ARP欺骗、DNS攻击与无线内网渗透_wifi arp欺骗

声明：此文章仅用于技术交流与学习，请严格遵守中华人民共和国数据安全法与中华人民共和国网络安全法。

目录

1.ARP欺骗

1.1.模拟一个受害主机（此时它正在自己玩耍）

​1.2.Kali对其进行信息收集

1.3Kali开始对目标做出攻

1.3.1简单的arp欺骗攻击（有感知的，只要能获取到目标信息即可，事实上只能获取一下下它更多情况下都是直接断网。）

1.3.2标准的arp欺骗攻击（弱感知的，指受害者本人如不注意将不会发现的）

1.3.3Arp欺骗攻击的后续利用

2.DNS欺骗

2.1DNS欺骗的准备工作

2.2DNS欺骗的结果

3.无线内网渗透

3.1准备工作

3.2网卡监听握手包

3.3对握手包使用字典爆破

3.4拿到密码，进入内网

---

1.ARP欺骗

Arp欺骗的本质是我们欺骗路由器与终端机，告诉他们我是某某某，如果路由器与终端机被我们骗到了，我们就可以收到几乎所有路由器从它其他接口返回给终端机的回显数据。

这就是arp欺骗

1.1.模拟一个受害主机（此时它正在自己玩耍）

注意我们全程不和这个主机做除验证攻击效果之外的任何操作，以此来模拟一个真实的受害者。

 

1.2.Kali对其进行信息收集

这里我们可以使用fping也可以使用nmap这两种信息收集方式；使用nmap效果更好，nmap可以穿透防火墙。 不过由于他们俩不同的收集方式，其实各有千秋。

以下是我整理的一些大部分情况下拿来可以直接用的命令

fping -g -s IP地址/子网掩码 -aq   ###查询当前地址段存活的主机

nmap -sS IP地址   ###查询当前地址开放的端口

nmap -v -n -sP -open 192.168.208.0/24   ###查询当前地址段存活的主机并列出mac地址nmap默认T4

我们这里由于nmap看起来有些乱，直接使用fping演示了，实战请使用nmap同时加上伪地址（-S IP地址）但是这样有时候不一定会扫描到，这大部分是由于路由问题导致的

 再看一眼自己的IP地址（看到这里其实应该都能看出来这是一种内网攻击，那么进入内网的方式我会在最后的写出来，作为一个彩蛋）

此时我们联系上图发现现在网路环境里只有三个地址是空着的

192.168.208.1

192.168.208.2

192.168.208.128

我们再来确定一下哪个是网关地址。

由于Linux系统的ifconfig无法查看网卡的下一跳配置信息，所以要想查看网卡信息只有两种相对简单的方式：

使用命令：ip route show 查看下一跳

使用图形化界面中的查看连接信息

这里我第二条就不演示了，一般都用第一条。

所以此时我们又排除掉了一个IP地址剩下的地址就是我们需要探测的地址。

192.168.208.1

192.168.208.128

这里我们分别扫描了.1和.128

结果如下：

左边是.128右边是.1

这里有个小插曲在扫描.1的时候，因为.1是物理机与虚拟机连接的地址，所以kali的扫描过程被奇安信天守抓住了QAQ，不过还是扫出来了因为我并没有对它进行拦截。

 所以同学们一定不要做坏事呀

好了，那么回归主题，我们现在已经确定了两个可以攻击的目标，这里我们还是攻击.128。

这.128老倒霉蛋了

1.3Kali开始对目标做出攻

1.3.1简单的arp欺骗攻击（有感知的，只要能获取到目标信息即可，事实上只能获取一下下它更多情况下都是直接断网。）

首先我们可以看到靶机目前一切正常（上面有一段超时是因为我开始做了后发现忘记截图了，所以又给关了；延迟比较高是我的网络环境问题，这个在稍后的弱感知攻击中可能会因为延迟的上升导致连接超时）

然后我们使用

注意第一次使用会提示安装这个工具，正常安装即可

arpspoof -i eth0 -t 目标主机IP 目标主机网关 

这里后面的网关是目标主机的网关。

在这个基础上这里有几处扩展的需要根据网络情况进行针对性攻击的形式，这里先不展开讨论，感兴趣可以自己去做一下实验或者自己去查一下：

网关漂移、网关下沉、大二层结构、VLAN概念、SUBVLAN概念等

现在我们开始攻击。

可以看到连接超时的提示，同时抓包发现数据包有去无回，这个是因为.128发给网关的数据包都被网关给Kali了。

偶尔也会有这种现象，不过很少见。

查看一下靶机的网关mac地址，这部分没啥意思，一笔带过，想要了解具体逻辑需要具备一定的网络基础。这部分可以看我其他的文章。

1.3.2标准的arp欺骗攻击（弱感知的，指受害者本人如不注意将不会发现的）

上述的方法会让用户明显的发现自己的设备出现了一些问题，就算对方什么都不懂也是一样的，更何况还有安全软件的加持。（安全软件其实属于终端防护，arp欺骗属于网络攻击；大部分终端防护软件其实都没有这种功能，但是遗憾的是人们只使用小部分的终端防护软件；同样的，这些小部分软件中随便拉出一个来就能干倒上面说的“大部分软件”）

