當(dāng)前位置：首頁 > 编程资源 > 编程问答 >内容正文

编程问答

中间人攻击的实践与原理（ARP毒化、DNS欺骗）

發(fā)布時間：2024/8/1 编程问答 60 豆豆

生活随笔收集整理的這篇文章主要介紹了中间人攻击的实践与原理（ARP毒化、DNS欺骗）小編覺得挺不錯的,現(xiàn)在分享給大家,幫大家做個參考.

一、共享網(wǎng)絡(luò)與交換網(wǎng)絡(luò)的區(qū)別

1、共享網(wǎng)絡(luò)

在共享網(wǎng)絡(luò)中，由于HUB屬于一層設(shè)備，對于到達(dá)本身的數(shù)據(jù)報文，HUB會對報文進(jìn)行廣播(除了收到報文的那個接口)，因此接在同HUB的所有PC都能收到該報文。前提PC開啟了混雜模式

注：

通常情況下，網(wǎng)卡都是工作在非混雜模式，也就是說即使收到數(shù)據(jù)報文，網(wǎng)卡會判斷目的MAC是否和自己的一樣，不一樣的話代表數(shù)據(jù)包不是給自己的，因此會丟棄，只接收那些目的MAC和自己一樣的數(shù)據(jù)報文。在嗅探時必須開啟混雜模式，在該模式下，網(wǎng)卡不對數(shù)據(jù)報文進(jìn)行判斷，一鍋端！

2、交換網(wǎng)絡(luò)

交換網(wǎng)絡(luò)中交換機(jī)會根據(jù)MAC-端口對應(yīng)表進(jìn)行傳輸，也就是說除了網(wǎng)關(guān)，其他同交換機(jī)下的PC機(jī)無法收到數(shù)據(jù)報文(沒出現(xiàn)攻擊的情況下)。

二、ARP欺騙

1、ARP

ARP（地址解析協(xié)議）是在僅知道主機(jī)的IP地址時確定其物理地址的一種協(xié)議，其主要用作將IP地址翻譯為以太網(wǎng)的MAC地址，但其也能在ATM和FDDI IP網(wǎng)絡(luò)中使用。

2、ARP通訊過程

由于局域網(wǎng)的網(wǎng)絡(luò)流通不是根據(jù)IP地址進(jìn)行，而是按照MAC地址進(jìn)行傳輸、計(jì)算機(jī)是根據(jù)mac來識別一臺機(jī)器。每臺主機(jī)都會存在一個ARP高速緩存表，里面記錄了局域網(wǎng)內(nèi)所有主機(jī)的Mac地址，當(dāng)它需要與另一個主機(jī)通信時會先查詢本地ARP表，通過對方Mac地址來封裝數(shù)據(jù)包，如果本地ARP表中沒有對應(yīng)的Mac地址，它會向局域網(wǎng)發(fā)出廣播“我的ip是…我的Mac地址是…請問ip為…的Mac地址”，當(dāng)對應(yīng)主機(jī)收到廣播核對ip然后通過單點(diǎn)傳輸?shù)姆绞礁嬖V它自己的Mac地址，然后雙方ARP表中就多了彼此的Mac地址。

3、ARP欺騙

1、單項(xiàng)欺騙

A、B、C三個人，A與C正常通信，B想知道A給C發(fā)的內(nèi)容，就偽造ARP響應(yīng)包，更改A的ARP表，所以A發(fā)送給C的信息會先傳送到B，B可以丟棄數(shù)據(jù)包，這樣C就收不到A發(fā)的數(shù)據(jù)了，但是C還是可以正常給A發(fā)送數(shù)據(jù)的，這就是單項(xiàng)欺騙

2.雙向欺騙

同樣是A、B、C三個人，B同時給A、C發(fā)送響應(yīng)包B告訴A它的ip是C的ip，Mac地址還是B的，告訴C它的ip是自己的，Mac地址是A的，這樣A、C的通信就都會經(jīng)過B，這就叫雙向欺騙

3.區(qū)別

<code>單向欺騙:是指欺騙網(wǎng)關(guān) 雙向欺騙:是欺騙網(wǎng)關(guān)跟被攻擊的兩個機(jī)器</code>

4.檢測被欺騙的主機(jī)

可以利用ARPkiller的”Sniffer殺手”掃描整個局域網(wǎng)IP段，然后查找處在”混雜”模式下的計(jì)算機(jī)，就可以發(fā)現(xiàn)對方了.（綠帽子圖標(biāo)是正常模式，紅帽子是混雜模式用戶）
使用tracert命令在任意一臺受影響的主機(jī)上，在DOS命令窗口下運(yùn)行如下命令：tracert 外網(wǎng)ip。?
原理：?
中毒主機(jī)在受影響主機(jī)和網(wǎng)關(guān)之間，扮演了“中間人”的角色。所有本應(yīng)該到達(dá)網(wǎng)關(guān)的數(shù)據(jù)包，由于錯誤的MAC地址，均被發(fā)到了中毒主機(jī)。此時，中毒主機(jī)越俎代庖，起了缺省網(wǎng)關(guān)的作用。?
通俗講tracert命令是看ping這個外網(wǎng)時進(jìn)過了哪些ip，如果主機(jī)被ARP欺騙，使用這個命令就會暴露攻擊者ip，因?yàn)槲覀冊L問外網(wǎng)時攻擊者電腦成了中間人所以下一跳就是它的ip

