精华内容
下载资源
问答
  • python中间人攻击

    2021-03-20 16:06:03
    主要的3种中间人攻击的手段 攻击网络设备漏洞 当设备进行通信时,黑客获取该设备的控制权,成为“中间人” 攻击网络协议漏洞 黑客直接利用网络协议对用户设备进行攻击,对其ARP表进行穿该,控制用户设备数据的...

    主要的3种中间人攻击的手段

    • 攻击网络设备漏洞
      当设备进行通信时,黑客获取该设备的控制权,成为“中间人”

    • 攻击网络协议漏洞
      黑客直接利用网络协议对用户设备进行攻击,对其ARP表进行穿该,控制用户设备数据的方向,使得用户误以为黑客设备是通信目标,将数据包都发送至黑客设备上

    • 物理线路入侵
      黑客需要对网络的物理结构改造,通常是在设备与交换机之间的物理线路中插入一个可以实现分流的设备,常见的设备有集线器(HUB)和网络分流器(TAP)
      集线器:速度较慢,现在基本不被采用
      网络分流器:不需要获得网络控制权,不用区黑交换机或路由器

    攻击协议设备漏洞低黑客最为常用的,攻击网络设备漏洞与攻击协议设备漏洞相比较,前者难度大很多,而物理线路入侵上,交换机等可能会被锁起来,相对难实现

    主要进行介绍第二种攻击
    ARP协议

    • 位于TCP/IP协议族中的网络层,
    • 目的:为了在局域网中将逻辑地址转换成为物理地址。

    每个主机都可以查询到ARP表在这里插入图片描述
    这个指令严格来说只能查询到同一个局域网下主机的IP地址和MAC地址对应关系,不能查询广义网下的

    为什么一台设备要同时有MAC地址和IP地址?
    是为了有兼容性

    • 内网(局域网)通信采用MAC地址(物理地址)
    • 外网(互联网)通信采用IP地址(逻辑地址)
      ARP协议主要是根据这个表来进行解析的

    内网通信的时候IP协议会自动将IP地址转换为MAC地址,所以平时写程序只要考虑IP地址就行

    为什么内网通信的时候要采用MAC地址
    因为交换机不认识IP地址,交换机的转发是基于交换机的CAM表

    • CAM表:是端口和MAC地址之间的对应关系

    • ARP表:查询到同一个局域网下主机的IP地址和MAC地址对应关系,若原先的ARP表中已经有要查询的主机的IP地址和MAC地址之间 的对应关系就进行返回,若没有则进行广播方式发送请求,接收到其他主机应答后缓存到ARP表中

      ARP请求数据包:广播包
      ARP应答数据包:非广播包

    ~~ARP协议的缺陷

    • ARP请求使用广播方式发送的,黑客可以应答伪造的物理地址。另外,黑客也可以大量发送ARP请求,从而导致网络缓慢甚至断网。
    • ARP协议是无状态的,黑客可以在用户设备没有ARP请求的情况下,向其发送ARP应答。
    • ARP协议是动态的,所以用户设备只要收到ARP应答之后,就会无条件地更新ARP表中的内容。
    • ARP协议没有认证,只要是ARP表中的IP/MAC映射关系,ARP协议都认为是可以信任的。

    PS
    1)ARP协议被黑客用来实现扫描、断网攻击、中间人攻击等
    2)危害最大:中间人攻击

    展开全文
  • MITM中间人攻击理论

    2019-07-14 00:30:37
    中间人攻击(Man in the Middle Attack,简称“MITM 攻击”)是一种间接入侵攻击。 通过各种技术手段,将入侵者控制一台计算机,放置在网络连接中两台通信计算机之间,这台计算机就称为“中间人”。 常见的...

