ARP欺騙是局域網(wǎng)攻擊的老套路了,通過ARP欺騙加抓包的方法基本可以監(jiān)聽一切局域網(wǎng)內(nèi)的非加密流量,這里介紹一個不需要什么技術基礎的方法。
?
原理解釋
ARP欺騙攻擊原理非常簡單,通過發(fā)送虛假的ARP數(shù)據(jù),將自身設備偽裝成網(wǎng)關,讓受害設備建立錯誤的IP-MAC映射,從而將數(shù)據(jù)發(fā)送給攻擊者。通過ARP欺騙,我們可以在不接觸受害設備的情況下進行攻擊。
?
工具準備
Debookee: Mac平臺上一款優(yōu)秀的局域網(wǎng)嗅探軟件
WireShark: 抓包軟件,可以抓取通過網(wǎng)卡的一切數(shù)據(jù)包
?
?
ARP欺騙
Debookee有兩個模式
- NA - Network Analysis Module
- WM - WiFi Monitoring Module
?
這里我們主要用到的是NA模式,它的功能是實時監(jiān)控和分析網(wǎng)絡數(shù)據(jù),另外可以對局域網(wǎng)其他設備進行ARP欺騙從而攔截轉發(fā)其他設備的數(shù)據(jù)流量。它目前支持HTTP,DNS,TCP,DHCP,SIP,RTP(VoIP)協(xié)議。
?
- 設備嗅探
首先點擊Start LanScan對局域網(wǎng)設備進行掃描
?
- 設定ARP欺騙目標
選擇你想攻擊的目標,點擊Toggle Target,將它設置為目標。這里我的手機作為目標,監(jiān)聽它的活動。
?
- 開始ARP欺騙
點擊Start NA,Debookee就會自動發(fā)起ARP請求,欺騙所選擇的設備,這樣我們就可以讓目標的流量均通過我們的設備轉發(fā),從而實現(xiàn)中間人攻擊。
通過圖我們可以看到,設備所進行的網(wǎng)絡請求已經(jīng)都被我們所捕獲。
?
通過WireShark獲取更詳細的信息
Debookee雖然能夠查看網(wǎng)絡請求,但是數(shù)據(jù)很簡單,看不到詳情,如果想看的每個請求的詳情,我們需要借助WireShark來實現(xiàn)。這里我們捕捉手機上
/星塵盒子 for 300英雄/這款App的通訊流量作為例子。
?
同時打開Debookee和WireShark。WireShark中選擇我們監(jiān)聽使用的網(wǎng)卡作為數(shù)據(jù)源。
首先看Debookee的監(jiān)聽結果
顯然這個就是我們想獲得的數(shù)據(jù)包,我們通過訪問的域名,在DNS數(shù)據(jù)包中查詢它對應的IP。
現(xiàn)在我們通過這些信息在WireShark中進行數(shù)據(jù)過濾
輸入過濾器(源ip、目的ip、協(xié)議類型)
ip.src==192.168.1.4 && ip.addr==221.228.108.73 && http
![Uploading 6_148021.png . . .]
?
找到了我們要找的這個請求之后,我們需要追蹤HTTP流
?
追蹤完畢后,修改一下編碼,被監(jiān)聽設備的網(wǎng)絡請求內(nèi)容就盡收眼底了
