ARP攻击-流量分析
ARP渗透与攻防(一)之ARP原理ARP渗透与攻防(二)之断网攻击
系列文章
1.环境准备
1.kali作为攻击机
2.win10作为靶机 IP地址:192.168.110.11
3.网关 IP地址:192.168.110.1
2.kali数据包转发
出于安全考虑,Linux系统默认是禁止数据包转发的。所谓转发即当主机拥有多于一块的网卡时,其中一块收到数据包,根据数据包的目的ip地址将数据包发往本机另一块网卡,该网卡根据路由表继续发送数据包。这通常是路由器所要实现的功能,我们需要手动开启转发功能。
1.如何开启通信转发?
kali里有个ip_forward 配置文件
1.默认是0 禁止端口转发
2.将其设置成1 开启端口转发
2.开启步骤
1.kali机器查看当前是否开启了端口转发
cat /proc/sys/net/ipv4/ip_forward
可以看到当前的kali机没有开启端口转发,在没有开启端口转发的功能下我们去执行该命令将会变成断网攻击
arpspoof -i eth0 -r 192.168.110.1 -t 192.168.110.11
此时我们的靶机是 ping 不通外网的
2.kali开启通信转发的命令
echo 1 >> /proc/sys/net/ipv4/ip_forward
3.使用arpspoof发起ARP攻击
arpspoof -i eth0 -r 192.168.110.1 -t 192.168.110.11
4.win10验证是否转发成功
发现我们的window机器可以访问外部网络了,这种情况下Windows机器的流量就经过了kali机器的转发而访问外网了,我们就可以在kali机器上去截取windows机器的流量了,这就是所谓的中间人攻击。
3.dsniff工具
1.工具介绍
Dsniff是一个基于unix系统网络嗅探工具,工具集包含两个我们需要的两个工具包,arpspoof 和urlsnarf。
2.安装方法
apt-get update
apt-get install dsniff
3.urlsnarf工具介绍
urlsnarf -h
urlsnarf [-n] [-i interface | -p pcapfile] [[-v] pattern [expression]]
-n 表示不反查主机名
-i interface 网卡接口名
-p pattern 表示对过滤的内容使用的正则表达式
-v表示取相反,即是不匹配;expression 是过滤语法,和tcpdump的相同,请参考tcpdump。
4.url流量分析
1.概念
URL流量嗅探操作非常类似于中间人攻击,通过目标主机将路由流量注入到因特网。该过程将通过ARP注入实现攻击。url嗅探能够实时跟踪电脑中的数据流量信息,并且分析出它的类型和去向,从而获得你上网信息。
2.攻击流程
1.开启流量转发
echo 1 >> /proc/sys/net/ipv4/ip_forward
2.开启ARP攻击,造成中间人攻击
arpspoof -i eth0 -r 192.168.110.1 -t 192.168.110.11
3.kali捕获目标计算机的url,去监听我们的网卡,此时目标机器的流量会经过我们kali机的网卡转发,此时我们只要监听我们的网卡,就能获取目标机器的流量了。
urlsnarf -i eth0
4.Windows靶机上网,访问网站,去搜索一些信息
5.我们回到kali,发现kali机已经捕获了来自Windows机器的流量,我们来分析用户的请求