Prueba de seguridad del servidor --- Ataque de suplantación de Arp man-in-the-middle de Kali

Prefacio:

---

---

---

entorno de laboratorio

Cliente:
IP: 10.8.161.61
NAC: 00-90-F5-EB-3F-3F

Equipo Kali:
IP: 10.8.161.163
MAC: 00-0C-29-48-ED-82

Servidor:
IP: 10.8.161.165
MAC: 00-0C-29-40-C1-AF

Principio de ataque

Métodos comunes de ataque man-in-the-middle : suplantación de arp, un host y una puerta de enlace en la LAN realizan una suplantación de ARP, cambian la tabla de caché ARP de este host y la puerta de enlace e interceptan información.

1. Simulación 1: el cliente de imágenes accede al servidor, ingresa la cuenta de inicio de sesión y la contraseña, y Kali intercepta la contraseña de la cuenta.
   Situación de acceso normal:
   cliente ------- (difusión a través de la dirección mac) todos los dispositivos - (identificados por la dirección mac) Después de que el dispositivo 2
   es interceptado por kali:
   cliente ------- (kali right El arp del cliente table hace trampa, reemplaza la mac del servidor y recibe la información por sí mismo) ---- Kali envía la información al servidor

2. Simulación 2: Kali intercepta toda la información del dispositivo en el mismo segmento de red y reemplaza la puerta de enlace.
   Situación de acceso normal:
   Cliente ------ (a través del conmutador) ---- (puerta de enlace del enrutador) ------ Nube Después el servidor
   es interceptado por kali:
   cliente ----- (suplantación de identidad, cambiar la dirección mac de la puerta de enlace) ----- kali recibe la solicitud del cliente ----- kali reenvía al servidor en la nube

Proceso de ataque

Kali viene con una herramienta Ettercat

Breve introducción de Ettercat:

1. ettercap es una poderosa herramienta de engaño en Linux, por supuesto, Windows también se puede usar
2. Es una herramienta de ataque man-in-the-middle unificada
3. Reenviar paquetes de datos cuya MAC sea la misma que la de esta máquina pero cuya IP sea diferente a la de esta máquina
4. Admite SSH1, ataque SSL man-in-the-middle

1. Kali habilita la herramienta Ettercat

ettercap -G

Aparece la interfaz Ettercat
2. Seleccione la tarjeta de red virtual
3. Escanee los hosts de LAN

4. Agregue el host monitoreado

Hay dos formas, elige una de ellas

1. Si solo está monitoreando un host en la LAN, solo necesita agregar el cliente (la máquina monitoreada) 10.8.161.61 a Agregar al destino 1 El servidor al que se accede 10.8.161.165 se agrega a Agregar al destino 2
   
2. Si está monitoreando todos los hosts en la intranet, use Ctrl + a para seleccionar todos los hosts, excepto la dirección de host kali y la dirección de puerta de enlace 10.8.11.254. Después de la selección, agréguelo a Add to Target 1 y agregue la dirección de puerta de enlace 10.8.161.254 a Add to Target 2.
   
   3. Active la suplantación.
   Haga clic en Mitm- en la barra de herramientas ARP poisonningy marque Sniff remote connections
   
   4. Para probar,
   usamos el cliente para acceder al máquina servidor e ingrese la contraseña de la cuenta Vi que la herramienta Ettercat registró la contraseña de la cuenta en la barra de estado.
   
   

Como prevenir

1. Agregue una tabla Arp estática, bind ip (para evitar la operación en el cliente)
①Compruebe el número Idx de la tarjeta de red, seleccione a qué tarjeta de red enlazar ② Configure la
asignación estática de enlace

netsh -c "i i" add neighbors  连接的Idx号  网关IP       网关MAC      添加一条静态映射
例如：
netsh -c "i i" add neighbors    13    10.8.161.165 00-0C-29-40-C1-AF

③Compruebe, puede ver que el servidor vinculado es estático, por lo que no se engañará

arp -a

④ Si necesita desvincular, use arp -d plus ip para desvincular

2. Vincular direcciones ip y mac en el conmutador o enrutador.
3. Usar software de suplantación anti-Arp Anti ARP Sniffer.
Funciones:
①100% de defensa contra todos los programas maliciosos que usan tecnología ARP, y pueden reescribir automáticamente datos ARP cuando se sospecha.
② El software tiene la función de rastrear atacantes ARP y puede rastrear la dirección IP de la otra parte.
③ El software repara automáticamente los datos ARP y mantiene la red ininterrumpida.
④El software puede obtener automáticamente el número de paquetes de difusión enviados y recibidos por esta máquina.

---

=============================================== = ============================================== == ============================================= === ============================================ ==== ============================================= ===== ========================================
Navegación y visualización difíciles, si es correcto, es útil , por favor dale me gusta (σ ﾟ ∀ ﾟ) σ…: * ☆