    中间人攻击理论

    中间人攻击(Man in the Middle Attack,简称“MITM 攻击”)是一种间接的入侵攻击。
    通过各种技术手段,将入侵者控制的一台计算机,放置在网络连接中的两台通信计算机之间,这台计算机就称为“中间人”。

    常见的攻击手段

    1. 攻击者只要将网卡设为混杂模式,伪装成代理服务器监听特定的流量就可以实现攻击,只是因为很多通信协议都是以明文来进行传输的,如HTTP,FTP,Telnet等。随着交换机代替集线器,简单的嗅探攻击已经不能成功,必须先进行ARP欺骗才行。
    2. SMB会话劫持
    3. DNS欺骗
    4. 为HTTPS提供假证书

    以上攻击都是典型的MITM攻击。简而言之,所谓的MITI攻击就是通过拦截正常的网络通讯数据,并进行数据篡改和嗅探,而通信的双方却毫不知情。

    ARP欺骗原理
    • ARP协议概述:ARP协议是“Address Resolution Protocol”(地址解析协议)的缩写。
      计算机通过ARP协议将IP地址转换成MAC地址。

    • ARP协议工作原理
      在以太网中,数据传输的目标地址是MAC地址,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址。
      计算机使用者通常只知道目标机器的IP信息,“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。
      简单地说,ARP协议主要负责将局域网中的32为IP地址转换为对应的48位物理地址,即网卡的MAC地址,保障通信顺利尽心。

    arp工作原理如下
    在这里插入图片描述

    以上是ARP正常通讯过程,下面是ARP欺骗过程:
    ARP欺骗概述:
    1、每个主机都用一个ARP高速缓存存放最近IP地址到MAC地址之间的映射记录。
    2、默认情况下,ARP从缓存中读取IP-MAC条目,缓存中的IP-MAC条目是根据ARP响应包动态变化的。
    3、要网络上有ARP响应包发送到本机,即会更新ARP高速缓存中的IP-MAC条目。
    4、攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,完成ARP欺骗。

    ARP欺骗具体流程如下:
    1、正常情况:主机xuegod63上保存着xuegod62的IP和MAC对应关系表
    在这里插入图片描述
    2、xuegod64恶意给63发一个ARP应答包,来刷新63上ARP缓存表。 让63上缓存的MAC地址变为64的MAC在这里插入图片描述
    3、情景1:xuegod63发给62的数据,最终都发给了xuegod64,而xuegod64还可以把数据传给62。 实现中间人攻击
    在这里插入图片描述
    4、情况2:ARP欺骗–冒充网关,实现中间人攻击
    在这里插入图片描述
    例如: 网络执法官,P2P终结者软件,都可以使用arp欺骗,来冒充网关。

    怎样防范ARP欺骗
    1.在主机绑定网关MAC与IP地址为静态(默认为动态),命令:arp -s 网关IP 网关MAC
    2.在网关绑定主机MAC与IP地址
    3.使用ARP防火墙

    实战-使用 Ettercap 工具实现中间人攻击

    在这里插入图片描述
    实验主机
    xuegod 62 192.168.1.62
    xuegod63 192.168.1.63
    kali-Linux 192.168.192.159
    在这里插入图片描述
    在这里插入图片描述
    vsftp数据通信过程中,加密了吗?
    没有加密
    访问http://www.163.com,进行通信加密了吗?
    国内90%的手机app软件使用http协议进行通知,,进行通信加密了吗?
    没有加密

    FTP服务器:xuegod 62 192.168.1.62
    FTP客户端:xuegod63 192.168.1.63
    中间人肉机:kali-Linux 192.168.192.159

    xuegod62 安装ftp服务
    在这里插入图片描述 在这里插入图片描述
    添加一个系统用户:kill 密码: 123456 用于后期登录ftp
    [root@xuegod63 ~]# useradd kill
    [root@xuegod63 ~]# echo 123456 | passwd --stdin kill

