رضانعمتی
رضانعمتی
خواندن ۶ دقیقه·۴ سال پیش

آشنایی با حملات مرد میانی MITM و ARPspoofing در کالی لینوکس

ARPspoofing یا حملات مرد میانی MITM چیست ؟


یکی از هک های کلاسیک ، حملات مرد میانی است. در این حمله ، هکر خود را بین کاربر و سرور قرار می دهد و به ترافیک شبکه کاربر و سرور دسترسی دارد. به طور کلی ، هنگامی که یک مهاجم می خواهد خود را بین کاربر و سرور قرار دهد ، آنها باید از ARP دو سیستم استفاده کنند. این تنها روش برای انجام حمله MITM حملات مرد میانی نیست ، اما احتمالاً متداول ترین آن در شبکه محلی (LAN) است. در این مقاله با مبحث آشنایی با حملات مرد میانی MITM و ARPspoofing در کالی لینوکس کامل آشنا خواهیم شد.
اشنایی با حملات مرد میانی MITM و نحوه جلوگیری از آن


حملات MITM یا حملات مرد میانی در کالی لینوکس یکی از حملات محبوب و مؤثر برای یک هکر است. در ساده ترین شکل ، MITM حمله مرد میانی در کالی لینوکس به سادگی جایی است که یک مهاجم خود را بین کاربر و سرور قرار می دهد و اجازه می دهد تا تمام ترافیک ها به صورت شفاف از سیستم خود هکر عبور کند. و این امر باعث میشود که تمام اطلاعات شبکه را مشاهده کند.

خطرات حملات مرد میانی MITM چیست ؟

  • رمزهای عبور
  • جاسوسی
  • ارتباطات خراب یا تغییر یافته
  • جعل هویت

ARP چیست ؟

ARP مخفف کلمه Address Resolution Protocol است و بین آدرس های MAC فیزیکی 40 بیتی و آدرس های IP منطقی 32 بیتی ترجمه می کند. در اصل ، آدرس لایه 3 شبکه را به آدرس های لایه پیوند داده لایه 2 ترجمه می کند. این سوئیچ های شبکه و سایر دستگاه های شبکه را قادر می سازد تا شناسایی کنند که کارت NIC کدام آدرس IP را دارد و از این طریق ترافیک مناسب و فقط ترافیک مناسب را برای هر سیستم ارسال می کند.

تست نفوذ و هک اندروید از مبتدی تا پیشرفته و نحوه جلوگیری از آن در کالی لینوکس
https://virgool.io/p/gv9wrx3u6u0m/%F0%9F%93%B7

سوئیچ آدرس های MAC را جمع می کند و با ارسال درخواست ARP پخش شده ، آنها را به آدرس های IP نقشه ارسال می کند. این درخواست های ARP به هیچ وجه بررسی و تأیید نشده است ، بنابراین هر سیستمی می تواند با هر اطلاعاتی که می خواهد پاسخ دهد. یک مهاجم می تواند از این سیستم برای ارسال یک پاسخ ARP جعلی و با استفاده از سوئیچ مبنی بر اینکه آدرس IP دستگاه دیگری به آن اختصاص داده شده است ، استفاده کند. پس از اتمام این کار ، سوئیچ ها بسته های در نظر گرفته شده برای قربانی را به NIC با IP خرابکار ارسال می کنند.

ARPspoof چیست ؟

ARPspoof ابزاری است از مجموعه ابزارهای معروف به dsniff که توسط Dug Song در دانشگاه میشیگان ساخته شده است. این مجموعه ابزارها شامل موارد زیر است :

  • arpspoof
  • dsniff
  • macof
  • tcpkill
  • filesnarf
  • mailsnarf
  • urlsnarf
  • webspy
  • sshmitm
  • webmitm
  • and others.

ARPspoof و بسیاری دیگر از آنها در توزیع Kali Linux ساخته شده اند ، بنابراین نیازی به بارگیری و نصب هر چیزی نداریم. در این آزمایش و آزمایشگاه ، ما در درجه اول از arpspoof و dsniff استفاده خواهیم کرد.

MiTM یا حملات مرد میانی با استفاده از arpspoof و dsniff :

در این آزمایشگاه ، ما از سه دستگاه استفاده خواهیم کرد.

