中间人攻击手法详解<\/h1>

中间人攻击简介<\/h2>
中间人攻击（Man-in-the-Middle Attack，简称MITM攻击）是一种网络安全攻击，攻击者通过在通信的两端之间插入恶意节点，从而达到监视、篡改或劫持通信流量的效果。<\/p>

常见中间人攻击手法<\/h3>

ARP欺骗(ARP Spoofing)<\/strong>: 攻击者发送ARP欺骗包，让受害者误认为攻击者的MAC地址是目的IP对应的MAC地址，从而将流量导向攻击者。<\/p> <\/li>
DNS欺骗(DNS Spoofing)<\/strong>: 攻击者篡改DNS服务器的记录，使受害者访问网站时被重定向到攻击者控制的网站。<\/p> <\/li>
SSL压制(SSL Stripping)<\/strong>: 攻击者压制受害者和服务器之间的SSL\/TLS加密连接，使用明文传输窃取信息。<\/p> <\/li>
WiFi伪装(Evil Twin)<\/strong>: 攻击者设置一个与正规WiFi相似的假冒网络，诱使用户连接，获取网络流量。<\/p> <\/li>

会话劫持(Session Hijacking)<\/strong>: 攻击者通过获取会话标识符，接管受害者与服务器之间的会话。<\/p> <\/li> <\/ol>
ARP欺骗攻击详解<\/h2>
ARP协议原理<\/h3>
地址解析协议（ARP）是根据IP地址获取物理地址的TCP\/IP协议。主机发送包含目标IP地址的ARP请求广播到局域网络上的所有主机，并接收返回消息确定目标的物理地址。<\/p>
ARP欺骗手法<\/h3>

攻击者使用ARP欺骗工具发送ARP响应报文，声称自己的MAC地址是受害者要找的IP的MAC。<\/li>
受害者接收到响应后会更新自己的ARP缓存，之后发往该IP的流量就会发往攻击者。<\/li> <\/ol>
ARP欺骗效果<\/h3>

窃听通信内容<\/li>
劫持会话<\/li>
进行网站钓鱼等攻击<\/li>
控制受害者和服务器之间的通信<\/li>
修改传输的数据包内容<\/li>
选择性劫持部分特定流量<\/li> <\/ul>
实际操作步骤<\/h3>

网络拓扑准备<\/strong>:<\/p>

受害者：192.168.243.128 (00-0C-29-12-DC-7A)<\/li>
攻击者：192.168.243.129 (00:0c:29:f7:fb:a8)<\/li>
提前开启抓包工具对虚拟网卡进行抓包<\/li> <\/ul> <\/li>

