📜  使用ARP中毒的MITM(中间人)攻击

📅  最后修改于: 2021-08-24 05:04:21             🧑  作者: Mango

介绍 :
中间人袭击是一种主动攻击,其中,攻击者/黑客在受害者之间建立连接并在受害者之间发送消息,或者可能捕获受害者的所有数据包。在这种情况下,受害者认为他们正在相互通信,但实际上,恶意攻击者/黑客控制了通信,即存在第三者来控制和监视双方(即客户端和服务器)之间的通信流量。

中间进攻中的男子类型:
在这里,我们将讨论“中级攻击者”的类型,如下所示。

  1. ARP欺骗–
    ARP协议 代表地址解析协议。此协议用于将IP地址解析为机器MAC地址。想要在网络中进行通信的所有设备都在系统中广播ARP查询以找出其他计算机的MAC地址。 ARP欺骗也称为ARP毒害。在这种情况下,ARP中毒会迫使ARP数据包将数据发送到攻击者的计算机。 ARP欺骗会构造大量的强制ARP请求,并答复数据包以使交换机超载。攻击者的意图是将所有网络数据包和交换机设置为转发模式。
  2. DNS欺骗
    与ARP类似,DNS将域名解析为IP地址。 DNS欺骗非常危险,因为在这种情况下,黑客将能够劫持和欺骗用户提出的任何DNS请求,并可以为用户提供虚假网页,虚假网站,虚假登录页面,虚假更新等。

中间人进攻技术:
在这里,我们将讨论以下“中间人”攻击技术。

  • 数据包嗅探
  • 会话劫持
  • SSL剥离
  • 数据包注入

使用ARP欺骗的中级攻击者:
在这里,我们将讨论使用ARP欺骗进行中间攻击的人的步骤,如下所示。

步骤1:
ARP欺骗-它允许我们重定向计算机网络中的数据包流。典型网络的示例如下。

典型的计算机网络

第2步 :
但是,当黑客通过ARP欺骗成为中间人时,所有请求和响应就会开始流经黑客的系统,如下所示–

ARP欺骗后的计算机网络

第三步:
通过这样做,黑客通过假装成为路由器来欺骗路由器,并且类似地,他通过假装成为路由器来欺骗受害者。

如何进行ARP欺骗攻击:
我们可以使用Kali Linux中称为ARPSPOOF的内置工具进行ARP欺骗攻击,也可以使用Python程序创建ARP欺骗攻击。

执行步骤:
在这里,我们将讨论以下执行步骤。

步骤1:
我们可以在Kali Linux中运行内置的“ ARPSPOOF”工具。如果没有ARPSPOOF工具,请通过如下运行以下命令来安装该工具。

apt install dsniff

第2步 :
要进行此攻击,我们需要两件事 受害者机器的IP地址和网关的IP。在此示例中,我们使用Windows计算机作为受害者,并使用Kali Machine进行攻击。通过在Windows计算机和Linux计算机上运行以下命令来了解受害计算机的IP地址和网关IP,如下所示。

arp -a

输出 :
这将向我们显示以下输出,如下所示。
受害者机器(Windows机器)–

窗户机

攻击者机器(Kali Linux)–
从中我们可以看到Windows机器的IP地址是10.0.2.8,网关的IP和MAC地址是10.0.2.1和52:54:00:12:35:00,也是我们计算机的MAC地址。 Kali Machine是08:00:27:a6:1f:86。

第三步:
现在,编写以下命令来执行ARP Spoof攻击。

arpspoof -i eth0 -t 10.0.2.8 10.0.2.1

这里eth0是接口的名称,10.0.2.8是Windows计算机的IP,而10.0.2.1是网关的IP。这将通过装扮成路由器来欺骗受害者。因此,我们将再次通过如下切换其IP地址来再次运行上述命令。

arpspoof -i eth0 -t 10.0.2.1 10.0.2.8

输出 :
攻击者机器(Kali Linux)–
这表明我们的ARP欺骗攻击正在运行,并且我们已经成功地将系统放置在客户端和服务器中间。

ARP欺骗攻击正在运行

我们还可以通过运行以下命令来检查它。

arp -a 

输出 :
在输出屏幕中,您可以看到网关的MAC地址已更改为Kali Machine的MAC地址。现在,所有数据包都将流经我们的Kali机器。此外,您还可以看到受害机器的Internet连接无法正常工作,因为这是Linux的安全功能,该功能不允许数据包通过它流动。因此,我们需要启用端口转发,以便此计算机将允许数据包像路由器一样流经它。

第四步 :
要使端口转发能够按以下方式运行命令。

echo 1 > /proc/sys/net/ipv4/ip_forward 

输出 :
此命令将再次建立受害计算机的Internet连接。这样,通过使用ARP欺骗攻击,我们可以成为中间人。因此,来自受害者计算机的所有请求都不会直接进入路由器,它将流经攻击者的计算机,并且攻击者可以使用各种工具(例如Wire Shark等)来嗅探或提取有用的信息,如下所示。

Wire Shark –用于嗅探数据包中的有用信息。