1、Vmware常识:
vmnet:表示虚拟交换机
vmnet0:桥接模式,表示接入物理机连接的真实交换机,和物理机在同一交换机。
vmnet1:物理机上vmnet1网卡连接在此虚拟交换机。
vmnet 1-19,表示有19台虚拟交换机。
2、ARP协议:
ARP协议是“Address Resolution Protocol”(地址解析协议)的缩写。其作用是在以太网环境中,数据的传输所依懒的是MAC地址而非IP地址(交换机只能认识MAC地址),而将已知IP地址l转换为MAC地址的工作是由ARP协议来完成的。
在局域网中,网络中实际传输的是“帧”,帧里面是有目标主机的MAC地址的。在以太网中,一个主机和另一个主机进行直接通信,必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢?它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。
3、ARP协议原理:
1、发送方:发送ARP广播请求。封装帧头目的MAC为FF。
2、应答方:发送ARP单播应答。封装帧头目的MAC为发送方MAC地址。
双方都会建立ARP缓存,记录IP地址与MAC地址对应关系。
命令行下:arp -a 可看本机arp缓存。
4、ARP攻击原理:
攻击人通过发送虚假的ARP应答实现ARP缓存投毒!而受害人没有办法进行身份验证!当同时有多个应答时,ARP缓存表会以谁的数据报后到达则存储谁的MAC地址,攻击人会一直发送数据报从而欺骗APR缓存表。
5、中间人攻击(Man-in-the-MiddleAttack,简称“MITM攻击”)
通过拦截正常的网络通信数据,并进行
数据篡改和嗅探,而通信的双方却毫不知情。
实施中间人攻击时,攻击者常考虑的方式是ARP欺骗或DNS欺骗等,将会话双方的通讯流暗中改变,而这种改变对于会话双方来说是完全透明的。
1)信息篡改
当主机A、和主机B通信时,都由主机C来为其“转发”。
2)信息窃取
当A、B通信时,C不主动去为其“转发”,只是把他们的传输的数据备份,以获取用户网络的活动,包括账户、密码等敏感信息,这是被动攻击也是非常难被发现的。
6、中间人攻击实验
1)Vmware虚拟机中分别安装kali、win2012、win7操作系统。
2)将三台虚拟机的网卡都设置连接到vmnet2虚拟交换机。
3)设置win7的ip地址:10.1.1.1/24
设置win2012的ip地址:10.1.1.3/24
设置kali的ip地址:10.1.1.2/24
kali系统中按ctrl+shift+"+",可放大字符显示。
配置临时IP地址:ifconfig eth0 ip/24
查看IP地址:ifconfig eth0
4)win2012安装IIS和FTP,并测试可访问网站、可通过账号密码进入FTP目录。
iis中安装一个简易ASP站点,可测试后台登陆。
5)kali系统中ettercap工具进行中间人攻击(ARP欺骗)
ettercap工具使用:
1、sniff菜单——unoffensive——eth0(选择要攻击的网卡)
2、hosts菜单——host list 列出所有IP
3、hosts——scan for hosts 扫描IP
4、host list中选择IP:10.1.1.1——add to target 1(添加目标1)——选择另一个IP:10.1.1.3——add to target 2(添加目标2)
5、mitm——arp poisoning (arp投毒)——勾选:sniff remote connections
6)测试结果
当win7被毒化后,在命令行输入:arp -a,发现IP对应的MAC地址都是相同的。
在win7登陆win2012网站后台或FTP登陆成功后,在ettercap中会劫持到相应的账号、密码。