今天的分享是中間人攻擊(MITM),會介紹兩種工具(Bettercap與Ettercap)的使用:

Man In The Middle Attack(中間人攻擊)

• 簡介：
  • 首先介紹中間人攻擊（Man in the Middle Attack）的理論與實作。
  • 該攻擊在某些網路滲透測試中很有用，但並非每個網路都容易受到這種攻擊。
  • 主要用於嗅探區域網路中的信息。
• 網路中的設備與通訊：
  • 家庭網路通常包含多台設備與路由器，每次與網頁通訊時，都是通過路由器進行。
  • 每台設備都有 IP 位址和 MAC 位址，路由器使用 ARP 封包和 ARP 表來確定將封包發送給哪一台設備。
• ARP（地址解析協議）封包：
  • ARP 請求：機器 A 向網路中的所有設備廣播請求，詢問某個 IP 位址對應的 MAC 位址。
  • ARP 回應：目標設備回應並提供其 MAC 位址，從而允許機器 A 與其通訊。
• ARP 欺騙：
  • 攻擊者可以偽造 ARP 回應，告訴受害設備（如機器 A）攻擊者的 MAC 位址是路由器的 IP 位址。
  • 當受害設備發送請求給路由器時，實際上會先發送給攻擊者，然後由攻擊者轉發給真正的路由器。
  • 攻擊者還可以告訴路由器，他們是機器 A，從而獲得雙向通信的控制權。
• 攻擊過程：
  • 受害設備（如機器 A）請求訪問網站（如 Facebook）。
  • 請求首先發送給攻擊者，然後由攻擊者轉發給路由器，最終傳送到網站伺服器。
  • 網站回應的數據也會經過攻擊者，攻擊者可以嗅探並查看未加密的數據，如瀏覽的網站和傳送的密碼。
• 攻擊的目的：
  • 攻擊者可能希望能夠嗅探網路中其他設備的數據。
  • 攻擊者還可以查看其他設備正在訪問哪些網站，並在通信未加密的情況下獲取密碼等敏感信息。
• 小結：
  • 中間人攻擊通過 ARP 欺騙來攔截並轉發數據，受害者在不知情的情況下進行網路通信。
  • 攻擊者可以使用這種技術來監視和篡改通信內容。
  • 接下來的課程將展示如何使用各種工具來實施這種攻擊。

Bettercap ARP Spoofing

• 介紹：
  -接下來將介紹使用 Bettercap 工具進行 ARP 欺騙攻擊來實施中間人攻擊。

  • Bettercap 是一款強大的網路攻擊工具，可以用於多種網路滲透測試。

• 準備：

  • Bettercap 需要手動安裝，使用 apt-get install bettercap 進行安裝。(-y是遇到yes/no都直接幫你選yes)
  • 建議在 Kali Linux 中以 root 權限執行，以避免因權限不足而導致工具或設定無法正常運行。
    

• 啟動 Bettercap：

  • 使用 bettercap 命令進入 Bettercap 框架。
    
  • 可以使用 help 命令查看可用的指令和模組。

• 模組說明：

  • net.probe 模組：
    • 用於探測網路中的在線設備。
    • 使用 net.probe on 啟動模組，會發送 UDP 封包給子網中的每個 IP 地址，並發現網路上的在線設備。
      
  • arp.spoof 模組：
    • 用於進行 ARP 欺騙，實施中間人攻擊。
    • 重要參數：
      • arp.spoof.fullduplex：設置為 true 時，將同時攻擊目標和網關；否則僅攻擊目標。
      • arp.spoof.targets：設置要攻擊的目標 IP 地址。
  • net.sniff 模組：
    • 用於嗅探網路封包，查看目標設備的網路活動。
    • 重要參數：
      • net.sniff.local：設置為 true 時，僅嗅探到/從本機發送的封包。

• 實施攻擊：

  • 設置參數並啟動模組：

    • set arp.spoof.fullduplex true
    • set arp.spoof.targets [目標 IP 地址]
    • set net.sniff.local true
    • 啟動 ARP 欺騙與封包嗅探：
      • arp.spoof on
      • net.sniff on

  • 當目標設備訪問網頁時，可以看到相關的請求封包。
    

    

• 自動化運行：

  • 可以將所有命令保存至一個名為 sniff.cap 的檔案中。
  • 使用以下命令自動運行：

    • bettercap -iface [網卡介面] -caplet sniff.cap
      

      

• 小結：

  • Bettercap 是一款強大的網路攻擊工具，通過 ARP 欺騙進行中間人攻擊，可以嗅探網路中的敏感信息。

Ettercap Password Sniffing

• 介紹：
  • Ettercap 是一款用於執行中間人攻擊的工具，類似於之前介紹的 Bettercap。
  • Ettercap 已預裝在 Kali Linux 中，並且具有圖形介面，使得操作更為直觀和簡單。
• 啟動 Ettercap：
  • 在終端機中以 root 權限執行 Ettercap，以確保所有功能正常運行。
  • 若在執行 Ettercap 前沒有啟用封包轉發，可能會導致目標無法訪問網頁。
• 啟用封包轉發：
  • 檢查封包轉發是否啟用：
    • cat /proc/sys/net/ipv4/ip_forward
    • 若值為 0，表示封包轉發未啟用，需手動啟用。
      
  • 啟用封包轉發：
    • echo 1 > /proc/sys/net/ipv4/ip_forward
    • 再次檢查該檔案，確認值已變為 1。
• 使用 Ettercap：
  • 以圖形界面模式啟動 Ettercap：
    • ettercap -G（確保 "ettercap" 為小寫）
      
  • 開啟 Ettercap 後，選擇網路介面（如 eth0）並啟動嗅探。
    
• 發現網路設備：
  • 點擊「Scan for hosts」按鈕掃描網路上的所有設備，並顯示它們的 IP 和 MAC 地址。
  • 選擇要攻擊的目標，並將其添加到 Target 1。
    
    
• ARP 欺騙：
  • 開啟「ARP Poisoning」進行 ARP 欺騙：
    • 開始對選定的目標進行 ARP 欺騙並嗅探封包。
      
  • Ettercap 會顯示目標設備發送的未加密用戶名和密碼。
    
• 檢查是否被 ARP 欺騙：
  • 在被攻擊的目標設備上，使用 arp -a 指令查看 ARP 快取表。
  • 如果多個 IP 地址顯示相同的 MAC 地址，則可能正在遭受中間人攻擊。