ARP欺骗是局域网攻击的老套路了,通过ARP欺骗加抓包的方法基本可以监听一切局域网内的非加密流量,这里介绍一个不需要什么技术基础的方法。
原理解释
ARP欺骗攻击原理非常简单,通过发送虚假的ARP数据,将自身设备伪装成网关,让受害设备建立错误的IP-MAC映射,从而将数据发送给攻击者。通过ARP欺骗,我们可以在不接触受害设备的情况下进行攻击。
工具准备
Debookee: Mac平台上一款优秀的局域网嗅探软件
WireShark: 抓包软件,可以抓取通过网卡的一切数据包
ARP欺骗
Debookee有两个模式
- NA - Network Analysis Module
- WM - WiFi Monitoring Module
这里我们主要用到的是NA模式,它的功能是实时监控和分析网络数据,另外可以对局域网其他设备进行ARP欺骗从而拦截转发其他设备的数据流量。它目前支持HTTP,DNS,TCP,DHCP,SIP,RTP(VoIP)协议。
- 设备嗅探
首先点击Start LanScan对局域网设备进行扫描
- 设定ARP欺骗目标
选择你想攻击的目标,点击Toggle Target,将它设置为目标。这里我的手机作为目标,监听它的活动。
- 开始ARP欺骗
点击Start NA,Debookee就会自动发起ARP请求,欺骗所选择的设备,这样我们就可以让目标的流量均通过我们的设备转发,从而实现中间人攻击。
通过图我们可以看到,设备所进行的网络请求已经都被我们所捕获。
通过WireShark获取更详细的信息
Debookee虽然能够查看网络请求,但是数据很简单,看不到详情,如果想看的每个请求的详情,我们需要借助WireShark来实现。这里我们捕捉手机上
/星尘盒子 for 300英雄/这款App的通讯流量作为例子。
同时打开Debookee和WireShark。WireShark中选择我们监听使用的网卡作为数据源。
首先看Debookee的监听结果
显然这个就是我们想获得的数据包,我们通过访问的域名,在DNS数据包中查询它对应的IP。
5.png
现在我们通过这些信息在WireShark中进行数据过滤
输入过滤器(源ip、目的ip、协议类型)
ip.src==192.168.1.4 && ip.addr==221.228.108.73 && http
![Uploading 6_148021.png . . .]
找到了我们要找的这个请求之后,我们需要追踪HTTP流
7.png
追踪完毕后,修改一下编码,被监听设备的网络请求内容就尽收眼底了 8.png
网友评论