Wireshark：中间人攻击分析

yichen

发布于 2020-04-15 15:37:24

1.5K0

发布于 2020-04-15 15:37:24

文章被收录于专栏：陈冠男的游戏人生

环境就是用的 w4sp-lab ?

https://www.cnblogs.com/yichen115/p/12603295.html

ARP中间人攻击

首先 sudo python w4sp_webapp.py，把环境拉起来，然后访问 127.0.0.1:5000

在一个新的终端里面打开 msf（命令：sudo msfconsole），使用：

use auxiliary/spoof/arp/arp_poisoning

打开 msf 的时候加个 sudo，不然待会

You don't have permission to capture on that device (socket: Operation not permitted)

show options 看一下需要的参数，我们需要设置 DHOSTS 和 SHOSTS 以及 LOCALSIP（需要用 show advanced 查看）

在网络拓扑里面查看一下我们攻击的目标 vic1 的 IP

set DHOSTS 192.100.200.167

在终端中查看一下我们的网关：

set SHOSTS 192.100.200.1

把 LOCALSIP 设置为本机的 ip：

set LOCALSIP 192.100.200.191

打开 wireshark 抓包看一下

我。。卡死了，重新开一下，同时记录一下各个设备的 ip

w4sp_lab（本机）	vic1（靶机）	ftp2（另一网段的ftp）
192.100.200.191	192.100.200.174	10.100.200.159

抓包，选择 w4sp-lab 那个

同时用 arp-scan -l 可以看到 vic1 的 MAC 地址是 ea:d6:b0:9a:94:10

正常的时候 ARP 流量是这样的，只有 vic1 这个机器不断地在询问

当我们进行 ARP 欺骗之后：

exploit 开始攻击（之前的图）

本机开始不断地向 vic1 发送假的信息（可以看到不停发送 arp 信息的就是本机）

同时，vic1 发送给另一个网段的 ftp 服务器的信息直接发到了我们这里

DNS中间人攻击

通过篡改 DNS 流量，使得 DNS 响应把特定主机名解析给攻击者的机器，而不是主机名真正对应的机器

除非系统设置了静态 IP，否则 DNS 服务器的信息，是作为 DHCP 服务器的一个参数一起获得的

DHCP 协议工作步骤：

1、客户端发起一个"Discovery（发现）"广播：有没有 DHCP 服务器？ 2、DHCP 服务器向客户端回一个"Offer（供应）"：你准备要这个 IP 嘛？ 3、客户端对收到的 IP 地址发送"Request（请求）"：我准备要这个 IP！ 4、DHCP 服务器最后回复"Acknowledgment（确认）"：这个 IP 归你了！

除了 IP 地址，DHCP 服务器还会提供其他信息，例如分配的 IP 可以保留多久（租期），同时也提供 DNS 服务器信息

我们打算用 msf 伪造我们的机器为假的 DHCP 和 DNS 服务器提供出去

先伪造 DHCP：

sudo msfconsole，然后

use auxiliary/server/dhcp

分别设置 DNSSERVER、SRVHOST 为本机 IP，NETMASK 设置为 255.255.255.0

set DNSSERVER 192.100.200.191

假的 DNS 服务器地址

set SRVHOST 192.100.200.191

假的 DHCP 服务器的地址

set NETMASK 255.255.255.0

网络掩码