执行ARP欺骗命令<\/strong>:<\/p>
arpspoof -i <网卡接口> -t <目标的内网地址> <网关ip> <\/span><\/span><\/code><\/pre><\/li> 验证攻击效果<\/strong>:<\/p> 在抓包软件中可以看到攻击者发出大量ARP response包<\/li> 检查受害者设备的ARP表，发现网关地址的MAC已被污染为攻击者的MAC<\/li> <\/ul> <\/li> 流量转发设置<\/strong>:<\/p> su - <\/span><\/span>echo 1<\/span> >\/proc\/sys\/net\/ipv4\/ip_forward <\/span><\/span><\/code><\/pre> 0为不转发，1为启用流量转发<\/li> 启用后受害者可以正常上网，同时流量被攻击者截获<\/li> <\/ul> <\/li> <\/ol> DNS劫持攻击详解<\/h2> DNS劫持原理<\/h3> DNS劫持通过伪造DNS响应欺骗受害者，将域名解析到攻击者控制的IP地址。<\/p> DNS劫持手法<\/h3> 欺骗受害者的DNS服务器，发送虚假的域名解析响应<\/li> 中毒本地网络的DNS缓存服务器<\/li> 通过ARP欺骗成为"中间人"<\/li> 攻击域名注册商或云服务器<\/li> <\/ol> DNS劫持效果<\/h3> 受害者连接到攻击者指定的错误IP地址<\/li> 流量重定向到钓鱼网站或恶意服务器<\/li> 中间人攻击受害者与服务器的通信<\/li> 选择性劫持特定域名<\/li> 记录受害者的上网记录<\/li> <\/ul> 实际操作步骤<\/h3> 搭建DNS服务器<\/strong>:<\/p> 使用AdGuard搭建DNS服务器<\/li> 关闭过滤规则、DNS黑白名单<\/li> 项目地址: https:\/\/github.com\/AdguardTeam\/AdGuardHome<\/li> <\/ul> <\/li> ARP欺骗下的DNS劫持<\/strong>:<\/p> 首先完成ARP欺骗成为中间人<\/li> 使用wireshark确认受害者默认DNS服务器(如192.168.243.2)<\/li> 使用iptables重定向DNS流量: iptables -t nat -A PREROUTING -p udp --dport 53<\/span> -d 192.168.243.2 -j DNAT --to-destination 192.168.243.129:53 <\/span><\/span><\/code><\/pre><\/li> 检查nat表规则: iptables -t nat -L <\/span><\/span>iptables -L <\/span><\/span><\/code><\/pre><\/li> 删除规则命令: iptables -t nat -D PREROUTING -p udp --dport 53<\/span> -j REDIRECT --to-port 5353<\/span> <\/span><\/span>iptables -t nat -D PREROUTING -p udp --dport 53<\/span> -d 8.8.8.8 -j DNAT --to-destination 127.0.0.1:53 <\/span><\/span><\/code><\/pre><\/li> <\/ul> <\/li> 直接修改受害者DNS<\/strong>:<\/p> 控制受害者网络出口路由器或其电脑权限<\/li> 修改电脑或路由器上的DNS为攻击者的DNS服务器<\/li> <\/ul> <\/li> <\/ol> HTTP\/HTTPS流量劫持详解<\/h2> 工具准备 - mitmproxy<\/h3> mitmproxy是一个交互式的中间代理HTTP和HTTPS的控制台界面。<\/p> 特点<\/h4> 中间人代理，拦截和修改流量<\/li> 保存完整的HTTP会话<\/li> 重放HTTP对话<\/li> 反向代理模式<\/li> 透明代理模式<\/li> 使用Python脚本化更改HTTP流量<\/li> SSL\/TLS证书即时生成<\/li> <\/ul> 工具使用<\/h4> mitmproxy<\/code>: 命令行界面<\/li> mitmdump<\/code>: 命令行模式，类似tcpdump<\/li> mitmweb<\/code>: Web界面<\/li> <\/ul> 启动命令: mitmweb<\/code> (默认监听8080端口)<\/p> 流量重定向方法<\/h3> ARP欺骗后的流量重定向<\/strong>:<\/p> # 将所有访问80和443流量转发至8080端口<\/span> <\/span><\/span>iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80<\/span> -j REDIRECT --to-port 8080<\/span> <\/span><\/span>iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 443<\/span> -j REDIRECT --to-port 8080<\/span> <\/span><\/span> <\/span><\/span># 只转发指定IP的流量<\/span> <\/span><\/span>iptables -t nat -A PREROUTING -s 192.168.243.128 -p tcp --dport 80<\/span> -j REDIRECT --to-ports 8080<\/span> <\/span><\/span>iptables -t nat -A PREROUTING -s 192.168.243.128 -p tcp --dport 443<\/span> -j REDIRECT --to-ports 8080<\/span> <\/span><\/span><\/code><\/pre><\/li> DNS劫持后的流量重定向<\/strong>:<\/p> 对要劫持的域名进行DNS重写<\/li> <\/ul> <\/li> 非标准端口的流量重定向<\/strong>:<\/p> iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 8443<\/span> -j REDIRECT --to-port 8080<\/span> <\/span><\/span><\/code><\/pre><\/li> <\/ol> 信任根证书后的流量劫持<\/h3> 证书安装方法<\/h4> 自动安装<\/strong>:<\/p> 启动mitmproxy并配置目标设备代理设置<\/li> 在设备浏览器访问mitm.it<\/li> 选择对应平台的证书安装<\/li> <\/ul> <\/li> 手动安装<\/strong>:<\/p> mitmproxy CA证书位于~\/.mitmproxy<\/code><\/li> 包含以下文件: mitmproxy-ca-cert.pem<\/code>: PEM格式证书<\/li> mitmproxy-ca-cert.p12<\/code>: PKCS12格式证书(用于Windows)<\/li> mitmproxy-ca-cert.cer<\/code>: 与.pem相同(某些Android设备需要)<\/li> <\/ul> <\/li> <\/ul> <\/li> <\/ol> 具体安装步骤<\/h4> 手动导入根证书<\/strong>:<\/p> 双击证书文件导入本地计算机<\/li> 选择"受信任的根证书颁发机构"<\/li> <\/ul> <\/li> 命令行导入根证书<\/strong>(需要管理员权限):<\/p> CertUtil -enterprise -f<\/span> -addstore Root .\mitmproxy-ca-cert.cer <\/span><\/span><\/code><\/pre><\/li> <\/ol> 防护措施<\/h2> 不忽略HTTPS证书警告<\/strong>:<\/p> 当出现证书错误时不要强行继续访问<\/li> <\/ul> <\/li> 加强根证书管控<\/strong>:<\/p> 不安装可疑的根证书<\/li> 监控证书存储位置: 当前用户证书: HKEY_CURRENT_USER\Software\Microsoft\SystemCertificates<\/code><\/li> 本地计算机证书: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates<\/code><\/li> <\/ul> <\/li> <\/ul> <\/li> 使用HIPS工具<\/strong>:<\/p> 如火绒等工具监控相关注册表变更<\/li> <\/ul> <\/li> 网络层防护<\/strong>:<\/p> 使用静态ARP表<\/li> 部署ARP防护软件<\/li> 使用DNSSEC保护DNS查询<\/li> <\/ul> <\/li> 安全意识<\/strong>:<\/p> 不连接可疑WiFi网络<\/li> 定期检查网络设置<\/li> 使用VPN加密所有流量<\/li> <\/ul> <\/li> <\/ol>