5.防御

<code>雙綁定，本地跟路由都做了綁定(注:mac地址綁定) 采用ARP防火墻</code>

6.ARP病毒攻擊癥狀

<code>打開網(wǎng)頁速度非常慢，甚至打不開提示IP地址沖突甚至導(dǎo)致校園網(wǎng)癱瘓斷網(wǎng) 一般會綁定木馬病毒，竊取用戶賬號密碼</code>

7.ARP攻擊實(shí)例

win下使用cain：

選擇嗅探器

點(diǎn)擊左上角開始/停止嗅探的圖標(biāo)?

點(diǎn)擊空白處，右鍵選擇掃描mac；會出現(xiàn)下圖?
?
選擇第一個子網(wǎng)中全部主機(jī)；ok

選擇下方的ARP?
?
點(diǎn)擊左上角的加號?
?
左邊選擇攻擊目標(biāo)的ip；右邊選網(wǎng)關(guān)；然后開始欺騙?
?
如果對方開始登陸某網(wǎng)站，可以通過下方的passWord可以看到明文密碼?
?
cain還有其他的功能在左邊；具體使用，見后面的博客cain的具體使用

Linux下實(shí)現(xiàn)斷網(wǎng)攻擊、流量劫持、抓取https的賬號密碼：

1.nmap掃描存活主機(jī)?
nmap -sP 掃描ip（可以是網(wǎng)段；如下圖）?
?
-sP：選項(xiàng)告訴Nmap僅僅進(jìn)行ping掃描。?
2.斷網(wǎng)攻擊

<code>arpspoof -i 網(wǎng)卡 -t 目標(biāo)IP 網(wǎng)關(guān)//默認(rèn)是不轉(zhuǎn)發(fā)的，也就是說執(zhí)行這條命令，目標(biāo)機(jī)就無法聯(lián)網(wǎng)了</code>

3.流量劫持

<code>echo 1 >/proc/sys/net/ipv4/ip_forward 如：arpspoof -i eth0 -t 192.168.100.15 192.168.1.1 將1寫入這個文件就可以流量劫持了，同時目標(biāo)機(jī)就能聯(lián)網(wǎng)了，默認(rèn)為0，要是還要執(zhí)行斷網(wǎng)操作，還可以將其改為0 即：echo 1 >/proc/sys/net/ipv4/ip_forward</code>

4.抓取http、https的賬號密碼?
http：

<code>echo 1 >/proc/sys/net/ipv4/ip_forward arpspoof -i eth0 -t 目標(biāo)ip 網(wǎng)關(guān) ettercap -Tq -i eth0 //-T文本模式啟動 -q安靜模式</code>

https:

<code>先編輯下/etc/ettercap/etter.conf 找到： # if you use iptables:#redir_command_on = "iptables -t nat -A PREROUTING -i %iface -p tcp --dport %port -j REDIRECT --to-port %rport"#redir_command_off = "iptables -t nat -D PREROUTING -i %iface -p tcp --dport %port -j REDIRECT --to-port %rport" 將后面兩行的#去掉 然后運(yùn)行sslstrip -a -f -k 實(shí)現(xiàn)https轉(zhuǎn)換成http以獲取帳號密碼 echo 1 > /proc/sys/net/ipv4/ip_forward arpspoof -i eth0 -t 目標(biāo)ip ettercap -Tq -i eth0 //-T文本模式啟動 -q安靜模式</code>

8. ARP欺騙與嗅探的區(qū)別

嗅探一般存在于共享網(wǎng)絡(luò)中，在共享網(wǎng)絡(luò)中一般使用HUB作為接入層，經(jīng)過HUB的數(shù)據(jù)報文不管長得什么樣，因?yàn)镠UB工作在第一層，看不懂二層以上的報文是啥樣子的，所以一律以廣播處理，在同一網(wǎng)段的計(jì)算機(jī)只要將網(wǎng)卡設(shè)置成混雜模式即可。

嗅探在交換網(wǎng)絡(luò)中不適用，因?yàn)榻粨Q機(jī)是通過MAC-端口對應(yīng)表來轉(zhuǎn)發(fā)數(shù)據(jù)報文的，所以在交換網(wǎng)絡(luò)中如果只將網(wǎng)卡設(shè)置成混雜模式，而不進(jìn)行ARP欺騙，其結(jié)果只能接受到網(wǎng)絡(luò)中的廣播包。