    xuegod63安装ftp客户端工具
    在这里插入图片描述
    kali-linux 配置

    1. 初始化ettercap
      在这里插入图片描述
    2. 选择Sniff 抓包. 嗅探
      在这里插入图片描述
    3. 开始抓包。
      unified 全局扫描
      在这里插入图片描述
    4. 选择网卡
      在这里插入图片描述
      5、选择主机 开始扫描主机
      在这里插入图片描述
    5. 生成主机列表
      在这里插入图片描述
    6. 点开主机列表
      在这里插入图片描述
    7. 查看被扫描的主机
      在这里插入图片描述
    8. 在xuegod63上登录xuegod62的ftp服务器。
      [root@xuegod63 ~]# ftp 192.18.1.62
      Connected to 192.18.1.62 (192.18.1.62).
      220 (vsFTPd 2.2.2)
      Name (192.18.1.62:root): mk #这个名字可以随意写
      331 Please specify the password.
      Password:123456
      530 Login incorrect.
      Login failed.
      ftp>
      此时,当登录 192.168.1.62 主机的mk和123456相关的敏感信息将会被传递给攻击者。
    • 登录kali查看:
    • 在这里插入图片描述
    • 从该界面可以看到,有用户登录 192.168.1.62 主机的 FTP 服务器了。
      其用户名为 mk,密码为 123456。

    获取这些信息后停止嗅探,在菜单栏中依次单击 Start|Stop
    在这里插入图片描述
    在这里插入图片描述
    扩展:
    手机app 使用http协议 加密了吗? 没有 这样用户名和密码 可以在局域网中被抓到
    解决方法:
    所有手机app 软件通信都应该使用https协议

    展开全文
  •     中间人攻击(Man in the Middle Attack,简称“MITM 攻击”)是一种间接入侵攻击。 通过各种技术手段,将入侵者控制一台计算机,放置在网络连接中两台通信计算机之间,这台计算机就称为“中间人”。 ...

    中间人攻击理论

        中间人攻击(Man in the Middle Attack,简称“MITM 攻击”)是一种间接的入侵攻击。
    通过各种技术手段,将入侵者控制的一台计算机,放置在网络连接中的两台通信计算机之间,这台计算机就称为“中间人”。

    常见攻击手段
       1、攻击者只要将网卡设为混杂模式,伪装成代理服务器监听特定的流量就可以实现攻击,这是因为很多通信协议都是以明文来进行传输的,如HTTP、FTP、Telnet等。随着交换机代替集线器,简单的嗅探攻击已经不能成功,必须先进行ARP欺骗才行;
       2、SMB会话劫持;
       3、DNS欺骗;
       4、为 HTTPS 提供假证书。

        以上攻击都是典型的MITM攻击。简而言之,所谓的MITM攻击就是通过拦截正常的网络通信数据,并进行数据篡改和嗅探,而通信的双方却毫不知情。

    ARP欺骗原理

    ARP协议概述
        ARP协议是“Address Resolution Protocol”(地址解析协议)的缩写。计算机通过ARP协议将IP地址转换成MAC地址。

    ARP协议工作原理

        在以太网中,数据传输的目标地址是MAC地址,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址。
        计算机使用者通常只知道目标机器的IP信息,“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。
        简单地说,ARP协议主要负责将局域网中的32为IP地址转换为对应的48位物理地址,即网卡的MAC地址,保障通信顺利尽心。
    apr工作原理
    在这里插入图片描述

    ARP欺骗过程
       1、每个主机都用一个ARP高速缓存存放最近IP地址到MAC地址之间的映射记录。
       2、默认情况下,ARP从缓存中读取IP-MAC条目,缓存中的IP-MAC条目是根据ARP响应包动态变化的。
       3、要网络上有ARP响应包发送到本机,即会更新ARP高速缓存中的IP-MAC条目。
       4、攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,完成ARP欺骗。

    实战:使用Ettercap工具实现中间人攻击

    实战1: 在局域网中,通过Ettercap抓取vsftp服务器的用户名和密码
    在这里插入图片描述
    1.server和client1都安装ftp服务(服务端和客户端)
    client1:

    [root@client1 ~]# yum -y install ftp vsftpd
    Loaded plugins: fastestmirror, langpacks
    Loading mirror speeds from cached hostfile
     * base: mirrors.cn99.com
     * extras: mirrors.cn99.com
     * updates: mirrors.shu.edu.cn
    Package ftp-0.17-67.el7.x86_64 already installed and latest version
    Nothing to do
    [root@client1 ~]# 
    

    server:

