部分中间人攻击手法简介

中间人攻击简介

中间人攻击（Man-in-the-Middle Attack，简称MITM攻击）是一种网络安全攻击，攻击者通过在通信的两端之间插入恶意节点，从而达到监视、篡改或劫持通信流量的效果

中间人攻击常见的手法包括:

1. ARP 欺骗(ARP Spoofing):攻击者发送 ARP 欺骗包,让受害者误认为攻击者的 MAC 地址是目的 IP 对应的 MAC 地址,从而将流量导向攻击者。
2. DNS 欺骗(DNS Spoofing):攻击者篡改 DNS 服务器的记录,使受害者访问网站时被重定向到攻击者控制的网站。
3. SSL 压制(SSL Stripping):攻击者压制受害者和服务器之间的 SSL/TLS 加密连接,使用明文传输窃取信息。
4. WiFi 伪装(Evil Twin):攻击者设置一个与正规 WiFi 相似的假冒网络,诱使用户连接,获取网络流量。
5. 会话劫持(Session Hijacking):攻击者通过获取会话标识符,接管受害者与服务器之间的会话。

ARP欺骗

简介

ARP欺骗是中间人攻击方式中的一项经典攻击手法，该攻击方式可以令受害者错认为攻击者的MAC是网关MAC，从而将全部流量转发至攻击者主机。由于ARP协议的限制，该手段通常用于内网机器通讯时的地址转换。

原理:

• 地址解析协议，即ARP（Address ResolutionProtocol），是根据IP地址获取物理地址的一个TCP/IP协议。主机发送信息时将包含目标IP地址的ARP请求广播到局域网络上的所有主机，并接收返回消息，以此确定目标的物理地址；收到返回消息后将该IP地址和物理地址存入本机ARP缓存中并保留一定时间，下次请求时直接查询ARP缓存以节约资源。通俗的说，DNS是域名与IP对应的协议，而arp是IP与mac(物理地址)对应的协议，DNS常用于主机与外网机器连接时进行地址转换，而arp多用于内网机器通信时地址的转换

手法:

• 攻击者使用 ARP 欺骗工具发送 ARP 响应报文,声称自己的 MAC 地址是受害者要找的 IP 的 MAC。
• 受害者接收到响应后会更新自己的 ARP 缓存,之后发往该 IP 的流量就会发往攻击者。

效果:

• 攻击者可以窃听通信内容,劫持会话,进行网站钓鱼等攻击。
• 攻击者可以成为“中间人”,控制受害者和服务器之间的通信。
• 如果攻击者同时欺骗受害者和服务器,可以修改传输的数据包内容。
• 攻击者可以选择只劫持部分特定的流量,使攻击难以被察觉。

网络拓扑

网络拓扑如图：

受害者：192.168.243.128 （00-0C-29-12-DC-7A）

攻击者：192.168.243.129 （00:0c:29:f7:fb:a8）

提前开启抓包工具对虚拟网卡进行抓包

arp欺骗方法

使用kali，工具命令如下：

arpspoof -i <网卡接口> -t <目标的内网地址> <网关ip>

执行命令后，可以在抓包软件中看出，攻击者发出了大量的 arp response 包，声明自己为网关地址（243.2）

此时我们再去攻击者设备上查看arp表，发现网关地址的mac已经被污染为攻击者的mac