文章目录前言一、无线ARP欺骗与消息监听重现分析1.断网攻击实施步骤1.1 Win10信息查询1.2 kali信息查询1.3 主机扫描1.4 arpspoof欺骗☀️1.4.1 更换更新源为阿里云原有的更新源加#号注释☀️1.4.2 更新源☀️1.4.3 安装dsniff☀️1.4.4 断网攻击2.内网截获图片2.1 开启IP转发功能2.2 driftnet获取图片3.HTTP账户密码获取4.HTTPS账户密码获取4.1 修改 ettercap 的配置文件4.2 sslstrip4.3 ettercap5.无线 ARP 欺骗与消息监听重现分析5.1 使用ettercap 工具进行 ARP欺骗(无须开启监听模式)5.2 浏览网页前言无线ARP欺骗Wireless ARP Spoofing是一种网络攻击方式它利用ARP地址解析协议中的漏洞欺骗通信双方使其将通信数据发送给攻击者从而实现中间人攻击。消息监听Message Eavesdropping则是指攻击者截获并监听通信双方之间的通信数据。以下是无线ARP欺骗与消息监听的重现分析过程攻击者在同一局域网中启动无线ARP欺骗工具如Ettercap、ARPwner等。攻击者扫描附近的无线网络获取目标网络的SSID无线网络名称和MAC地址。攻击者伪造一个与目标无线路由器相同的MAC地址并将其发送给目标设备欺骗目标设备将通信数据发送给攻击者。目标设备在发送数据时会通过ARP请求获取目标设备的MAC地址攻击者会回复该ARP请求将自己的MAC地址发送给目标设备。目标设备将通信数据发送给攻击者攻击者可以对数据进行监听、篡改或截获等操作。攻击者可以通过数据包分析工具如Wireshark对通信数据进行分析获取目标设备之间的通信内容。无线ARP欺骗和消息监听可以用于多种攻击场景如窃取敏感信息、篡改通信数据、劫持网页等。网络用户应采取一些安全措施以防止此类攻击如使用加密的无线网络、启用防火墙、定期更新操作系统和应用程序等。网络管理员也应实施网络监控和入侵检测系统及时发现和应对此类攻击行为。一、无线ARP欺骗与消息监听重现分析1.断网攻击实施步骤1.1 Win10信息查询在Win10中在命令提示符中输入命令“ipconfig /all”查看自身的MAC地址和网关IP地址1.2 kali信息查询在kali终端中输入命令“ifconfig”查看kali的IP地址与MAC地址如图所示1.3 主机扫描方法1执行ping扫描最简单的方法是使用工具fpingfping使用ICMP ECHO一次请求多个主机对当前局域网还存在那些主机进行快速扫描以确定要攻击的主机的ip地址。fping -a -g 192.168.182.0/24 result使用fping工具扫描了192.168.182.0/24网段内的所有主机并将扫描结果输出到result文件中。其中-a参数表示只输出活动的主机-g参数表示扫描整个网段。方法2执行nmap -sP 192.168.182.0/24扫描网络中活跃的主机。推荐使用-sP 选项表示只利用ping扫描进行主机发现不进行端口扫描-sS 进行TCP的半开放扫描如果禁ping的时候可以使用这个参数注用nmap进行主机扫描速度快而且能穿透防火墙是比较可靠的扫描工具。1.4 arpspoof欺骗arpspoof是一个在Linux系统中使用的命令行工具它用于进行ARP欺骗攻击。ARPAddress Resolution Protocol是一种用于将IP地址映射到MAC地址的协议而ARP欺骗则是指攻击者伪造ARP响应来欺骗通信双方从而中断、截获或篡改网络通信。arpspoof工具可以欺骗目标设备使其认为攻击者的MAC地址是与目标设备通信的网关的MAC地址同时欺骗网关使其认为攻击者的MAC地址是与目标设备通信的MAC地址。这样攻击者就可以拦截目标设备和网关之间的通信并截获或篡改数据。使用arpspoof工具需要在Linux系统中安装dsniff软件包然后通过以下命令进行ARP欺骗攻击arpspoof -i interface -t target gateway其中interface是网卡接口如eth0或wlan0target是目标设备的IP地址gateway是网关的IP地址。