共享網(wǎng)絡(luò)中適用ARP欺騙，那是多此一舉，適用ARP欺騙的方式會對影響網(wǎng)絡(luò)流量，對網(wǎng)絡(luò)造成很大的影響，另外適用ARP欺騙會產(chǎn)生大量的ARP報文，很容易被發(fā)現(xiàn)。而嗅探對整個網(wǎng)絡(luò)幾乎沒有影響，因?yàn)樾崽街皇亲霰O(jiān)聽，而不會產(chǎn)生多余的數(shù)據(jù)報文。

三、DNS欺騙

1、DNS

DNS即Domain Name System 的縮寫，域名系統(tǒng)以分布式數(shù)據(jù)庫的形式將域名和IP地址相互映射。DNS協(xié)議即域名解析協(xié)議，簡單的說：DNS是用來將域名解析成對應(yīng)ip地址的協(xié)議。

2、工作原理

訪問 www.baidu.com ，首先要向本地DNS服務(wù)器發(fā)出DNS請求，查詢 www.baidu.com 的IP地址，如果本地DNS服務(wù)器沒有在自己的DNS緩存表中發(fā)現(xiàn)該網(wǎng)址的記錄，就會向根服務(wù)器發(fā)起查詢，根服務(wù)器收到請求后，將com域服務(wù)器的地址返回給本地DNS服務(wù)器，本地DNS服務(wù)器則繼續(xù)向com域發(fā)出查詢請求，域服務(wù)器將 baidu.com 授權(quán)域名服務(wù)器的地址返回給本地DNS服務(wù)器，本地DNS服務(wù)器繼續(xù)向 baidu.com 發(fā)起查詢，得到 www.baidu.com 的IP地址。

本地DNS服務(wù)器得到 www.baidu.com 對應(yīng)的IP地址后以dns應(yīng)答包的方式傳遞給用戶，并且在本地建立DNS緩存表。

Windows下查看和刷清空DNS緩存表的命令

<code> ipconfig /displaydns ipconfig /flushdns</code>

3、DNS欺騙

首先欺騙者向目標(biāo)機(jī)器發(fā)送構(gòu)造好的ARP應(yīng)答數(shù)據(jù)包，ARP欺騙成功后，嗅探到對方發(fā)出的DNS請求數(shù)據(jù)包，分析數(shù)據(jù)包取得ID和端口號后，向目標(biāo)發(fā)送自己構(gòu)造好的一個DNS返回包，對方收到DNS應(yīng)答包后，發(fā)現(xiàn)ID和端口號全部正確，即把返回?cái)?shù)據(jù)包中的域名和對應(yīng)的IP地址保存進(jìn)DNS緩存表中，而后來的當(dāng)真實(shí)的DNS應(yīng)答包返回時則被丟棄。

4、DNS欺騙實(shí)例

使用工具是Linux下的ettercap：

1、配置etterca的配置文件

?
上面兩個192.168.1.181是攻擊者的ip

2、開啟Apache，并在根目錄下創(chuàng)建一個html文件給被害者看

3、打開ettercap圖形化界面

<code>ettercap -G</code>

?
1. 點(diǎn)擊sniff下的unified sniffing?
?
2. 選擇網(wǎng)卡?
?
3. 選擇host下的掃描主機(jī)?
?
4. 查看掃描結(jié)果?
?
5. 將目標(biāo)ip發(fā)送到target1；網(wǎng)關(guān)發(fā)送到target2?
?
6. 點(diǎn)擊mitm下的ARP欺騙?
?
7. 選擇第一個?
?
8. 點(diǎn)擊plugins下的mangge the plugins?
?
9. 雙擊dns_spoof然后開始欺騙?
?
OK

4、防護(hù)

1.因?yàn)镈NS欺騙前提也需要ARP欺騙成功。所以首先做好對ARP欺騙攻擊的防范?
2.不要依賴于DNS，盡管這樣會很不方便，可以使用hosts文件來實(shí)現(xiàn)相同的功能；

<code>Hosts文件位置： windows xp/2003/vista/2008/7系統(tǒng)的HOSTS文件位置 c:\windows\system32\drivers\etc 用記事本打開即可進(jìn)行修改。</code>

3.使用安全檢測軟件定期檢查系統(tǒng)是否遭受攻擊?
4.使用DNSSEC：DNS安全擴(kuò)展，是由IETF提供的一系列DNS安全認(rèn)證的機(jī)制（可參考RFC2535）。它提供了一種來源鑒定和數(shù)據(jù)完整性的擴(kuò)展，但不去保障可用性、加密性和證實(shí)域名不存在。開發(fā) DNSSEC 技術(shù)的目的之一是通過對數(shù)據(jù)進(jìn)行數(shù)字“簽名”來抵御此類攻擊

總結(jié)

以上是生活随笔為你收集整理的中间人攻击的实践与原理（ARP毒化、DNS欺骗）的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。

上一篇： x265的sao优化思考
下一篇：联想微型计算机4250怎么拆机,联想T4