所以我们使用更加温和的方式来让对方不容易发现自己遭到了网络攻击。

Arp欺骗的本质是我们欺骗路由器与终端机，告诉他们我是某某某，如果路由器与终端机被我们骗到了，我们就可以收到几乎所有路由器从它其他接口返回给终端机的回显数据。

那么我们如果不想让受害主机明显的感知到攻击也就是断网的话，我们就需要把路由器给我们的数据再回给它一份，也就是数据转发

这里我们攻击主机是冒充了别人的IP同时使用自己的MAC地址

就比如PC1的地址是192.168.1.1   Kali的地址是192.168.1.2   PC2的地址是192.168.1.3

此时Kali的MAC地址是SS-SS-SS-SS-SS-SS

Kali告诉PC1我的地址是192.168.1.3，MAC地址是SS-SS-SS-SS-SS-SS

再告诉PC2我的地址是192.168.1.1，MAC地址是SS-SS-SS-SS-SS-SS

这里他们都会把我当成另外一个设备

这里涉及到一个数据包解封转原理，讲它就要讲OSI七层模型，讲完了还得去抓包证实，所以这里不讲了。

好，理论补充结束，开始上操作：

首先查看一个模块，这个模块用来负责开启或者关闭转发。

0代表关闭，1代表转发。

这两条命令都是可以的，一般用cat快速查看。

cat /proc/sys/net/ipv4/ip_forward

使用红线这条命令开启转发功能

第二条命令查看是否生效

 echo 1 >/proc/sys/net/ipv4/ip_forward

为了实验再苦一苦.128

现在它还没啥事

故技重施

.128表面看上去还是没啥事

这里我们抓包看看

可以看到.128出现了回显，这代表着.128的网络恢复了“正常”

此时这里出现了两个一样的MAC地址

靶机里没有天守，不然它此时已经报警了。这里由于是虚拟机环境不好做更深层的实验，等我有钱买新设备了再来补充这一部分。。。。。

这里需要注意如果ARP表中的MAC地址没有重复项，那么大部分终端安全软件不会报警，因为它本质是一种网络攻击，终端的杀毒软件大部分会真的认为它是网关。

1.3.3Arp欺骗攻击的后续利用

接下来是攻击利用环节

首先我们可以先使用driftnet监听工具，它用来专门抓取TCP协议中的图片流量。

也是一样的初次使用需要安装这个工具（我都已经安装过了没有图了）

现在整一个看看：

driftnet -i eth0

这一步拖了好久，不为别的，我实在是没找到http的网站，全都是带了SSL安全壳的加密网站。

抓到的图片大概就是这样的。

接下来使用ettercap工具抓一下HTTP的文本

先等这个工具加载，加载完之后自动就启动了

ettercap -Tq -i eth0

然后就是监听之后分析数据了

就为了这一行我找了好久的HTTP网页，我感觉再过几年这项技术从原理部分就要开始全面升级为带有私钥的攻击方式了，找个纯HTTP的网页竟然如此之难。。。

这里如果抓取的是中文的情况我直接跳过了，都是一样的，根据网站的编码格式自己转换就好，不像MD5这种加密形式，ascll码、UTF、GB2312这种的都是很好解密的，他们设计是为了给汉字编码，并不是为了安全。

安全壳的问题后续如果我有时间我会单独针对SSL做实验

这里说一下大体流程：

1. 伪造证书
2. 配置端口转发规则
3. 开始arp攻击
4. 侦听之前配置的端口
5. 没了

最后用户机的浏览器应该会提示证书不可信，然后像我们这样的人会怎么操作呢？没错，此时我们自信的选择了信任它，并告诉自己没逝的。

2.DNS欺骗

DNS欺骗其实有一个正当的行为与它这种攻击一样，就是上网行为管理设备的URL重定向功能。

2.1DNS欺骗的准备工作

第一步其实还是收集信息，但是上面已经做完了，那么这里直接开始对设备进行配置：

输入下面命令进入DNS配置界面

vim /etc/ettercap/etter.dns

在末尾增加相关配置，这里我使用全*表示所有二级域名。后面是攻击地址。

A表示IPv4地址

事实上这个地址可以给任何一个设备，只要相关设备能够提供服务即可，不一定非得自己的Kali。

/etc/init.d/apache2 start

这里启动图形化的ettercap(你要是牛逼你也可以不启动图形化的，直接-T就行)

