#本文仅用于网络安全研究学习任何未经授权的入侵都是违法行为

通过driftnet查看数据流里的图片详情

前言

MiTM攻击（中间人攻击）是通过劫持两个用户之间的流量来实现的，而这种流量可以通过使用Wireshark和其他数据包嗅探器等工具来监测到. 但由于图片经常分散在多个数据包中，所以我无法看到这些图片并重新构建它们。这里使用arpspoof。

实验环境：

目标机（win7 ip：192.168.0.104）

攻击机（kali ip：192.168.0.103）

具体步骤：

使用arpspoof实施MiTM

在进行MiTM的方法上，我刚开始有arpspoof和Ettercap两种选择。

ettercap是一款现有流行的网络抓包软件，它利用计算机在局域网内进行通信的ARP协议的缺陷进行攻击，在目标与服务器之间充当中间人，嗅探两者之间的数据流量，从中窃取用户的数据资料。

而arpspoof同样也可以完成APR欺骗，在经过对比后，虽然Ettercap使用起来更加简单上手，但arpspoof却更加可靠。

要设置arpspoof，我需要三个终端。

root@WHOAMI:~# arpspoof -i eth0 -t 192.168.0.1 192.168.0.104

介绍：

-i eth0是我想要嗅探和实施arpspoof的接口

-t目标

然后，通过反转IP地址来连接另一终端，

root@WHOAMI:~# arpspoof -i eth0 -t 192.168.0.104 192.168.0.1

最后，我需要对ip_forward进行设置，

root@WHOAMI:~# echo 1 > /proc/sys/net/ipv4/ip_forward

现在，我就成功地通过MiTM劫持了攻击者和目标路由器之间的流量。这样，两者之间的流量就都被我嗅探到了。

设置driftnet

现在，我应该可以看到双方发送或接收的所有图片，下一步我要做的就是激活driftnet。我可以通过在Kali的任何终端输入driftnet来做到这一点，不过切记，不要使用arpspoof运行的开放终端，因为这将终止arpspoof。

root@WHOAMI:~# driftnet

如上图所左下方所示，我的终端下面显示了一个小窗口，这正是driftnet证明它发现和重构图片的位置。客户机客户机与刚刚监听的内容对比

客户机上

黑客攻击机上

#本文仅用于网络安全研究学习任何未经授权的入侵都是违法行为