(1) کاربر ، ویندوز 7
(2) سرور ، Debian Linux
(3) یک مهاجم ، سیستم کالی لینوکس برای حملات مرد میانی

من این کار را با استفاده از ماشین های مجازی انجام می دهم.

نمودار زیر نشان می دهد که ما در آزمایشگاه آینده چه خواهیم کرد.

https://virgool.io/p/gv9wrx3u6u0m/%F0%9F%93%B7

ابتدا اجازه دهید از سیستم ویندوز 7 به عنوان سیستم کاربر ما همانطور که در شکل زیر مشاهده می شود استفاده کنیم. توجه داشته باشید که آدرس IP آن 192.168.1.116 است.

سپس ، اجازه دهید از سیستم Debian Linux به عنوان سرور خود استفاده کنیم. من از یک پس زمینه زرد بر روی سیستم دبیان استفاده می کنم تا به وضوح آن را از سیستم مهاجم در وسط متمایز کند. در اینجا بیایید پینگ سیستم ویندوز 7 را شروع کنیم. از آنجا که پینگ در لینوکس پیوسته است ، فقط اجازه دهید آن را به طور نامحدود ادامه دهید. اگر از سیستم ویندوز استفاده می کنید ، پینگ فقط چهار پینگ ادامه می یابد ، بنابراین باید با تایپ کردن ، پینگ مداوم را تنظیم کنید.

kali > ping 192.168.1.116 -t

https://virgool.io/p/gv9wrx3u6u0m/%F0%9F%93%B7

پینگ ها اکنون به سیستم ویندوز 7 ضربه می خورند و در حال بازگشت هستند. در مرحله بعدی ما به سه (3) پایانه در سیستم کالی ما نیاز خواهیم داشت. آنچه ما انجام خواهیم داد ، جعل حافظه نهان ARP است.

  • باعث شود سیستم دبیان فکر کند ما سیستم ویندوز 7 هستیم.
  • سیستم ویندوز 7 را فکر کنیم که ما سیستم دبیان هستیم.
  • بسته ها را از طریق سیستم هجومی ما به جلو بکشید تا ارتباط بین این دو شفاف باشد و ارتباط آنها را مختل نکند.

ابتدا بیایید از دستور arpspoof برای فریب سیستم ویندوز 7 استفاده کنیم تا باور کنیم سیستم Debian هستیم.

kali > arpspoof -t 192.168.1.116 192.168.1.118

https://virgool.io/p/gv9wrx3u6u0m/%F0%9F%93%B7

بعد ، در یک ترمینال جداگانه ، بیایید از arpspoof برای فریب سیستم دبیان استفاده کنیم تا اعتقاد داشته باشیم که ما سیستم ویندوز 7 هستیم. توجه کنید که آدرس های IP دستور فوق را به سادگی معکوس کرد.

kali > arpspoof -t 192.168.1.118 192.168.1.116

https://virgool.io/p/gv9wrx3u6u0m/%F0%9F%93%B7

وقتی این کار را کردیم ، می بینیم که پینگ ها بازگشت به سیستم دبیان را متوقف کرده اند.

https://virgool.io/p/gv9wrx3u6u0m/%F0%9F%93%B7

اگر بتوانیم پینگ ها را از طریق سیستم مهاجم (کالی) خود به سیستم ویندوز 7 منتقل کنیم ، پینگ ها باید از سر بگیرند.

از یک ترمینال سوم در سیستم Kali ، ما باید اجازه دهیم که بسته ها از سیستم عامل خود عبور کنند. این کار با استفاده از یک دستور در لینوکس به نام ip_forward انجام می شود. می توانیم با تایپ کردن این نوع بسته را شروع کنیم.

kali > echo 1 > /proc/sys/net/ipv4/ip_forward

https://virgool.io/p/gv9wrx3u6u0m/%F0%9F%93%B7

وقتی این کار را کردیم ، پینگ ها باید مستقیماً از هسته سیستم کالی ما به سیستم ویندوز 7 منتقل شوند. در اصل ، ما خود را در وسط سیستم ویندوز 7 و سیستم دبیان قرار داده ایم تا همه ترافیک آنها از طریق ما عبور کند.

