- 数据嗅探可用于网络性能分析、故障排查,以及安全审计等合法目的。
- 欺骗则更多出现在恶意场景中,例如窃取敏感信息(如用户名、密码、银行账号等)、篡改数据、执行会话劫持等攻击行为。
综上所述,网络数据的嗅探与欺骗都是针对网络通信层面的安全威胁,对于网络安全防护至关重要,同时也要求网络管理员和技术人员深入理解其原理及防范措施。
实验准备
软件:VMware Workstation Pro
虚拟机:Red Hat Enterprise Linux 7 服务器,windows客户端,Kail Linux 攻击机
网络模式:NAT模式
ip地址:Red Hat Enterprise Linux 7 服务器(192.168.1.10),windows客户端(192.168.1.128),Kail Linux 攻击机(192.168.1.129)
实验内容
本次实验主要内容是使用Red Hat Enterprise Linux 7 服务器搭建一个web服务器及一个ftp服务器,并使用Kail Linux 攻击机上的网络数据嗅探器工具arpspoof实现ARP断网攻击,及搭配driftnet实现arp欺骗,捕获受害机图片,以揭示未加密通信可能带来的隐私泄露风险。最后使用Wireshark工具嗅探ftp登录过程中的明文传输的密码泄露风险。
部署环境
1、在Red Hat Enterprise Linux 7 服务器上部署httpd服务,这里为了方便后续的arp欺骗实验,在红帽服务器上传了一个带有图片的网页。
[root@localhost 桌面]# mkdir /mnt/cdrom
[root@localhost 桌面]# mount /dev/sr0 /mnt/cdrom/
mount: /dev/sr0 写保护,将以只读方式挂载
[root@localhost 桌面]# vim /etc/yum.repos.d/a.repo
[root@localhost 桌面]# cat /etc/yum.repos.d/a.repo
[a]
name=a
baseurl=file:///mnt/cdrom
enable=1
gpgcheck=0
[root@localhost 桌面]# yum install httpd -y
[root@localhost 桌面]# systemctl start httpd
[root@localhost 桌面]# cd /var/www/html/
拷贝一个带图片的网页至/var/www/html/目录,
设置防火墙,放行httpd的流量
[root@localhost html]# firewall-config
成功访问。
2、开启一台windows客户端,充当被攻击机。查看被攻击机的ARP缓存表,并检测是否可以正常上网。
3、kali机检查网络,配置apt国内源(注:虚拟机需可正常浏览网页,否则无法更新源)
┌──(root㉿hnsw)-[~]
└─# ifconfig
eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 192.168.1.129 netmask 255.255.255.0 broadcast 192.168.1.255
inet6 fe80::20c:29ff:fe0d:3b06 prefixlen 64 scopeid 0x20<link>
ether 00:0c:29:0d:3b:06 txqueuelen 1000 (Ethernet)
RX packets 17 bytes 2134 (2.0 KiB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 32 bytes 4286 (4.1 KiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
lo: flags=73<UP,LOOPBACK,RUNNING> mtu 65536
inet 127.0.0.1 netmask 255.0.0.0
inet6 ::1 prefixlen 128 scopeid 0x10<host>
loop txqueuelen 1000 (Local Loopback)
RX packets 4 bytes 240 (240.0 B)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 4 bytes 240 (240.0 B)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
┌──(root㉿hnsw)-[~]
└─# vim /etc/apt/sources.list
┌──(root㉿hnsw)-[~]
└─# cat /etc/apt/sources.list
# See https://www.kali.org/docs/general-use/kali-linux-sources-list-repositories/
#deb http://http.kali.org/kali kali-rolling main contrib non-free
# Additional line for source packages
# deb-src http://http.kali.org/kali kali-rolling main contrib non-free
deb https://mirrors.aliyun.com/kali kali-rolling main non-free contrib
deb-src https://mirrors.aliyun.com/kali kali-rolling main non-free contrib
┌──(root㉿hnsw)-[~]
└─# apt update
获取:1 https://mirrors.aliyun.com/kali kali-rolling InRelease [41.5 kB]
获取:2 https://mirrors.aliyun.com/kali kali-rolling/contrib Sources [80.3 kB]
获取:3 https://mirrors.aliyun.com/kali kali-rolling/main Sources [16.2 MB]
获取:4 https://mirrors.aliyun.com/kali kali-rolling/non-free Sources [123 kB]