☀️1.4.1 更换更新源为阿里云原有的更新源加#号注释使用命令打开对应更新源文件vim /etc/apt/sources.list添加下面源地址#阿里云Kali镜像源deb http://mirrors.aliyun.com/kali kali-rolling main non-free contrib deb-src http://mirrors.aliyun.com/kali kali-rolling main non-free contrib#中科大Kali镜像源deb http://mirrors.ustc.edu.cn/kali kali-rolling main non-free contrib deb-src http://mirrors.ustc.edu.cn/kali kali-rolling main non-free contrib#清华大学Kali镜像源deb http://mirrors.tuna.tsinghua.edu.cn/kali kali-rolling main contrib non-free deb-src https://mirrors.tuna.tsinghua.edu.cn/kali kali-rolling main contrib non-free#kali源deb http://http.kali.org/kali kali-rolling main contrib non-free deb-src http://http.kali.org/kali kali-rolling main contrib non-freedeb☀️1.4.2 更新源apt-get update☀️1.4.3 安装dsniffapt-get install dsniff命令格式arpspoof -h #查看arpspoof版本信息-i 后面的参数是网卡名称-t 后面的参数是目的主机和网关截获目的主机发往网关的数据包☀️1.4.4 断网攻击arpspoof -i eth0 -t 192.168.182.137 192.168.182.2arp -a 查看靶机网关mac地址的变化2.内网截获图片2.1 开启IP转发功能输入如下命令开启本机的IP转发功能echo 1 /proc/sys/net/ipv4/ip_forward使用这种方式进行的赋值只是暂时的重启过后将无效如果想让其永久生效需要修改配置文件输入vim /etc/sysctl.conf使用vim编辑器打开该文件找到#net.ipv4.ip_forward1这项去掉“#”号或者在其下方输入net.ipv4.ip_forward1即就是让net.ipv4.ip_forward1生效保存退出即能永久生效。在ARP欺骗前ping baidu.com -t检查是否能够上网目标ipwin10192.168.182.137正常上网2.2 driftnet获取图片Driftnet是一种网络工具它被设计成可以在网络上捕获和查看图像的通信内容。这个工具通常用于监视和截取其他人的网络流量特别是用于捕获Web浏览器中浏览的图像。Driftnet可以在类似Wi-Fi网络上使用可以捕获通过网络传输的图像文件并将其显示在用户的屏幕上。driftnet -i eth03.HTTP账户密码获取ettercap -Tq -i eth0-T 文本模式输出不使用图形用户界面 -q 静默模式-i 指定要监听的网络接在win10访问登录网址输入用户名及密码网址http://a.aixjt.com/AdminPublic.html返回kali攻击机查看记录4.HTTPS账户密码获取4.1 修改 ettercap 的配置文件输入命令打开文本修改 ettercap 的配置文件vim /etc/ettercap/etter.conf //或 mousepad /etc/ettercap/etter.conf将 ec_uid 和 ec gid 修改如下配置为 0代表使用root用户运行[privs] ec uid 0 ec_gid 0找到下红框的内容输入字母i进入编辑模式把#注释符去掉按键盘右上角ESC键退出编辑模式进入命令行模式同时按住shift键与冒号键然后输入wq进行保存并退出。