黑客怎么知道你在看什么图片?
#本文仅用于网络安全研究学习任何未经授权的入侵都是违法行为
通过driftnet查看数据流里的图片详情
前言
MiTM攻击(中间人攻击)是通过劫持两个用户之间的流量来实现的,而这种流量可以通过使用Wireshark和其他数据包嗅探器等工具来监测到. 但由于图片经常分散在多个数据包中,所以我无法看到这些图片并重新构建它们。这里使用arpspoof。
实验环境:
目标机(win7 ip:192.168.0.104)
攻击机(kali ip:192.168.0.103)
具体步骤:
使用arpspoof实施MiTM
在进行MiTM的方法上,我刚开始有arpspoof和Ettercap两种选择。
ettercap是一款现有流行的网络抓包软件,它利用计算机在局域网内进行通信的ARP协议的缺陷进行攻击,在目标与服务器之间充当中间人,嗅探两者之间的数据流量,从中窃取用户的数据资料。
而arpspoof同样也可以完成APR欺骗,在经过对比后,虽然Ettercap使用起来更加简单上手,但arpspoof却更加可靠。
要设置arpspoof,我需要三个终端。
root@WHOAMI:~# arpspoof -i eth0 -t 192.168.0.1 192.168.0.104
介绍:
-i eth0是我想要嗅探和实施arpspoof的接口
-t目标
然后,通过反转IP地址来连接另一终端,
root@WHOAMI:~# arpspoof -i eth0 -t 192.168.0.104 192.168.0.1
最后,我需要对ip_forward进行设置,
root@WHOAMI:~# echo 1 > /proc/sys/net/ipv4/ip_forward
现在,我就成功地通过MiTM劫持了攻击者和目标路由器之间的流量。这样,两者之间的流量就都被我嗅探到了。
设置driftnet
现在,我应该可以看到双方发送或接收的所有图片,下一步我要做的就是激活driftnet。我可以通过在Kali的任何终端输入driftnet来做到这一点,不过切记,不要使用arpspoof运行的开放终端,因为这将终止arpspoof。
root@WHOAMI:~# driftnet
如上图所左下方所示,我的终端下面显示了一个小窗口,这正是driftnet证明它发现和重构图片的位置。客户机客户机与刚刚监听的内容对比
客户机上
黑客攻击机上
#本文仅用于网络安全研究学习任何未经授权的入侵都是违法行为