无线欺骗攻击中,多数是以无线中间人攻击体现的。中间人攻击是一种“间接”的入侵攻击,是通过拦截、插入、伪造、终端数据包等各种技术手段将受入侵者控制的一台计算机虚拟放置在网络连接中的两台通信计算机之间,这台计算机就称为“中间人”。
一、中间人攻击简介
无线欺骗攻击中,多数是以无线中间人攻击体现的。中间人攻击是一种“间接”的入侵攻击,是通过拦截、插入、伪造、终端数据包等各种技术手段将受入侵者控制的一台计算机虚拟放置在网络连接中的两台通信计算机之间,这台计算机就称为“中间人”。
二、常用的欺骗工具
在kali linux里面有欺骗工具包,包括Ettercap、ARPSpoof、DNSChef、SSLStrip等。
三、中间人攻击(一) -arpspoof+drifrnet实现MiTM攻击
1、MiTM攻击简介
MiTM攻击是通过劫持两个用户之间的流量来实现的,而这种流量可以通过使用Wireshark和其他数据包嗅探器等工具来监测到.。你可以在本文接下来的部分,看到Wireshark是如何对每个数据包的细节进行嗅探的,研究者们可以使用Wireshark来捕获这些数据包以供日后的详细分析。
假设有外国政府间谍正在对一位专家的电脑进行监控,我的任务就是检查他们是否从该专家的电脑里盗取了具有图片性质的信息,比如机密地图、计划、知识产权等。这样,为了弄清事情的危害程度,我就要具体判断这些被传输的图片信息到底是什么内容。
首先,我需要进行MitM,把自己置于攻击目标和路由器之间。这样,所有的流量我就都可以监测到了。完成MitM之后,我需要使用一个名为“driftnet”的工具,driftnet是一款用于抓取指定接口数据流上面图片的软件。这样我就能将图片信息存储并显示在我的计算机上。
2、arpspoof实施MiTM攻击
在进行MiTM的方法上,我刚开始有arpspoof和Ettercap两种选择。
ettercap是一款现有流行的网络抓包软件,它利用计算机在局域网内进行通信的ARP协议的缺陷进行攻击,在目标与服务器之间充当中间人,嗅探两者之间的数据流量,从中窃取用户的数据资料。
而arpspoof同样也可以完成APR欺骗,在经过对比后,我发现虽然Ettercap使用起来更加简单上手,但arpspoof却更加可靠。于是最后,我决定用arpspoof实施MiTM。
1)信息收集
获取kali的IP地址
ifconfig 192.168.200.129获取受害者IP地址
ipconfig 192.168.200.1342)开启IP地址转发
echo 1 >/proc/sys/net/ipv4/ip_forward3) 开始欺骗
arpspoof -i eth0 -t 192.168.200.134 192.168.200.11.命令"arpspoof -i网卡 -t目标IP网关IP”的作用是将目标机数据经Kali后传给网关。 2.命令"“arpspoof -i 网关IP目标IP”的作用是将网关返回的数据经Kali后到达目标机。3、driftnet接收图片
driftnet是一款简单而使用的图片捕获工具,能够捕获到网络数据包中的图片,同时支持抓取和显示音频文件,可用于捕获微信朋友圈中的相片、微博配图等等。
现在,我应该可以看到双方发送或接收的所有图片,下一步我要做的就是激活driftnet。我可以通过在Kali的任何终端输入driftnet来做到这一点,不过切记,不要使用arpspoof运行的开放终端,因为这将终止arpspoof。
如果kali没有,直接下载即可
apt-get install driftnet看到窗口在获取信息,这时可以打开抓取工具
driftnet -i eth0 (-i 指定监听的网络接口)使用受害者电脑访问4399网站,我们在kali上抓到了图片(HTTP协议才能抓到,HTTPS抓不到)
4、解决drifrnet无法抓取图片问题
drifrnet无法抓取图片,这与arpspoof的命令有关
网上的教程大多是
arpspoof -i 【网卡名称】 -t 【受害者IP】 【网关IP】 arpspoof -i eth0 192.168.200.134 192.168.200.2这时使用wireshark抓包观察