这些步骤应该很好理解

点完之后会有个弹窗，直接OK就行

出现这个就算完事

 下图可以看到MAC地址表发生了更改

 然后继续一步步来，刚刚只是完成了ARP的欺骗，这个攻击不会断网，接下来才是DNS欺骗

 最后出现了这个就代表完成了

2.2DNS欺骗的结果

可以看到ping的地址出现了错误，不再是百度的CDN服务器IP了

现在我们进去看看

它跳转到了阿帕奇的服务页面

那么DNS欺骗攻击到此结束

3.无线内网渗透

下面我们来点有意思的

大胆假设，小心求证

之前分别展示了arp的欺骗与对图像，文本的监听截取，还有DNS欺骗的使用方法他们都有一个共同的特点，就是都是来自内网的攻击。

这里我们可以采用两种方式：

第一种是通过弱电间或办公室的违规外联或是基础上变种的植入树莓派等操作；这种手法十分传统，而且可以通过物理上的安全来加固

第二种就是接下来我要做的，通过长期的无线监听抓取握手包，同时本地对握手包进行字典爆破获得无线连接的密码，通过合法的身份以无线形式进入网络，同时后续也可以通过已经被破解的密码进行撞库，这种做法主要是针对于手机、平板、笔记本电脑的网络攻击。（如果不对网关发起冲击的话。。。）

3.1准备工作

检查是否有网卡支持无线监听

像这样就是不支持的

如果是虚拟机的话添加网卡前请检查该服务是否启动（如果是物理机就别问我了，如果你的物理机没有无线网卡那我也不知道该怎么办。。。）

在虚拟机页面上方点击虚拟机→可移动设备→选择你的网卡→连接/断开

但是我这里仍然没有看到我的无线网卡不知道什么时候出现的这个问题我现在用到了才发现，所以接下来我会进行一步十分炸裂的操作：

使用KaliLive版在我的实体机上操作，所以接下来的截图会有一些困难

在这之前我先把无线环境搭好

下图是我的两个手机一个开启了热点另一个连接了热点

   

现在我进入了另外的一个Kali系统中，之所以不太一样是因为他是KDE界面

（别觉得好看就用，这个界面没有默认的那个用起来顺手我已经准备换了，而且它的时钟也有问题。。。）

可以看到这个因为是实体机上跑的真实系统所以能直接调用我的网卡也包括所有真实资源。

3.2网卡监听握手包

开启网卡的监听模式

airmon0ng start 网卡名

这里可以看到网卡名字变了

然后我们开始干活

airodump-ng wlan0mon

我的手机热点是Siong，这里可以找到

需要注意这里监听只可以监听到2.4Ghz频段的。要想指定5G需要修改参数

iw list可以查询支持的频段。

airodump-ng -C 频段 wlan0mon

 airodump-ng -c CH数值 --bssid MAC地址 -w 握手包打印的目录 网卡名

由于我的两个手机安全系数都有些高，这里废了好大力气才抓到握手包

下一步要提前准备好暴力破解的字典

3.3对握手包使用字典爆破

这个叫做rockyou的字典并不适合国内的密码命名形式使用，所以我自己手动添加了一些，包括数字，姓氏，各大安全厂商与网络厂商的默认密码等

这里图都能看懂吧？

aircrack-ng -b 无线设备MAC地址 -w 密码字典的m

3.4拿到密码，进入内网

 现在已经进入内网了

进内网之后要干什么呢？

 

之后想要干什么可以往上看。。。

这里简单解释两句；

屏幕变暗色调了是因为我设置的手机可以根据时间自己调整主题颜色。

IP地址有变化是因为在抓包的时候我的手机安全级别比较高，同时这技术也有年头了（但是肯定比原始的arp欺骗然后只能抓HTTP包这种技术年轻）导致不太好抓，中途重新开了几次热点和断了几次WIFI。

这个属于暴力破解，下回再来一个SSH破解，这个用来对付一些如华为、华三、锐捷、迪普一类的高级网络设备尤其好用。

扩展：对于字典的编写可以使用kali的一个工具cupp，这个模组初次使用需要安装。

操作方式就不展示了，使用方法还是很简单的，不会的cupp -help。

备注：Win7靶机与部分参考文献由湖南网安基地提供