一、实验环境
攻击者: kali2020.1虚拟机
受害者: windows7虚拟机
二.基础知识
1.ARP协议: ARP协议是一种基于ip地址获取物理地址的TCP/IP协议。 主机发送信息是指通过向局域网上的所有主机广播包含目标IP地址的ARP请求并接受回复消息,来决定目标的物理地址; 主机收到回复消息后,将其IP地址和物理地址保存在本地ARP缓存中,并保留一段时间。 下次主机请求此站点时,直接查询ARP表的缓存地址以节约资源。 该协议基于主机的相互信任,即该LAN上的所有主机都被视为诚实可信,主机认为响应消息的内容是真实的。
2 .由于ARP欺骗:主机未检测到消息的真实性,攻击者可以向一台主机发送假ARP回复消息,导致定时发送的消息未到达预期主机。
3.DNS介绍: DNS是一种将主机域名解析为IP地址的协议,解决了IP地址难以记住的问题。 一般来说,访问百度需要输入其ip地址,但有了DNS协议,只需输入www.baidu.com即可访问。
4.DNS欺骗原理(欺骗者发送目标和在该目标上构建的ARP应答分组,在ARP欺骗成功后,欺骗对方的DNS请求分组,并对分组进行分析以获得ID和端口号,然后再获取自己的DNS请求分组对方接收到后,将回复数据包中的域名及对应的IP地址保存在DNS缓存表中,当回复后续的实际DNS响应数据包时丢弃。
三、实验(DNS诈骗) :
首先打开虚拟机,修改kali的/etc/ettercap/etter.dns文件,然后将百度的域名连接到127.0.0.1
键入ettercap -G以打开ettercap的图形界面,然后选择一个网卡,从linux命令的ifconfig中可以看到所有网卡。
首先找到主机,然后单击主机列表以查看启用了LAN内存的主机。
检查受害者的网关和ip地址
然后,将网关和被攻击机ip分别设定为target1和target2
然后单击中介菜单选择“Arp定位”(Arp欺诈、毒化)
选择第一个,然后单击ok (嗅探器远程连接)
然后从ettercap菜单中选择管理插件
使用dns_spoof插件
然后我们再ping百度一下
返回的地址为127.0.0.1
我们访问http网站后,会直接跳转到攻击机的主页
如果我们在http页面上输入了账户密码
攻击机也可以嗅探的输入内容。
四.实验(获取目标浏览图像) :
这里使用一个叫driftnet的工具。 driftnet是一种简单易用的图像捕获工具,可以通过网络数据包轻松捕获图像。 该工具可以实时和脱机捕获指定数据包中的图像
首先,打开要输入driftnet -i eth0的终端。 这意味着使用driftnet拦截通过eth0网卡的流量并获取图像。
如果输入此语言,driftnet:command not find表示您的kali中没有driftnet。 在终端上输入apt-get install driftnet即可。
运行后出现下一个框架,
然后请受害者浏览网站(非https ),就可以看到图像显示。 记住了这个就可以看到回到学校时抛弃朋友的新资源(斜眼笑)。
见文章:
3359 www.Sohu.com/a/289585315 _ 609556
3359 blog.csdn.net/lixiangminghate/article/details/86563103