我们看到在kali上抓取eth0网卡的数据,筛选受害者IP,看到了抓到了受害者的流量。
可以看到,抓到的都是受害者ip (即192.168.200.134)发出的请求。所依上面的那条命令指的是,把我自己伪装成网关,局域网内的其他受害主机发出的请求报文,全部先发给我。
那么,通过计算机网络的基础知识可知,如果想要抓取图片流,上述命令只能抓到本地上传的图片。
如果你要抓取请求到的图片,你就不能使用上述命令。
需要改成
arpspoof -i [网卡名称] -t [网关IP] [受害者IP] arpspoof -i eth0 -t 192.168.200.1 192.168.200.134问题来了,如果我即想抓取请求图片流,又想抓取响应图片流呢
arpspoof -i [网卡名称] -r [网关IP] -t [受害者IP] arpspoof -i eth0 -r 192.168.200.1 -t 192.168.200.1345、永久保存操作
driftnet -i eth0 -b -a -d 目录四、中间人攻击(二) -ARP欺骗
1、流量转发
仅仅是截获流量,被攻击主机很容易发现异常,如何神不知鬼不觉的监视被攻击的主机呢?这就需要我们启动流量转发功能!
进行DNS欺骗之前,要检查攻击机,有没有开启IP转发。
Net.ipv4.ip_forward=0,则IP转发没有开启,需要手动将其设为1。
sysctl net.ipv4.ip_forward #如果为0,使用下面命令修改为1 sysctl -w net.ipv4.ip_forward=1 或者修改此处 vi /etc/sysctl.conf2、开启apache服务
service apache2 start3 、修改DNS并设计页面
1)修改便捷式ettercap中的DNS文件
vi /etc/ettercap/etter.dns* A 192.168.200.129 "*"代表DNS劫持后指定跳转的页面,例如“*”改为www.qq.com,那么被劫持的对象访问了WWW.qq.com会跳转到192.168.200.129的apache页面上来。 “A 192.168.200.129”指的是劫持后跳转的地址信息,记住本地的eth网卡地址2)设计index.html文件
该文件是网站的主页文件。可以修改原来的index.html,也可以自己写一个新的页面,替换掉之前的index.html。
<HTML> <head> <title>ARE YOU KIDDING</title> <h1>hellow, test.....!!</h1> <body> SOMETHING FOR NOTHING! </body> </head> </HTML>测试访问index.html
http://127.0.0.1/4、启动ettercap图形界面
1)启动大蜘蛛
ettercap -G-G命令是开起GUI模式。大家不喜欢使用图形界面的话,ettercap也有命令行模式,后面我也会附上ettercap进行DNS欺骗的命令。
2) 配置网卡
局域网内搭建的环境,选择eth0。
根据实际情况选择网卡
3)介绍功能
确定eth0网卡,选择好网卡后点击勾就行
开启搜索和停止搜索
4)扫描存活主机
Host->Scan for hosts->hosts list扫描网段内的主机数量,并列出。
5)列出扫描到的主机
可发现存活的主机的mac和IP
6)添加网关和被监听的主机
选择192.168.200.134(被害者主机)后点击Add to Target1会出现:Host 192.168.200.134 Add to Target1
然后在选择192.168.200.2网关后点击Add to Target2 出现:Host 192.168.200.1 Add to Target2
7)配置arp poisoning
开启ARP毒化,选择远程嗅探连接和远程窃听
8)配置插件
Plugins->Manage plugins,然后双击dns_spoof:劫持的意思,会弹出Activating dns_spoof plugin… :
9)成功DNS劫持
这时候不管受害者电脑访问任何http协议的网站,都会跳转到我指定的index.html界面