    [root@server ~]# yum -y install ftp vsftpd
    Loaded plugins: fastestmirror, langpacks
    Loading mirror speeds from cached hostfile
     * base: mirrors.huaweicloud.com
     * extras: mirrors.huaweicloud.com
     * updates: mirrors.cqu.edu.cn
    Package ftp-0.17-67.el7.x86_64 already installed and latest version
    Nothing to do
    [root@server ~]# 
    

    ftp:客户端    vsftpd:服务端

    分别启动ftp

    [root@server ~]# systemctl start vsftpd
    [root@server ~]# 
    

    2.在kali中打开Ettercap
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
    成功扫描到4台活动主机(该主机只是该局域网内的)

    3.client1使用FTP连接server(注意要关闭防火墙)

    [root@client1 ~]# ftp 192.168.43.103
    Connected to 192.168.43.103 (192.168.43.103).
    220 (vsFTPd 3.0.2)
    Name (192.168.43.103:root): user
    331 Please specify the password.
    Password:
    230 Login successful.
    Remote system type is UNIX.
    Using binary mode to transfer files.
    ftp> 
    

    在这里插入图片描述
    成功劫持到用户和密码。

    展开全文
  • 常见内网攻击1

    2020-03-15 10:39:06
    arp中间人攻击 原理 通过构造arp响应报文,导致目标计算机与网关通信失败,更会导致通信重定向,所有数据都会通过攻击者机器。攻击者再对目标和网关之间数据进行转发,则可作为一个“中间人”,实现监听目标却...

    内网攻击

    arp中间人攻击

    原理

    通过构造arp响应报文,导致目标计算机与网关通信失败,更会导致通信重定向,所有的数据都会通过攻击者的机器。攻击者再对目标和网关之间的数据进行转发,则可作为一个“中间人”,实现监听目标却又不影响目标正常上网的目的。

    防御

    arp防御

    主机中手动建立arp表

    主机中用arp防火墙固化arp表

    交换机使用dai(动态arp检测技术)

    ICMP重定向防御

    原理

    当路由器收到 IP 数据报,发现数据报的目的地址在路由表上却不存在时,它发送 ICMP 重定向报文给源发送方,提醒它接收的地址不存在,需要重新发送给其他地址进行查找。通过发送icmp重定向报文可以进行中间人攻击,也可让对方无法上网

    防御

    关闭重定向

    主机不处理重定向

    Tcp syn攻擊

    原理

    它利用了TCP协议实现上的一个缺陷,通过向网络服务所在端口发送大量的伪造源地址的攻击报文,就可能造成目标服务器中的半开连接队列被占满,从而阻止其他合法用户进行访问。

    防御

    cookie源认证:

    原理是syn报文首先由DDOS防护系统来响应syn_ack。带上特定的sequence number (记为cookie)。真实的客户端会返回一个ack 并且Acknowledgment number 为cookie+1。 而伪造的客户端,将不会作出响应。这样我们就可以知道那些IP对应的客户端是真实的,将真实客户端IP加入白名单。下次访问直接通过,而其他伪造的syn报文就被拦截。

    reset认证:

    Reset认证利用的是TCP协议的可靠性,也是首先由DDOS防护系统来响应syn。防护设备收到syn后响应syn_ack,将Acknowledgement number (确认号)设为特定值(记为cookie)。当真实客户端收到这个报文时,发现确认号不正确,将发送reset报文,并且sequence number 为cookie + 1。 而伪造的源,将不会有任何回应。这样我们就可以将真实的客户端IP加入白名单。

    TCP首包丢弃:

    该算法利用了TCP/IP协议的重传特性,来自某个源IP的第一个syn包到达时被直接丢弃并记录状态(五元组),在该源IP的第2个syn包到达时进行验证,然后放行。

    tcp rst攻擊

    原理

    正常情况下,客户端与服务器端不再通信时,需要通过四次挥手断开连接。利用该机制,用户可以手动发送 TCP 重置包,断开客户端与服务器之间的连接,干扰正常的数据传输。