获取:5 https://mirrors.aliyun.com/kali kali-rolling/main amd64 Packages [19.8 MB]
获取:6 https://mirrors.aliyun.com/kali kali-rolling/main amd64 Contents (deb) [47.1 MB]
获取:7 https://mirrors.aliyun.com/kali kali-rolling/non-free amd64 Packages [195 kB]
获取:8 https://mirrors.aliyun.com/kali kali-rolling/non-free amd64 Contents (deb) [893 kB]
获取:9 https://mirrors.aliyun.com/kali kali-rolling/contrib amd64 Packages [119 kB]
获取:10 https://mirrors.aliyun.com/kali kali-rolling/contrib amd64 Contents (deb) [258 kB]
已下载 84.8 MB,耗时 7秒 (12.1 MB/s)
正在读取软件包列表... 完成
正在分析软件包的依赖关系树... 完成
正在读取状态信息... 完成
有 1998 个软件包可以升级。请执行 ‘apt list --upgradable’ 来查看它们。
使用arpspoof工具,提示需要安装dsniff软件。
arp断网攻击
安装完成后使用arpspoof对被攻击机发起ARP断网攻击,输入arpspoof -i eth0 -t 192.168.190.130 192.168.43.2,可以看到此时KALI不断地向windows发送ARP应答包,这个应答包将网关的ip地址192.168.1.2和KALI机的MAC地址0:c:29:d:3b:06绑定在一起,从而将物理机的ARP缓存表中的网关的MAC地址修改为虚拟机的MAC地址。
arpspoof -i 网卡名 -t 目标机 网关 #对目标主机实施arp欺骗
arpspoof -i 网卡名 -t 网关 目标机 #对网关实施arp欺骗
也可使用一条命令同时进行arp攻击:
arpspoof -i 网卡名 -t 目标机 -r 网关
在WINDOWS中再次使用cmd向百度发送一个ping包,检查是否可以联网。
可以看到请求超时。
ARP表中网关192.168.1.2的MAC地址被绑定成攻击机的MAC地址了。
如被攻击机与攻击有过通讯,则可以通过网关和攻击的地址相同来判断遭到了ARP攻击。
停止攻击后,WINDOWS机可以正常联网。
如果未恢复,可用arp –d 192.168.190.2删除缓存记录。
红帽使用ip neigh查看arp表,
防范arp攻击
通常的ARP攻击对象包括路由器和局域网中的客户端主机,其中针对客户端主机的攻击居多,因此着重于客户端主机ARP欺骗的防治。通常解决ARP欺骗攻击的方法:
可以进行MAC与IP地址的绑定,生成固定的ARP对照表,保证映射关系的正确;
ARP -s 192.168.1.2 00-50-56-ec-c6-96 回车(绑定)
ARP -d 192.168.1.2 00-50-56-ec-c6-96 回车(解除)
arp欺骗
在刚刚的实验中,我们实现了对WINDOWS进行断网攻击,接下来我们进行一点升级,利用arpspoof工具和driftnet工具进行ARP欺骗。
实施ARP欺骗,需要打开攻击主机的IP转发功能,linux因为系统安全考虑,是不支持IP转发的,其配置文件写在/proc/sys/net/ipv4的ip_forward中。默认为0,修改为1。修改完后实施攻击就不会影响到被攻击机的联网功能了,重新发起攻击。
再次查看物理机的ARP表,发现网关地址的MAC地址发生变化。但是可以正常ping通百度,正常浏览网页,此时,被攻击机和网关通信的数据包都会流经虚拟机,可以在虚拟机中利用driftnet工具,捕获被攻击机正在浏览的图片。
图片捕获工具driftnet
driftnet是一款简单而使用的图片捕获工具,可以很方便的在网络数据包中抓取图片。
主要参数:
-b 捕获到新的图片时发出嘟嘟声
-i interface选择监听接口
-f file读取一个指定pcap 数据包中的图片
-p 不让所监听的接口使用混杂模式
-a 后台模式:将捕获的图片保存到目录中(不会显示在屏幕上)
-m number指定保存图片数的数目
-d directory指定保存图片的路径
-x prefix指定保存图片的前缀名。
在虚拟机中安装driftnet。
使用命令driftnet -d /home/hack -a -i eth0捕获被攻击机正在浏览的图片。然后使用被攻击机访问红帽服务器上的web网页。
成功捕获到图片。
使用WireShark进行网络嗅探
在Red Hat Enterprise Linux 7 服务器上部署vsftpd服务。
[root@localhost 桌面]# yum install -y vsftpd*
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。
深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!
因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。
既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点,真正体系化!
由于文件比较大,这里只是将部分目录大纲截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且后续会持续更新
如果你觉得这些内容对你有帮助,可以添加VX:vip204888 (备注网络安全获取)
习提升的进阶课程,基本涵盖了95%以上网络安全知识点,真正体系化!**
由于文件比较大,这里只是将部分目录大纲截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且后续会持续更新
如果你觉得这些内容对你有帮助,可以添加VX:vip204888 (备注网络安全获取)
[外链图片转存中…(img-exaGUntZ-1712922724154)]