十二、Kali Linux 2 网络数据的嗅探与欺骗

网络数据的嗅探与欺骗

无论什么样的漏洞渗透程序，在网络中都是以数据包的形式传输的，因此如果我们能够对网络中的数据包进行分析的话，就可以深入的掌握渗透的原理。另外很多网络攻击的方法也都是利用发送精心构造的数据包来完成，例如常见的ARP欺骗。利用这种欺骗方式，黑客就可以截获受害者计算机与外部通信的全部数据，例如受害者登陆登陆使用的用户名与密码，发送的邮件等。

 

一、使用 TcpDump 分析网络数据

和Kali linux2中大多数软件一样，TcpDump是一款小巧的工作在纯命令行上的工具。也正由于它的体积小，所以这款工具可以完美的运行在大多数路由器，防火墙以及Linux系统中。不过现在这款工具也有了可以运行在Windows操作系统上的版本。TcpDump可以即时的显示捕获到的数据包。直接在Kali linux 2打开一个命令行输入“tcpdump”就可以启动这个工具：

二、使用 WireShark 进行网络分析

Wireshark是现在世界上最优秀的网络抓包软件，它也是目前世界上最为流行的网络分析软件。和TcpDump一样，这个强大的工具可以捕捉网络中的数据。在1997年的时候Gerald Combs开始了Wireshark前身Ethereal的编写工作，之后有很多人都参与到了这个软件的编写工作来。2006年6月，因为商标的问题，Ethereal更名为Wireshark。

三、WireShark 的部署方式

到目前为止，我们捕获和分析的都只是源地址或者目的地址是本机的数据包。但是现实中遇到的情况往往要复杂得多，研究的对象要包括网络中的其他设备，我们需要找出合适的方案来捕获并分析那些本来不属于本机的数据包。

实际上，这个问题的解决方法有很多种，其中有的会涉及软件使用，有的会涉及硬件安装，这些方案各自有适用的场合。

四、使用 Ettercap 进行网络嗅探

在早期的网络中，进行数据交换使用的设备是集线器，这时网络中的数据都是广播的。这意味着计算机能够接收到发送给其他计算机的信息。而捕获在网络中传输的数据信息的行为就称为网络嗅探。在这个时期，我们只需要将网卡更改为混杂模式即可接收到整个网络的数据。但是在现在的网络中使用的设备是交换机，这个时期我们就不能仅仅依靠将网卡改为混杂模式就监听到整个网络的数据，而是需要利用ARP协议的漏洞。

现在我们来介绍一个集成了ARP欺骗功能的工具—Ettercap。最初的Ettercap只是被设计用来进行网络嗅探，但是随着越来越多功能的加入，现在它已经变成了一款功能极为强大的网络攻击工具，利用这款工具甚至可以完成对加密通信的监听。

五、实现对 HTTPS 的中间人攻击

而HTTPS相当于HTTP+SSL，SSL全称为Secure Socket Layer，用以保障在Internet上数据传输的安全，利用数据加密(Encryption)技术，可确保数据在网络上的传输过程中不会被截取及窃听。SSL协议提供的安全通道有以下三个特性：

在通信的过程使用密钥加密通信数据，即使信息被截获，用户的隐私也不会泄露。

服务器和客户都会被认证，客户的认证是可选的。

SSL协议会对传送的数据进行完整性检查，黑客无法篡改通信数据。

1. 在浏览某个网站时实际产生的数据包是如图所示：

2. HTTPS 首先需要使用 SSL 来建立连接，HTTPS 的工作原理如图所示：

3. 数字证书颁发机构的工作原理如图所示：

4. 图中给出了一个基于 HTTPS 的中间人攻击的演示：

5. 使用 mitmproxy 解密本机流量如图所示：

6. mitmweb 的工作页面 http://127.0.0.1:8080如图所示：

总结：

在这一章中介绍了如何在网络中进行嗅探和欺骗，这是我认为最为有效的一种攻击方式。几乎所有的网络安全机制都是针对外部的，而极少会防御来自内部的攻击。因此在网络内部进行嗅探和欺骗的成功率极高。在很多经典的渗透案例中也都提到了这种攻击方式，例如国内的一家IT企业的安全主管就曾经提到过，他在进入到企业后做的第一件事情就是利用网络监听截获了部门领导的电子邮箱密码。另外随着现在硬件的发展，也出现了有人使用装载了树莓派的无人机进入到受保护的区域，然后连接到无线网络进行网络监听的事件。在下一章中我们将讲解针对身份认证方式的攻击。