    例子

    icmp重定向攻击

    netwox 86 功能:sniff and send ICMP4/ICMP6 redirect (嗅探和发送icmp重定向报文)

    cat /proc/sys/net/ipv4/conf/all/accept_redirects #打开重定向选项
    sysctl -w net.ipv4.conf.all.accept_redirects=1 #ip_forward与accept_redirects相反?sysctl命令用于运行时配置内核参数,-w临时修改。

    netwox 86 -f "host ${被攻击主机ip地址}" -g "${新指定的网关ip地址}" -i "${当前网关ip地址}"
    注:被攻击的主机需要有向外部发送的数据包
    	-f 用来过滤指定ip目标,不指定-f 就是针对所有主机
    

    攻击机:192.168.228.131

    网关:192.168.228.2

    攻击目标:192.168.228.157

    攻击者
    C:\Users\1.LI-THINKPAD\AppData\Roaming\Typora\typora-user-images\1584235099298.png

    攻击目标

    在这里插入图片描述

    tcp rst攻击

    环境

    在这里插入图片描述

    pc1与pc2 进行ssh连接

    在这里插入图片描述
    攻击者使用

    netwox 78 -i  192.168.228.154
    

    pc2出现
    在这里插入图片描述

    展开全文
  • a想给c发信息,这时候b劫持了某个路由器,然后进行中间人攻击声称自己是c,把自己公钥发给了a,这时候a以为是c发来公钥,就用这个公钥进行加密并传输自己本应传输给c内容,这时候b劫持内容,用自己私钥解密...
  • 然后在网络中再架设假冒DHCP服务器为客户端分发IP地址,从而来实现中间人攻击。什么是DHCP?DHCP,动态主机配置协议,前身是BOOTP协议,是一个局域网网络协议,使用UDP协议工作,常用2个端口:67(DHCP server),...
  • 一、ARP攻击概述 在上篇文章里,我给大家普及了ARP协议基本原理,包括ARP请求应答、数据包结构以及协议分层标准,今天我们...但凡局域网存在ARP攻击,都说明网络存在"中间人",我们可以用下图来解释。 在这..
  •   用 Chrome 扩展实现修改 ajax 请求响应 wincss 4 个月前 ...Fiddler 和 Charles 是常见的 HTTP 调试器,它们会在本地运行一个代理服务器,可以查看浏览器或...另外,两个软件都可以以“中间人攻击形式,...
  • ssh常见错误

    2012-07-24 10:19:33
    通过使用SSH,你可以把所有传输数据进行加密,这样"中间人"这种攻击方式就不可能实现了,而且也能够防止DNS和IP欺骗。还有一个额外好处就是传输数据是经过压缩,所以可以加快传输速度。SSH有很多功能,它...
  • ssh服务常见问题总结

    千次阅读 2013-11-14 16:59:48
    通过使用SSH,你可以把所有传输数据进行加密,这样"中间人"这种攻击方式就不可能实现了,而且也能够防止DNS和IP欺骗。还有一个额外好处就是传输数据是经过压缩,所以可以加快传输速度。SSH有很多功能,它...
  • 前言:上一篇提到了https依旧会有受到中间人攻击的风险,这一篇就来讲一下中间人攻击和相关的应对方法:ssl-pinning 中间人攻击 中间人攻击(Man-in-the-Middle Attack, MITM)是一种由来已久的网络入侵手段,...
  • 缺少相应安全校验很容易导致中间人攻击,而漏洞形式主要有以下3种: 自定义X509TrustManager。在使用HttpsURLConnection发起 HTTPS 请求时候,提供了一个自定义X509TrustManager,未实现安全校验逻辑,下面...
  • 缺少相应安全校验很容易导致中间人攻击,而漏洞形式主要有以下3种: 自定义X509TrustManager。在使用HttpsURLConnection发起 HTTPS 请求时候,提供了一个自定义X509TrustManager,未实现安全校验逻辑,...
  • 缺少相应安全校验很容易导致中间人攻击,而漏洞形式主要有以下3种: 自定义X509TrustManager。在使用HttpsURLConnection发起 HTTPS 请求时候,提供了一个自定义X509TrustManager,未实现安全校验逻辑,...
  • 从英文翻译而来-Ettercap是在LAN人在这方面的中间人攻击自由和开放源码网络安全工具。它可用于计算机网络协议分析和安全审核。它可以在各种类Unix操作系统(包括Linux,Mac OS X,BSD和Solaris)以及Microsoft ...
  • ARP监测工具Arpwatch