中间人攻击手法详解<\/h1>

中间人攻击简介<\/h2> 中间人攻击（Man-in-the-Middle Attack，简称MITM攻击）是一种网络安全攻击，攻击者通过在通信的两端之间插入恶意节点，从而达到监视、篡改或劫持通信流量的效果。<\/p>

ARP协议原理<\/h3> 地址解析协议（ARP）是根据IP地址获取物理地址的TCP\/IP协议。主机发送包含目标IP地址的ARP请求广播到局域网络上的所有主机，并接收返回消息确定目标的物理地址。<\/p>

DNS劫持攻击详解<\/h2>

DNS劫持原理<\/h3> DNS劫持通过伪造DNS响应欺骗受害者，将域名解析到攻击者控制的IP地址。<\/p>

HTTP\/HTTPS流量劫持详解<\/h2>

工具准备 - mitmproxy<\/h3> mitmproxy是一个交互式的中间代理HTTP和HTTPS的控制台界面。<\/p>

信任根证书后的流量劫持<\/h3>

中间人攻击简介<\/h2>
中间人攻击（Man-in-the-Middle Attack，简称MITM攻击）是一种网络安全攻击，攻击者通过在通信的两端之间插入恶意节点，从而达到监视、篡改或劫持通信流量的效果。<\/p>

ARP协议原理<\/h3>
地址解析协议（ARP）是根据IP地址获取物理地址的TCP\/IP协议。主机发送包含目标IP地址的ARP请求广播到局域网络上的所有主机，并接收返回消息确定目标的物理地址。<\/p>

DNS劫持原理<\/h3>
DNS劫持通过伪造DNS响应欺骗受害者，将域名解析到攻击者控制的IP地址。<\/p>

工具准备 - mitmproxy<\/h3>
mitmproxy是一个交互式的中间代理HTTP和HTTPS的控制台界面。<\/p>