前言:
实验环境
客户端:
IP:10.8.161.61
NAC:00-90-F5-EB-3F-3F
Kali设备:
IP:10.8.161.163
MAC:00-0C-29-48-ED-82
服务器:
IP:10.8.161.165
MAC:00-0C-29-40-C1-AF
攻击原理
常见的中间人攻击手段:arp欺骗,局域网内的一台主机和网关进行ARP欺骗,更改这台主机和网关的ARP缓存表,截获信息。
-
模拟一:图客户端访问服务器,输入登陆账户和密码,kali截取账户密码。
正常访问情况:
客户端 -------(广播通过mac地址)所有设备 ----(通过mac地址识别) 设备2
被kali截取后:
客户端 ------- (kali 对客户端的arp表进行欺骗,把服务端的mac更换,自己接收信息) ----Kali把信息在给 服务端 -
模拟二:Kali截取同一网段内所有的设备信息,对网关进行更换
正常访问情况:
客户端 ------ (通过交换机)----(路由器网关)-------云服务端
被kali截取后:
客户端 -----(进行欺骗,改变网关mac地址)----- kali 接收客户端请求 -------kali转发给云服务端
攻击过程
Kali自带有一个工具Ettercat
Ettercat简简介:
- ettercap是linux下 一个强大的欺骗工具,当然windows也能用
- 是一个统一的中间人攻击工具
- 转发 MAC 与本机相同,但 IP 与本机不同的数据包
- 支持 SSH1、SSL 中间人攻击
1.Kali启用Ettercat工具
ettercap -G
弹出Ettercat 界面
2. 选择虚拟网卡
3. 扫描局域网主机
4. 添加被监听主机
有两种方式,选择其中一种即可
- 如果只是监听局域网内一台主机,只需要将客户机(被监听的机器)10.8.161.61 添加到Add to Target 1 要访问的服务端 10.8.161.165 添加到 Add to Target 2
- 如果是监听内网所有主机 ,就用Ctrl+a选中所有主机,kali主机地址和10.8.161.254网关地址除外。选择后添加到Add to Target 1 ,将网关地址 10.8.161.254 添加到 Add to Target 2
3. 开启欺骗
在工具栏 点击Mitm–ARP poisonning,勾选Sniff remote connections
4.进行测试
我们用客户机访问服务机器,输入账户密码,可以看到Ettercat工具在状态栏记录下了账号密码。
如何防范
1. 添加静态的Arp表,绑定ip (要预防的在客户机操作)
①查看那个网卡的Idx号,选择要绑定那个网卡
②设置绑定静态映射
netsh -c "i i" add neighbors 连接的Idx号 网关IP 网关MAC 添加一条静态映射
例如:
netsh -c "i i" add neighbors 13 10.8.161.165 00-0C-29-40-C1-AF
③查看,可以看到绑定了服务端为静态,这样就不会被欺骗
arp -a
④ 如果需要解除绑定就用arp -d 加ip来解除绑定
2. 在交换机或者路由中绑定ip和mac地址
3. 使用Anti ARP Sniffer 防Arp欺骗软件
功能:
①100%防御所有利用ARP 技术的恶意程序,发现疑常并能自动重写ARP数据。
②软件具备追踪ARP攻击者的功能,能够追踪对方的IP地址。
③软件自动修复ARP数据,并保持网络永不中断。
④软件能自动获取本机发送与接受的广播包数量。
======================================================================================================================================================================================================================================================================================================
辛苦浏览观看,如果对你有帮助,请顺手点个赞吧 (σ゚∀゚)σ…:*☆