保存后退出。4.2 sslstripSSLStrip是一个网络攻击工具旨在绕过安全传输层SSLSecure Sockets Layer保护的网站。它的原理是将HTTPS安全HTTP连接转换为普通的HTTP连接从而使攻击者能够以明文形式查看和捕获用户的敏感信息如用户名、密码和其他机密数据。SSLStrip的工作原理如下当用户尝试与一个使用HTTPS连接的网站建立通信时攻击者将HTTP请求重定向到一个使用普通HTTP连接的伪造网站。攻击者通过在伪造网站上提供伪造的SSL证书使用户的浏览器认为它正在与目标网站建立安全的HTTPS连接。用户的浏览器会继续使用HTTP连接与伪造网站进行通信而不是真正的HTTPS连接。所有传输的数据都以明文形式在用户和伪造网站之间传输使攻击者可以获取用户的敏感信息。SSLStrip仅适用于那些没有全面实施HTTPS的网站。为了保护自己免受这种类型的攻击用户应使用最新版本的浏览器并尽量避免使用公共Wi-Fi网络或其他不受信任的网络连接。而对于网站管理员来说应该确保其网站全面实施了HTTPS并采取其他安全措施来防止SSLStrip攻击。命令执行sslstrip -a -f –k-a选项表示将所有请求重定向到攻击者控制的设备上-f选项表示强制使用HTTP而不是HTTPS-k选项表示忽略证书错误。4.3 ettercapettercap -Tq -i eth0-T 文本模式输出不使用图形用户界面 -q 静默模式-i 指定要监听的网络接在win10访问登录网址输入用户名及密码网址https://order.ems.com.cn/main/index可以看到https协议的官网也找到了账号密码5.无线 ARP 欺骗与消息监听重现分析地址解析协议 (ARP) 是用于获取物理地址的一种TCP/IP协议。在发送信息时主机会广播ARP请求其中包含目标IP地址以确定目标主机的物理地址。主机收到返回消息后会将该IP地址和物理地址存入本机ARP缓存并保留一段时间。下次请求时可以直接查询ARP缓存以节约资源。地址解析协议建立在网络中各个主机互相信任的基础上主机可以自主发送ARP应答消息其他主机收到应答报文时并不会检查其真实性直接将其记入本机ARP缓存。然而攻击者可以向某一主机发送伪ARP应答报文使其发送的信息无法到达预期的主机而被发送至攻击者指定的主机从而构成ARP欺骗。在无线网络环境中ARP欺骗的对象是受攻击设备和无线网关。攻击者需要先接入目标无线网络然后向受攻击设备谎称自己是无线网关并同时向网关发送虚假消息冒充合法用户发起请求。这样攻击者就成为通信过程中的“中间人”能够监听所有通信数据并进一步篡改数据。5.1 使用ettercap 工具进行 ARP欺骗(无须开启监听模式)1、在菜单中找到 ettercap并将其启动如图所示。2、在弹出的窗口中选择接口 wlan0(无线网卡对应的接口)单击确定按钮如图所示。3、选择Scan for hosts 命令扫描当前网络中的设备如图所示。4、选择目标设备的 单击 Add to Target1 按钮选择网关的 IP单击 Add to Target2 按钮。5、选择 Mitm→ARP poisoning 命令启动 ARP 攻击如图所示在强出的对话框中选中 Sniff remote connections 复选框6、如果出现如图所示的提示信息则说明 ARP 攻击成功7、以上步骤攻击的目标设备是手机如果将物理机作为攻击目标此时查看物理机的ARP可以发现网关的MAC地址已经变成攻击者的地址物理机网关的 MAC地址和192.168.182.129(攻击机)的 MAC 地址一样,这就说明物理机受到了 ARP欺骗攻击。5.2 浏览网页可以看到和上面一样获取到账号密码网络安全学习资源分享:给大家分享一份全套的网络安全学习资料给那些想学习 网络安全的小伙伴们一点帮助对于从来没有接触过网络安全的同学我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线大家跟着这个大的方向学习准没问题。因篇幅有限仅展示部分资料朋友们如果有需要全套《网络安全入门进阶学习资源包》请看下方扫描即可前往获取