http协议网站
HTTPS协议网站
10)分析检查
查看受害者的arp表
我们看到了网卡的mac地址和kali的mac地址一致,正确情况下mac地址不可能一致
ping找到劫持的IP
我们看到了kali的地址,如果想停止arp劫持,关闭arpspoof窗口即可。
五、中间人攻击(三) arpspoof+Ettercap嗅探密码
1、开启路由转发
echo 1 >/proc/sys/net/ipv4/ip_forward利用arpspoof进行攻击欺骗
arpspoof -i eth0 -t 192.168.200.134(受害者IP) 192.168.200.2 (网关) arpspoof -i eth0 -r 192.168.200.2 -t 192.168.200.1342、使用Ettercap进行ARP欺骗
嗅探http登录密码
ettercap -Tq -i eth03、获取浏览用户密码
六 总结
首先介绍了什么是中间人及攻击的方式。 使用arpspoof+drifrnet工具实现劫持两个用户之间的流量来实现MiTM攻击。 截获流量,被攻击主机很容易发现异常,所用通过ettercap工具实现ARP欺骗,实现DNS劫持等攻击。 使用arpspoof+Ettercap工具嗅探密码,首先arpspoof进行攻击欺骗,再使用Ettercap进行嗅探http协议中的登录密码。 ## 学习资源 如果你是也准备转行学习网络安全(黑客)或者正在学习,这里开源一份360智榜样学习中心独家出品《网络攻防知识库》,希望能够帮助到你 知识库由360智榜样学习中心独家打造出品,旨在帮助网络安全从业者或兴趣爱好者零基础快速入门提升实战能力,熟练掌握基础攻防到深度对抗。 #### 1、知识库价值 深度: 本知识库超越常规工具手册,深入剖析攻击技术的底层原理与高级防御策略,并对业内挑战巨大的APT攻击链分析、隐蔽信道建立等,提供了独到的技术视角和实战验证过的对抗方案。 广度: 面向企业安全建设的核心场景(渗透测试、红蓝对抗、威胁狩猎、应急响应、安全运营),本知识库覆盖了从攻击发起、路径突破、权限维持、横向移动到防御检测、响应处置、溯源反制的全生命周期关键节点,是应对复杂攻防挑战的实用指南。 实战性: 知识库内容源于真实攻防对抗和大型演练实践,通过详尽的攻击复现案例、防御配置实例、自动化脚本代码来传递核心思路与落地方法。 #### 2、 部分核心内容展示 360智榜样学习中心独家《网络攻防知识库》采用由浅入深、攻防结合的讲述方式,既夯实基础技能,更深入高阶对抗技术。  360智榜样学习中心独家《网络攻防知识库》采用**由浅入深、攻防结合**的讲述方式,既夯实基础技能,更深入高阶对抗技术。 内容组织紧密结合攻防场景,辅以大量**真实环境复现案例、自动化工具脚本及配置解析**。通过**策略讲解、原理剖析、实战演示**相结合,是你学习过程中好帮手。 **1、网络安全意识**  **2、Linux操作系统**  **3、WEB架构基础与HTTP协议**  **4、Web渗透测试**  **5、渗透测试案例分享**  **6、渗透测试实战技巧**  **7、攻防对战实战**  **8、CTF之MISC实战讲解**  ## 3、适合学习的人群 **一、基础适配人群** 1. **零基础转型者**:适合计算机零基础但愿意系统学习的人群,资料覆盖从网络协议、操作系统到渗透测试的完整知识链; 2. **开发/运维人员**:具备编程或运维基础者可通过资料快速掌握安全防护与漏洞修复技能,实现职业方向拓展或者转行就业; 3. **应届毕业生**:计算机相关专业学生可通过资料构建完整的网络安全知识体系,缩短企业用人适应期; **二、能力提升适配** 1、**技术爱好者**:适合对攻防技术有强烈兴趣,希望掌握漏洞挖掘、渗透测试等实战技能的学习者; 2、**安全从业者**:帮助初级安全工程师系统化提升Web安全、逆向工程等专项能力; 3、**合规需求者**:包含等保规范、安全策略制定等内容,适合需要应对合规审计的企业人员; 因篇幅有限,仅展示部分资料,完整版的网络安全学习资料已经上传CSDN,朋友们如果需要可以在下方CSDN官方认证二维码免费领取【保证100%免费】 