وقتی به سیستم دبیان برگردیم می بینیم که پینگ ها از سر گرفته شده اند و درست از طریق سیستم مهاجم ما عبور می کنند!

https://virgool.io/p/gv9wrx3u6u0m/%F0%9F%93%B7

dsniff چیست ؟

اکنون که ما خود را با موفقیت در وسط این دو کامپیوتر قرار داده ایم ، گزینه های بسیاری داریم که می توان در مقابل این دو قربانی استفاده کرد. یکی از این گزینه ها استفاده از اسنایفر است که قابلیت شناسایی مدارهای عبور از سیم و گرفتن آنها را دارد.

Dsniff یک مأمور کننده است – که توسط Dug Sung نیز توسعه یافته است – ترافیکی را که اکنون از طریق سیستم حمله ما عبور می کند خراب می کند و به دنبال مدارک معتبر است. این دستگاه قادر به شناسایی انواع مختلفی از اعتبارنامه های ذیل است.

  • FTP
  • Telnet
  • SMTP
  • HTTP
  • POP
  • poppass,
  • NNTP
  • IMAP
  • SNMP
  • LDAP
  • Rlogin
  • RIP
  • OSPF
  • PPTP
  • MS-CHAP
  • NFS
  • VRRP
  • YP/NIS
  • SOCKS
  • X11
  • CVS
  • IRC
  • AIM
  • ICQ,
  • Napster
  • PostgreSQL
  • Meeting Maker,
  • Citrix ICA,
  • pcAnywhere,
  • NAI Sniffer,
  • Microsoft SMB,
  • Oracle SQL*Net,
  • Sybase
  • Microsoft SQL protocols.

اکنون که عبور سیستم ترافیکی از طریق سیستم حمله ماست ، می توانیم از dsniff برای گرفتن ترافیک استفاده کرده و آن را در پرونده ای بنام sniffed.txt قرار دهیم.

kali > dsniff -i eth0 -w sniffed.txt

https://virgool.io/p/gv9wrx3u6u0m/%F0%9F%93%B7

حتی اگر ما علاقه ای به ایجاد گواهینامه های معتبر نداریم ، می توانیم از تعداد کمی از ترافیک موجود در سیستم خارج شده و سیستم خود را مانند تصویر زیر استفاده کنیم.

https://virgool.io/p/gv9wrx3u6u0m/%F0%9F%93%B7

علاوه بر این ، مجموعه ابزارهای dsniff شامل موارد زیر است که می توانید پس از استقرار در وسط ، از آن استفاده کنید.

  • tcpkill برای خاتمه اتصالات TCP استفاده می شود
  • mailsnarf ترافیک نامه SMTP را ضبط می کند
  • URLSnarf همه URL های درخواست شده را از ترافیک HTTP خراب می کند و خروجی می دهد.

اگر از URLSnarf بر روی سیستم حمله خود استفاده کنیم در حالی که در وسط هستیم و یک سیستم به وب می رود ، می توانیم با تایپ کردن آدرس URL و سایر اطلاعات را مشاهده کنیم.

kali > urlsnarf

https://virgool.io/p/gv9wrx3u6u0m/%F0%9F%93%B7

نتیجه حملات مرد میانی :

Man in the Middle یکی از حملات کلاسیک هکینگ است. انواع مختلفی دارد ، اما در شبکه محلی (LAN) ، arpspoof یکی از موارد مورد علاقه است. به این ترتیب ، مهاجم دسترسی کاملی به کلیه ترافیک بسته ها دارد و از این طریق می تواند ترافیک را به دلخواه بخواند و تغییر دهد.

منبع : https://www.hackers-arise.com/

حمله mitmmitm چیست؟حمله mitm چیستحمله مرد میانیحملات مردمیانی
من رضانعمتی هستم که به صورت حرفه ای توی فضای تست نفوذ (هک) و امنیت دارم کار میکنم و خیلی وقته متوجه شدم این فضا فقط یک سیستم عامل کالی لینوکس و کار با چند ابزار نیست ، این فضا یه دانش تخصصی هست...
شاید از این پست‌ها خوشتان بیاید