记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

MITM(中间人攻击)原理及防范初探(一)

2013-05-07 18:52
不知道大家是否还记得,去年一个名为TH4CK的组织撸翻了很多大论坛,时候大家纷纷对其技术使用猜想,有说0day的,有说dns劫持的,也有说C段神马的,当然也有arp搞机房的,不管怎样,今儿我们讲的MITM其中一种手法就是arp欺骗(好吧,我承认这一段是我用来凑字数开头的)

额,步骤什么的网上都有,我就用我不太好的描述能力说说原理和防范吧,水平有限,还请大家多多指教

测试环境:

网关:172.16.1.1

测试主机:Ubuntu 12.04 LTS

IP:172.16.1.31

目标主机:Android设备 4.2

IP:172.16.1.11

 

一、利用ettercap进行arp欺骗及劫持明文口令

arp欺骗原理:

首先科普一下,arp欺骗是怎么做到的?

假设在我的网段内

一个Hub接了3台设备

Host0 Host1 Host2 其中

Host0地址为:IP:172.16.1.1 MAC: AA-AA-AA-AA-AA-AA

Host1的地址为:IP:172.16.1.2 MAC: BB-BB-BB-BB-BB-BB

Host2的地址为:IP:172.16.1.3 MAC: CC-CC-CC-CC-CC-CC

在正常情况下,Host2的arp信息如下:

Interface: 172.16.1.1 on Interface 0×1000003

Internet Address Physical Address Type

172.16.1.3 CC-CC-CC-CC-CC-CC dynamic

现在扯淡的Host1进行arp欺骗

Host1向Host0发送一个自己伪造的ARP应答,而这个应答中的数据为发送方IP地址是172.16.1.3(Host2的IP地址),MAC地址是SB-SB-SB-SB-SB-SB(Host2的MAC地址本来应该是CC-CC-CC-CC-CC-CC,这里被伪造了)。当Host0接收到Host1伪造的ARP应答,就会更新本地的 ARP缓存(Host0不明真相,不知道被伪造)。而且Host0不知道其实是从Host1发送过来的,Host0这里只有172.16.1.3(Host2的IP地址)和无效的SB-SB-SB-SB-SB-SB mac地址

毒化后,arp如下:

Interface: 172.16.1.1 on Interface 0×1000003

Internet Address Physical Address Type

172.16.1.3 SB-SB-SB-SB-SB-SB dynamic

这不是小事,这个假的mac提交到Host0后根本就ping不通Host2,当局域网内,一台机子反复的向一个地方发无效的arp应答包,如果这个机器是网关,那会怎样?网络堵塞,还不指,如果我们欺骗的是目标主机我这台机子是网关,那么目标主机每每通过网关的包都会发到我这里,嗯,邪恶的事情你就可以做了~

下面是我差不多演示一下~

打开ettercap

1

打开图形界面后选sniff,选择你的网卡状态

2

在host选项卡中选scan,扫描后选host list列出主机,选择你的目标主机(也就是前面说的Host2)

3

然后添加到target 1

然后选择网关,添加到target2

这里就是说,我和目标主机说,我是网关

4

然后在MITM选项卡中选择arp poisoning然后选sniff

5

之后你就可以查看一下目标主机的arp(我这里手机不方便截图。。。)

刚刚我们说了,还要做明文的劫听~

选start选项卡中的start sniffing

6

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

额,今天去上教授的网络安全课了,没时间把后面的写完,咱等等明后天抽时间写写吧~

文笔差,纯属科普,原理可能讲述的不好,我之后的文章会尽力写清爽

知识来源: www.2cto.com/Article/201305/208748.html

阅读:68880 | 评论:0 | 标签:无

想收藏或者和大家分享这篇好文章→复制链接地址

“MITM(中间人攻击)原理及防范初探(一)”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云