iT邦幫忙

2024 iThome 鐵人賽

DAY 19
0

今天的分享是中間人攻擊(MITM),會介紹兩種工具(Bettercap與Ettercap)的使用:

Man In The Middle Attack(中間人攻擊)

  • 簡介
    • 首先介紹中間人攻擊(Man in the Middle Attack)的理論與實作。
    • 該攻擊在某些網路滲透測試中很有用,但並非每個網路都容易受到這種攻擊。
    • 主要用於嗅探區域網路中的信息。
  • 網路中的設備與通訊
    • 家庭網路通常包含多台設備與路由器,每次與網頁通訊時,都是通過路由器進行。
    • 每台設備都有 IP 位址和 MAC 位址,路由器使用 ARP 封包和 ARP 表來確定將封包發送給哪一台設備。
  • ARP(地址解析協議)封包
    • ARP 請求:機器 A 向網路中的所有設備廣播請求,詢問某個 IP 位址對應的 MAC 位址。
    • ARP 回應:目標設備回應並提供其 MAC 位址,從而允許機器 A 與其通訊。
  • ARP 欺騙
    • 攻擊者可以偽造 ARP 回應,告訴受害設備(如機器 A)攻擊者的 MAC 位址是路由器的 IP 位址。
    • 當受害設備發送請求給路由器時,實際上會先發送給攻擊者,然後由攻擊者轉發給真正的路由器。
    • 攻擊者還可以告訴路由器,他們是機器 A,從而獲得雙向通信的控制權。
  • 攻擊過程
    • 受害設備(如機器 A)請求訪問網站(如 Facebook)。
    • 請求首先發送給攻擊者,然後由攻擊者轉發給路由器,最終傳送到網站伺服器。
    • 網站回應的數據也會經過攻擊者,攻擊者可以嗅探並查看未加密的數據,如瀏覽的網站和傳送的密碼。
  • 攻擊的目的
    • 攻擊者可能希望能夠嗅探網路中其他設備的數據。
    • 攻擊者還可以查看其他設備正在訪問哪些網站,並在通信未加密的情況下獲取密碼等敏感信息。
  • 小結
    • 中間人攻擊通過 ARP 欺騙來攔截並轉發數據,受害者在不知情的情況下進行網路通信。
    • 攻擊者可以使用這種技術來監視和篡改通信內容。
    • 接下來的課程將展示如何使用各種工具來實施這種攻擊。

Bettercap ARP Spoofing

  • 介紹
    -接下來將介紹使用 Bettercap 工具進行 ARP 欺騙攻擊來實施中間人攻擊。

    • Bettercap 是一款強大的網路攻擊工具,可以用於多種網路滲透測試。
  • 準備

    • Bettercap 需要手動安裝,使用 apt-get install bettercap 進行安裝。(-y是遇到yes/no都直接幫你選yes)
    • 建議在 Kali Linux 中以 root 權限執行,以避免因權限不足而導致工具或設定無法正常運行。
  • 啟動 Bettercap

    • 使用 bettercap 命令進入 Bettercap 框架。
    • 可以使用 help 命令查看可用的指令和模組。
  • 模組說明

    • net.probe 模組:
      • 用於探測網路中的在線設備。
      • 使用 net.probe on 啟動模組,會發送 UDP 封包給子網中的每個 IP 地址,並發現網路上的在線設備。
    • arp.spoof 模組:
      • 用於進行 ARP 欺騙,實施中間人攻擊。
      • 重要參數:
        • arp.spoof.fullduplex:設置為 true 時,將同時攻擊目標和網關;否則僅攻擊目標。
        • arp.spoof.targets:設置要攻擊的目標 IP 地址。
    • net.sniff 模組:
      • 用於嗅探網路封包,查看目標設備的網路活動。
      • 重要參數:
        • net.sniff.local:設置為 true 時,僅嗅探到/從本機發送的封包。
  • 實施攻擊

    • 設置參數並啟動模組:

      • set arp.spoof.fullduplex true
      • set arp.spoof.targets [目標 IP 地址]
      • set net.sniff.local true
      • 啟動 ARP 欺騙與封包嗅探:
        • arp.spoof on
        • net.sniff on
    • 當目標設備訪問網頁時,可以看到相關的請求封包。

  • 自動化運行

    • 可以將所有命令保存至一個名為 sniff.cap 的檔案中。
    • 使用以下命令自動運行:
      • bettercap -iface [網卡介面] -caplet sniff.cap

  • 小結

    • Bettercap 是一款強大的網路攻擊工具,通過 ARP 欺騙進行中間人攻擊,可以嗅探網路中的敏感信息。

Ettercap Password Sniffing

  • 介紹
    • Ettercap 是一款用於執行中間人攻擊的工具,類似於之前介紹的 Bettercap。
    • Ettercap 已預裝在 Kali Linux 中,並且具有圖形介面,使得操作更為直觀和簡單。
  • 啟動 Ettercap
    • 在終端機中以 root 權限執行 Ettercap,以確保所有功能正常運行。
    • 若在執行 Ettercap 前沒有啟用封包轉發,可能會導致目標無法訪問網頁。
  • 啟用封包轉發
    • 檢查封包轉發是否啟用:
      • cat /proc/sys/net/ipv4/ip_forward
      • 若值為 0,表示封包轉發未啟用,需手動啟用。
    • 啟用封包轉發:
      • echo 1 > /proc/sys/net/ipv4/ip_forward
      • 再次檢查該檔案,確認值已變為 1
  • 使用 Ettercap
    • 以圖形界面模式啟動 Ettercap:
      • ettercap -G(確保 "ettercap" 為小寫)
    • 開啟 Ettercap 後,選擇網路介面(如 eth0)並啟動嗅探。
  • 發現網路設備
    • 點擊「Scan for hosts」按鈕掃描網路上的所有設備,並顯示它們的 IP 和 MAC 地址。
    • 選擇要攻擊的目標,並將其添加到 Target 1。

  • ARP 欺騙
    • 開啟「ARP Poisoning」進行 ARP 欺騙:
      • 開始對選定的目標進行 ARP 欺騙並嗅探封包。
    • Ettercap 會顯示目標設備發送的未加密用戶名和密碼。
  • 檢查是否被 ARP 欺騙
    • 在被攻擊的目標設備上,使用 arp -a 指令查看 ARP 快取表。
    • 如果多個 IP 地址顯示相同的 MAC 地址,則可能正在遭受中間人攻擊。

上一篇
15: 資安滲透初探: Python 編程項目 3 - 登錄暴力破解、目錄發現
下一篇
16: 資安滲透初探: 番外: 無線接入點破解
系列文
從零開始:資安滲透初探30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言