAC地址。
以太网(局域网)进行信息传输时,不是根据IP地址进行通信,因为IP地址是可变的,用于通信是不安全的。然而MAC地址是网卡的硬件地址,一般出厂后就具有唯一性。ARP协议就是将目标IP地址解析成MAC地址进行验证通信。
ARP通信原理
每台主机都会在自己的ARP缓冲区建立一个ARP列表(生命周期二十分钟),用于表示IP地址和MAC地址的对应关系。而这份协议信任以太网所有节点,不检查自己是否接受或发送过请求包,只要收到ARP广播包,他就会把对应得IP-mac更新到自己得缓存表,这就导致我们可以不停的向以太网发送ARP广播包,更i性能ip-mac缓存表
0X02 实验环境:
靶机 IP:192.168.0.101 mac:00:f4:8d:18:de:e8
中间人Kali IP:192.168.0.104 mac:00:0c:29:cc:35:6b
FTP服务器 IP:192.168.0.103 mac:00:0c:29:cc:5d:22
使用工具arpspoof、tcpdump
a) linux因为系统安全,是不支持IP转发的,其配置文件写在/proc/sys/net/ipv4的ip_forward中。默认为0,需要修改为1
echo "1"> /proc/sys/net/ipv4/ip_forward
b) 查看arp攻击前靶机ARP表中FTP服务器得mac地址
c) 使用arpspoof实现双向欺骗
靶机去寻找FTP的IP地址,正常情况下首先去ARP缓冲区寻找ARP列表,知道FTP的mac为00:0c:29:cc:5d:22,在表里寻找对应的IP地址进行连接,此时使用arpspoof更新靶机的ARP列表,使的Kali的mac与FTP服务器的ip成一一对应关系(注意的一处误区:当查看arp表时会发现两个IP对应一个mac地址,其中一个IP是Kali的,两个IP都会收到靶机的流量,并不会截断原来的流量),同理欺骗FTP服务器Kali是靶机,使的Kali在中间起到转发流量的作用
arpspoof –i eth0 –t 192.168.0.101 192.168.0.103 #参数:-i 指Kali所用网卡,-t 表示目标 使用这条语句得作用:对192.168.0.101说,我是192.168.0.103,工具会更新靶机的ARP表,Kali的IP会和192.168.0.103的mac对应上
arpspoof –i eth0 –t 192.168.0.103 192.168.0.101 #同上
以上两条命令可合并为一条 arpspoof –r 参数
毒化两个主机(目标和主机(host))以捕获两个方向的网络流量。(仅仅在和-t参数一起使用时有效)
arpspoof -i eth0 -t 192.168.11.101 -r 192.168.11.3
d) 在靶机上查看FTP服务器的mac地址
f) 使用工具tcpdump监听ftp端口21端口并将所截获数据包导入到1.txt中(如没有1.txt,则自动新建)
tcpdump -nn -X -i eth0 tcp prot 21 > 1.txt
在文件中查找有用信息,比如user password
相关推荐
dahege 2019-11-03
Nexthop 2020-06-25
zhuyonge 2020-06-11
markingmac 2020-04-25
adc00 2019-12-28
quanhaoH 2017-03-23
BearWow 2017-09-26
seacover 2011-04-18
Macan生活点滴 2010-08-19
KINGJENSEN 2010-06-08
hotermomo 2008-09-07
prophet00 2010-11-15
BingGoGo技术 2010-02-19
ooouuuooouuu 2019-07-01
远超的blog 2015-12-16