MITM（中间人攻击）原理及防范初探（一）

不知道大家是否还记得，去年一个名为TH4CK的组织撸翻了很多大论坛，时候大家纷纷对其技术使用猜想，有说0day的，有说dns劫持的，也有说C段神马的，当然也有arp搞机房的，不管怎样，今儿我们讲的MITM其中一种手法就是arp欺骗（好吧，我承认这一段是我用来凑字数开头的）

额，步骤什么的网上都有，我就用我不太好的描述能力说说原理和防范吧，水平有限，还请大家多多指教

测试环境：

网关：172.16.1.1

测试主机：Ubuntu 12.04 LTS

IP：172.16.1.31

目标主机：Android设备 4.2

IP:172.16.1.11

一、利用ettercap进行arp欺骗及劫持明文口令

arp欺骗原理：

首先科普一下，arp欺骗是怎么做到的？

假设在我的网段内

一个Hub接了3台设备

Host0 Host1 Host2 其中

Host0地址为：IP：172.16.1.1 MAC: AA-AA-AA-AA-AA-AA

Host1的地址为：IP：172.16.1.2 MAC: BB-BB-BB-BB-BB-BB

Host2的地址为：IP：172.16.1.3 MAC: CC-CC-CC-CC-CC-CC

在正常情况下，Host2的arp信息如下：

Interface: 172.16.1.1 on Interface 0×1000003

Internet Address Physical Address Type

172.16.1.3 CC-CC-CC-CC-CC-CC dynamic

现在扯淡的Host1进行arp欺骗

Host1向Host0发送一个自己伪造的ARP应答，而这个应答中的数据为发送方IP地址是172.16.1.3（Host2的IP地址），MAC地址是SB-SB-SB-SB-SB-SB（Host2的MAC地址本来应该是CC-CC-CC-CC-CC-CC，这里被伪造了）。当Host0接收到Host1伪造的ARP应答，就会更新本地的 ARP缓存（Host0不明真相，不知道被伪造）。而且Host0不知道其实是从Host1发送过来的，Host0这里只有172.16.1.3（Host2的IP地址）和无效的SB-SB-SB-SB-SB-SB
mac地址

毒化后，arp如下：

Interface: 172.16.1.1 on Interface 0×1000003

Internet Address Physical Address Type

172.16.1.3 SB-SB-SB-SB-SB-SB dynamic

这不是小事，这个假的mac提交到Host0后根本就ping不通Host2，当局域网内，一台机子反复的向一个地方发无效的arp应答包，如果这个机器是网关，那会怎样？网络堵塞，还不指，如果我们欺骗的是目标主机我这台机子是网关，那么目标主机每每通过网关的包都会发到我这里，嗯，邪恶的事情你就可以做了～

下面是我差不多演示一下～

打开ettercap





打开图形界面后选sniff，选择你的网卡状态





在host选项卡中选scan，扫描后选host list列出主机，选择你的目标主机（也就是前面说的Host2）





然后添加到target 1

然后选择网关，添加到target2

这里就是说，我和目标主机说，我是网关





然后在MITM选项卡中选择arp poisoning然后选sniff





之后你就可以查看一下目标主机的arp（我这里手机不方便截图。。。）

刚刚我们说了，还要做明文的劫听～

选start选项卡中的start sniffing





文笔差，纯属科普，原理可能讲述的不好，我之后的文章会尽力写清爽