浅谈linux下arp入侵.docVIP

大家好，这次由我来给大家简单介绍下linux下的各种arp方法以及工具的使用。这次我们主要使用的是dsniff和Ettercap。关于他们的安装，网上内容很多，我就不介绍了，大家可以百度搜索。这里提醒大家注意下，需要根据本身系统的版本来找对应的安装程序 dsniff安装成功后，接下来就是实际的操作了。其中arp在win中最常见的就是目标网站信息的刺探，比如账号密码等，第二个就是内网的DNS欺骗，第三是挂马。下面我会依次介绍 首先是目标信息的嗅探，在win中我们常用的是cain，webmitm同时还要用arpspoof辅助。Webmitm可以用来劫持HTTP和HTTPS会话过程，捕获SSL的加密通信首先打开本机的路由转发功能echo 1 /proc/sys/net/ipv4/ip_forward 接下来进行iptables规则的设置，其中包括在嗅探HTTPS时的设置了，这里一起介绍： iptables -t nat -A PREROUTING -p tcp --dport 443 -j REDIRECT iptables -A FORWARD -j ACCEPT 跟着运行arpspoof，命令是: arpspoof -i eth0 33 运行后，结果如图1。 可以看到，已经开始嗅探了。接着我们在新的终端中执行： webmitm -d 接下来我们会被要求填写一系列信息，这个不重要，基本填写“.”或者根据要求填写就行。这时候显示如图2。 说明已经开始监听。最后要做的就是把webmitm得到的信息输入到一个文本中，使用命令： ssldump -n -d -k webmitm.crt | tee ssldump.log Ssldump.log就是输出的文件。 这时候，我们在233这台电脑上任意打开一个网站，都会发现BT5的终端中，数据迅速翻页，我们的http操作都会被记录，比如说我登陆黑客防线的网站，在登陆处输入账号echoeye，密码hellohack，在点击登陆。跟着我们将bt5中的ssldump.log复制到机器233上，方便查看，用notepad++打开，直接搜索echoeye，显示如图3。 我不过这里的密码已经被加密，在提交前就加密，应该是JS加密，这里就不研究啦。我们也可以搜索pass等关键字，迅速找到有效信息。 下面开始介绍arp中比较常见，但十分好使的一个攻击方式：DNS欺骗。DNS欺骗就是攻击者冒充域名服务器的一种欺骗行为。 说的通俗点，就是你访问A网站，但并没能访问到A网站的IP，而是直接转到了攻击者所设定好的IP。这次我们使用的工具是dnsspoof。它也是dsniff工具集中的一个。dnsspoof依赖2个三方库：libpcap , libnet。当dnsspoof嗅探到局域网内有DNS请求数据包，它会分析其内容，并用伪造的DNS响应包来回复请求者。我们直接开始说明使用方法。首先我们建立个文件，文件名为“dnsspoof.hosts”名字是可以自定义的，只要后面修改对应的参数就行，我们将该文件和dnsspoof放到一个文件夹下，修改dnsspoof.hosts的内容为： 33 意思是，将的IP指定到33也就是我们本机搭建的那个web上，我们可以改成自己搭建好的网站IP就行，然后保存。跟着在终端中执行： dnsspoof -i eth0 -f ./dnsspoof.hosts。 注意下，这里的dnsspoof.host就是你自己修改的文件的文件名和地址了。显示结果如图这里的意思已经开始监听，端口是53，其中01也就是本机是排除在外的，剩下的整个局域网都是被嗅探的范围。通过它访问百度，结果如图显示的直接是我们233这台搭建的网站。这样就说明DNS欺骗成功了。可能有人会说，嗅探整个局域网范围太大，那么我们能不能指定一台机器呢？当然可以，命令是： dnsspoof -i eth0 -f ./dnsspoof.hosts src 这时显示：dnsspoof: listening on eth0 [src ]，说明这是针对1机器的DNS欺骗ettercap。Ettercap 是中间人攻击的一整套工具，他可以自己编写过滤规则，这次我用的就是这个功能，首先我们写一个自己的过滤脚本。这里我给出 Mickey的以及网上的，两种都可以大家自己选择。 Mickey： if (to == TCP tcp.dst == 80) {if (search(DATA.data,”Accept-Encoding”)) {replace(“Accept-Encoding”,”Accept-Mousecat”);msg(“zapped Accept-Encoding!\n”);}}