中间人攻击之ARP欺骗

今天网络安全课上学习了ARP欺骗DNS劫持，现在windows自带的防火墙能拦截，没啥用的了

中间人攻击：

中间人攻击（Man-in-the-MiddleAttack，简称“MITM攻击”）是一种“间接”的入侵攻击，这种攻击模式是通过各种技术手段将受入侵者控制的一台计算机虚拟放置在网络连接中的两台通信计算机之间，这台计算机就称为“中间人”。 SMB会话劫持、DNS欺骗等技术都是典型的MITM攻击手段。在黑客技术越来越多的运用于以获取经济利益为目标的情况下时，MITM攻击成为对网银、网游、网上交易等最有威胁并且最具破坏性的一种攻击方式。

ARP欺骗：

又称ARP毒化（ARP poisoning，网络上多译为ARP病毒）或ARP攻击，是针对以太网地址解析协议（ARP）的一种攻击技术，通过欺骗局域网内访问者PC的网关MAC地址，使访问者PC错以为攻击者更改后的MAC地址是网关的MAC，导致网络不通。此种攻击可让攻击者获取局域网上的数据包甚至可篡改数据包，且可让网络上特定计算机或所有计算机无法正常连线。例如：将自己的MAC地址分别发送给主机A和主机B，然后，欺骗主机A和B，让它们以为已经连接到对方实际上则是连接到中间人攻击者主机C上了。然后两者之间的通信都经过主机C。

实验目的：

监听并下载受害者在浏览器访问网站的图片（懂的都懂，对吧）除了这个还能让目标主机断网或限速

实验说明：

首先得知道靶机的ip和网关，并且防火墙是关闭状态，同一个局域网网关是相同的，知道靶机IP就行了

win下启动cmd输入ipconfig可以看到靶机IP是192.168.72.136 网关是192.168.72.2

然后来到kali，先确保kali里有driftnet

Driftnet监视网络流量，并选择并显示JPEG，GIF和其他图像格式进行显示。
它还可以从网络中提取MPEG音频数据并进行播放。
地址：https://github.com/deiv/driftnet

检查是否有driftnet工具，执行命令：driftnet -h
如果提示：bash：driftnet：command not found
就需要安装一下，执行命令：apt-get install driftnet

# 查看IP转发，1则表示开启,0则表示关闭
cat /proc/sys/net/ipv4/ip_forward

# 开启IP转发，命令的中0是禁止数据包转发，1表示允许，该命令的意思是把 1 写入 /proc/sys/net/ipv4/ip_forward 文件中
echo 1 >/proc/sys/net/ipv4/ip_forward

# 接下来启动 ettercap （一般kali自带有的）
ettercap -G

# 先扫描主机，再显示主机列表

# 把网关添加到Add to Target 1 ，靶机ip添加到Add Target 2

# 右边选择ARP投毒 -> ok

# 点击左边开始

# 现在已经启动了arp投毒，接下来新建终端启动driftnet（可以查看靶机浏览网站的图片）
driftnet -i eth0

# 回到win7靶机上，随便在浏览器打开一个http协议的网站，只能看到是http网站上的图， https网站上的图抓不到。

# 在kali可以监听到靶机浏览网站的图片

# 接下来可以把监听到的图片下载到指定目录下，例如保存到/tmp目录
driftnet -i eth0 -a -d /tmp

同时使用tcpdump抓包（当然也可以使用wireshark实时抓包并显示，但对本机压力比较大，建议使用tcpdump抓包，完成后再用wireshark显示）
经过一段时间的抓包之后就可以停止了。打开wireshark分析捕获到的数据包分析，使用过滤语法，找出含有cookies的数据包
复制出cookies的值，并在浏览器中利用，这里推荐一款好用的cooikes利用工具cookie-injecting-tools（地址：https://github.com/lfzark/cookie-injecting-tools）。
利用成功后，刷新页面，就可以进入到被人的主页和网盘了