中间人攻击总结
中间人攻击(MITM)
1. 原理
APR 欺骗
三种方式
<pre>1. 攻击者仅仅欺骗被攻击主机(单向):
主机C向主机B发送伪造的ARP回应包,声称自己的MAC地址就是网关对应的IP,这样,主机B就会将所有的流量发送主机C(攻击者),主机C开启ip_forward路由转发功能将数据包进行转发
</pre>
<pre>
-
攻击者仅仅欺骗被攻击主机、同时在本地进行Iptable NAT转发(双向)
主机C向主机B发送伪造的ARP回应包,声称自己的MAC地址就是网关对应的IP,这样,主机B就会将所有的流量发送主机C(攻击者),同时,攻击者在本地使用Iptables进行NAT转换,这样就可以
接收到网关返回的数据包,完成双向流量窃取的目的
</pre>
<pre>
-
攻击者同时欺骗被攻击主机和网关(双向)
主机C同时欺骗主机B和网关,实现数据中转,并监听到所有主机B的数据(双向)
主机C向网关发送ARP回应包,声称自己是主机B,同时向主机B发送ARP回应包,声称自己是网关,这样,网关和主机B两边的流量都会发往主机C,主机C并不需要使用Iptables做特殊的转发,只
需要打开ip_forward路由开关(即打开转发功能),是主机C具有数据包转发的功能即可,就可以成功劫持主机B的流量数据</pre>
SSL证书伪造
伪造过程
<pre>
- 攻击者对目标客户端和网关发送ARP投毒攻击,污染它们的ARP缓存表
- 客户端在浏览器中输入"https://mail.google.com/"的网址,浏览器会尝试和"https://mail.google.com/"的443端口建立SSL连接,但是因为客户端受到了ARP投毒攻击,原本发往
网关的数据包被发往了攻击者的主机 - 攻击者在本机使用iptables将接收到的443目的端口的数据包重定向到本机的IP地址
- 这样,受攻击者客户端的浏览器就只会和攻击者主机进行SSL连接
- 攻击者在本机使用监听443端口,并且伪造一个假的SSL证书,用于和客户端的连接,同时,提取客户端发送的数据包的原始目的IP地址,用于和客户端原始请求的服务器建立另一个SSL连接
- 中间人攻击者在双向的SSL Socket通信都建立完成后,对两边的socket进行数据读写同步,将数据通道打通,使客户端的浏览器能够正常访问(受攻击者不会察觉到已经收到SSL中间人攻击)
-
在数据同步的同时,记录下明文数据,达到SSL中间人攻击的目的
</pre>
SSL卸载
卸载过程
<pre>1. ARP欺骗,使得攻击者能截获所有目标主机的网络流量
- 攻击者利用用户对于地址栏中HTTPS与HTTP的疏忽,将所有的HTTPS连接都用HTTP来代替
- 同时,与目标服务器建立正常的HTTPS连接
- 由于HTTP通信是明文传输,攻击者能轻松实施嗅探
- 受攻击客户端与原始请求服务器之间的全部通信经过了代理转发。
- 其中,出现的图标被替换成为用户熟悉的"小黄锁"图标,以建立信任。
- 这样,中间人攻击就成功骗取了密码、账号等信息,而受害者一无所知</pre>
原因
<pre>1. 大部分使用SSL的网站并非"全站加密",仅对部分重要的网页使用SSL,这就给攻击者以可乘之机。可以简单地理解为:
网站在普通页面、非机密页面都是采用HTTP方式访问的,而在进入登录页面的时候才会采用HTTPS加密处理
- 大多数网站为了保证用户习惯的兼容性,都同时支持HTTP、HTTPS的访问,大多数情况下,这两种访问方式并没有太大的安全问题,但是当用户访问的页面是涉及机密信息的登录页面时,
服务端往往会采用"重定向"的方式,"强制"用户的浏览器以HTTPS的方式来访问登录页面,为的是保证密钥信息的安全传输</pre>
基于中间人攻击的DNS劫持
<pre>1. 数据包嗅探
1) 明文嗅探
2) 借助中间人代理进行密文嗅探
2. 数据注入
1) CRIME中在数据包中注入javascript代码实现攻击目的
3. 数据流量劫持
1) 使用iptables工具对数据包的IP地址进行强制重定向
4. 数据包篡改
1) DNS劫持中篡改DNS返回数据包的IP地址,达到DNS劫持的目的</pre>
title: 中间人攻击arp欺骗
tags: yunpiao,
date: 2017-05-05 15:20:06
中间人攻击实例
前提
工具
- tcpdump
- wireshark
- driftnet
- urlsnarf
- arpspoof
环境
- 攻击者 10.108.113.147
- 被攻击者 10.108.112.243
- 网关 10.108.112.1
实战步骤
1. 开启ARP欺骗
arpspoof -i eth0 -t 10.108.112.243 10.108.112.1
欺骗目标主机 当前主机 是网关
arpspoof -i eth0 -t 10.108.112.1 10.108.112.243
欺骗网关 当前主机是112.243
10.108.115.122
2. 使用tcpdump 查看tcp信息
查看80端口
tcpdump -i eno0 dst host 10.108.112.243 and port 80
tcpdump -i enp2s0 '((tcp) and (port 80) and ((host 10.108.113.147)))' -A
查看 被攻击主机的80端口信息
使用 wireshark
ip.host == 10.108.115.122 and tcp.port ==80
使用 driftnet 捕捉图片
driftnet -i etn0