中间人攻击（Man-in-the-Middle Attack，简称MITM攻击）是一种常见的网络安全威胁，其目标是在通信过程中拦截和篡改数据。在这种攻击中，攻击者通过将自己置于通信双方之间，可以窃取敏感信息、修改传输数据，甚至完全篡改通信内容。

 

1、SSLStrip攻击

SSLStrip攻击是一种针对使用HTTPS加密通信的网站的中间人攻击。攻击者通过将HTTPS连接降级为不安全的HTTP连接来执行此攻击。当用户试图连接到一个使用HTTPS的网站时，攻击者将其重定向到一个看似相同但实际上是不安全的HTTP网站，从而窃取用户的敏感信息。

 

2、ARP欺骗攻击（适用于局域网工作组）

ARP（Address Resolution Protocol）欺骗攻击是一种针对局域网的中间人攻击。攻击者发送虚假的ARP响应消息，欺骗目标设备将其通信流量发送到攻击者控制的设备上，从而实现对通信内容的窃取和篡改。

 

3、DNS欺骗攻击（适用于局域网工作组）

DNS（Domain Name System）欺骗攻击是一种针对域名解析过程的中间人攻击。攻击者篡改DNS响应，将受害者的域名解析请求重定向到攻击者控制的恶意服务器上，从而使受害者误入陷阱网站或泄露敏感信息。

 

4、SSL劫持攻击

SSL劫持攻击是一种针对使用SSL/TLS加密通信的应用程序的中间人攻击。攻击者通过伪造数字证书或利用受信任的证书颁发机构（CA）的漏洞，从而欺骗用户相信他们与目标网站建立了安全连接，实际上所有通信都经过攻击者控制。

 

5、WiFi中间人攻击

WiFi中间人攻击是一种针对无线网络的中间人攻击。攻击者通过创建恶意的WiFi访问点，欺骗用户连接到它，然后截取和篡改用户的通信数据。

 

6、蓝牙中间人攻击

蓝牙中间人攻击是一种针对蓝牙通信的中间人攻击。攻击者通过欺骗蓝牙设备之间的配对过程或利用蓝牙协议的漏洞，窃取或篡改蓝牙通信数据。

 

#单向欺骗：

攻击机伪造数据包后本应该传输给靶机的数据错误的传输给攻击机，使靶机得不到服务器的响应数据，甚至根本无法将数据包发送出局域网。

#双向欺骗：

攻击机一直发送伪造的数据包，欺骗网关自己是靶机，欺骗靶机自己是网关，同时开启路由转发功能，就可以让靶机在正常上网的情况下截获网络数据包，所有数据都会经过攻击机再转发给靶机。

#防护手段：

1、IP与MAC地址绑定：

添加arp路由表：arp -s 192.168.139.2 00-50-56-ea-5b-f0

查看网络的IDX：netsh i i show in

添加idx11的绑定：netsh -c "i i" add neighbors 11 "192.168.139.2" "00-50-56-ea-5b-f0"

删除idx17的绑定：netsh -c "i i" del neighbors 11

2、安装ARP防护防火墙

3、动态ARP检测与缓存清理

 

实验：

1、虚拟机实验-ARP欺骗-单向欺骗断网

2、虚拟机实验-ARP欺骗-双向欺骗绕过绑定

3、真实机实验-ARP欺骗-双向欺骗绕过截获数据

4、真实机实验-DNS劫持-双向欺骗配合解析钓鱼

 

Arpspoof Wireshark 科来网络分析系统

Arpspoof Windows:

https://github.com/alandau/arpspoof

Arpspoof Linux:

apt-get install dsniff

https://www.wireshark.org/

https://www.colasoft.com.cn/products/capsa.php

 

Windows

管理员运行：https://github.com/alandau/arpspoof

arpspoof.exe 192.168.0.100

双向欺骗，让0.100以为本机是网关，让网段以为本机是0.100，

自带转发，使通讯正常后，配合抓包工具对目标流量进行截获。

 

Linux kali

1、开启转发

echo 1 >> /proc/sys/net/ipv4/ip_forward

2、开启欺骗：

arpspoof -i eth1 -r 192.168.0.1 -t 192.168.0.100

-i 指定进行arp攻击的网卡

-t 目标主机IP

-r 进行双向攻击

最后为网关的IP地址

3、WireShark&科来网络分析系统：

ip.addr==192.168.0.100

 

DNS欺骗：

https://github.com/Ettercap/ettercap

1、修改解析并启动

2、工具打开选择网卡

3、扫描当前网卡IP列表

4、选择攻击目标和网关

5、配置arp及插件启用