    2017-08-28 14:20:37
    ARP监测工具Arpwatch ARP协议是网络基础协议。基于ARP协议ARP攻击是局域网最为常见和有效攻击方式。ARP攻击可以通过发送伪造ARP包实施欺骗,实现各种中间人攻击。Arpwa...
  • seedlabARP中毒

    2020-12-26 13:27:23
    使用ARP中毒进行中间人攻击(代码位于底部) 二、实验原理 地址解析协议(ARP)是一种通信协议,用于发现给定IP地址链路层地址,例如MAC地址。ARP协议是一个非常简单协议,它没有实现任何安全措施。ARP缓存中毒...
  • 关于SSL这块,网上很多,但很多都是讲原理或怎么生成证书实现简单通信,没有讲到实践时...一般来讲,就是避免客户端向服务端传输数据时,被人拦截篡改,避免所谓的中间人攻击,防范钓鱼网站。关于它基础概念,可...
  • 关于SSL这块,网上很多,但很多都是讲原理或怎么生成证书实现简单通信,没有讲到实践时...一般来讲,就是避免客户端向服务端传输数据时,被人拦截篡改,避免所谓的中间人攻击,防范钓鱼网站。关于它基础概念,可...
  • ava SSL 证书细节

    2018-10-08 18:40:05
    关于SSL这块,网上很多,但很多都是讲原理或怎么生成证书实现简单通信,没有讲到实践时诸多...一般来讲,就是避免客户端向服务端传输数据时,被人拦截篡改,避免所谓的中间人攻击,防范钓鱼网站。 关于它基础...
  • Java SSL 证书细节

    2017-05-13 09:36:57
    关于SSL这块,网上很多,但很多都是讲原理或怎么生成证书实现简单通信,没有讲到实践时诸多...一般来讲,就是避免客户端向服务端传输数据时,被人拦截篡改,避免所谓的中间人攻击,防范钓鱼网站。 关于它基础概
  • 4.3.6 使用Fiddler脚本和AutoResponse自动发起中间人攻击 101 4.4 本章小结 103 5 浏览器扩展与插件安全问题 105 5.1 插件 106 5.1.1 ActiveX 106 5.1.2 ActiveX安全问题 107 5.1.3 ActiveX逻辑漏洞 108...
  • 黑帽子Python英文版

    2018-03-28 14:51:23
    作者在本书中很多实例都非常具有创新和启发意义, 如 HTTP 数据中图片检测、 基于 GitHub命令进行控制模块化木马、浏览器的中间人攻击技术、利用 COM 组件自动化技术窃取数据、通过进程监视和代码插入实现权限...
  • 入口过滤机制在防火墙和边界设备上的实现也是必要的,以缓解网络间的源地址伪造威胁。 合理的部署策略 在IPv6/IPv4共存时期,过渡技术的安全部署尤为重要。各种网络安全设备都要具备对IPv6和IPv4威胁的防护能力。...
  • asp.net知识库

    2015-06-18 08:45:45
    C#2.0 Singleton 的实现 .Net Framwork 强类型设计实践 通过反射调用類的方法,屬性,字段,索引器(2種方法) ASP.NET: State Server Gems 完整的动态加载/卸载程序集的解决方案 从NUnit中理解.NET自定义属性的应用...

空空如也

空空如也

1 2
收藏数 38
精华内容 15
关键字:

常见中间人攻击的实现