中间人攻击总结

中间人攻击(MITM)

1. 原理

APR 欺骗

三种方式

<pre>1. 攻击者仅仅欺骗被攻击主机(单向):
主机C向主机B发送伪造的ARP回应包，声称自己的MAC地址就是网关对应的IP，这样，主机B就会将所有的流量发送主机C(攻击者)，主机C开启ip_forward路由转发功能将数据包进行转发
</pre>

enter description here

<pre>

2. 攻击者仅仅欺骗被攻击主机、同时在本地进行Iptable NAT转发(双向)
   主机C向主机B发送伪造的ARP回应包，声称自己的MAC地址就是网关对应的IP，这样，主机B就会将所有的流量发送主机C(攻击者)，同时，攻击者在本地使用Iptables进行NAT转换，这样就可以
   接收到网关返回的数据包，完成双向流量窃取的目的
   </pre>

   
   enter description here
   

   <pre>

3. 攻击者同时欺骗被攻击主机和网关(双向)
   主机C同时欺骗主机B和网关，实现数据中转，并监听到所有主机B的数据(双向)
   主机C向网关发送ARP回应包，声称自己是主机B，同时向主机B发送ARP回应包，声称自己是网关，这样，网关和主机B两边的流量都会发往主机C，主机C并不需要使用Iptables做特殊的转发，只
   需要打开ip_forward路由开关(即打开转发功能)，是主机C具有数据包转发的功能即可，就可以成功劫持主机B的流量数据</pre>

   
   enter description here

SSL证书伪造

伪造过程

<pre>

1. 攻击者对目标客户端和网关发送ARP投毒攻击，污染它们的ARP缓存表
2. 客户端在浏览器中输入"https://mail.google.com/"的网址，浏览器会尝试和"https://mail.google.com/"的443端口建立SSL连接，但是因为客户端受到了ARP投毒攻击，原本发往
   网关的数据包被发往了攻击者的主机
3. 攻击者在本机使用iptables将接收到的443目的端口的数据包重定向到本机的IP地址
4. 这样，受攻击者客户端的浏览器就只会和攻击者主机进行SSL连接
5. 攻击者在本机使用监听443端口，并且伪造一个假的SSL证书，用于和客户端的连接，同时，提取客户端发送的数据包的原始目的IP地址，用于和客户端原始请求的服务器建立另一个SSL连接
6. 中间人攻击者在双向的SSL Socket通信都建立完成后，对两边的socket进行数据读写同步，将数据通道打通，使客户端的浏览器能够正常访问(受攻击者不会察觉到已经收到SSL中间人攻击)

7. 在数据同步的同时，记录下明文数据，达到SSL中间人攻击的目的
   </pre>

   
   enter description here

SSL卸载

卸载过程

<pre>1. ARP欺骗，使得攻击者能截获所有目标主机的网络流量

2. 攻击者利用用户对于地址栏中HTTPS与HTTP的疏忽，将所有的HTTPS连接都用HTTP来代替
3. 同时，与目标服务器建立正常的HTTPS连接
4. 由于HTTP通信是明文传输，攻击者能轻松实施嗅探
5. 受攻击客户端与原始请求服务器之间的全部通信经过了代理转发。
6. 其中，出现的图标被替换成为用户熟悉的"小黄锁"图标，以建立信任。
7. 这样，中间人攻击就成功骗取了密码、账号等信息，而受害者一无所知</pre>
8. enter description here

原因

<pre>1. 大部分使用SSL的网站并非"全站加密"，仅对部分重要的网页使用SSL，这就给攻击者以可乘之机。可以简单地理解为:
网站在普通页面、非机密页面都是采用HTTP方式访问的，而在进入登录页面的时候才会采用HTTPS加密处理

2. 大多数网站为了保证用户习惯的兼容性，都同时支持HTTP、HTTPS的访问，大多数情况下，这两种访问方式并没有太大的安全问题，但是当用户访问的页面是涉及机密信息的登录页面时，
   服务端往往会采用"重定向"的方式，"强制"用户的浏览器以HTTPS的方式来访问登录页面，为的是保证密钥信息的安全传输</pre>

基于中间人攻击的DNS劫持

<pre>1. 数据包嗅探
1) 明文嗅探
2) 借助中间人代理进行密文嗅探
2. 数据注入
1) CRIME中在数据包中注入javascript代码实现攻击目的
3. 数据流量劫持
1) 使用iptables工具对数据包的IP地址进行强制重定向
4. 数据包篡改
1) DNS劫持中篡改DNS返回数据包的IP地址，达到DNS劫持的目的</pre>

---

title: 中间人攻击arp欺骗
tags: yunpiao,
date: 2017-05-05 15:20:06

---

中间人攻击实例

前提

工具

• tcpdump
• wireshark
• driftnet
• urlsnarf
• arpspoof

环境

• 攻击者　10.108.113.147
• 被攻击者　10.108.112.243
• 网关 10.108.112.1

实战步骤

1. 开启ARP欺骗

arpspoof -i eth0 -t 10.108.112.243 10.108.112.1
欺骗目标主机 当前主机 是网关

arpspoof -i eth0 -t 10.108.112.1 10.108.112.243
欺骗网关 当前主机是112.243
10.108.115.122

2. 使用tcpdump 查看tcp信息

查看80端口

tcpdump -i eno0 dst host 10.108.112.243 and port 80

tcpdump -i enp2s0 '((tcp) and (port 80) and ((host 10.108.113.147)))' -A

查看 被攻击主机的80端口信息

使用 wireshark

ip.host == 10.108.115.122 and tcp.port ==80

使用 driftnet 捕捉图片

driftnet -i etn0