ARP Spoofing:
ARP Spoofing(ARP欺騙)攻擊的根本原理是因為Windows電腦中維護著一個ARP快取記憶體(讓你可以使用arp命令來查看你自己的ARP快取記憶體), 並且這個ARP快取記憶體是隨著電腦不斷的發出ARP請求和收到ARP回應而不斷的更新的,ARP快取記憶體的目的是把機器的IP位址和MAC位址相互映射, 使得IP資料包在乙太網內得順利而正確找到目的MAC位址,然後正確無誤的傳送。如果你可以藉由發出標準的ARP請求或ARP回應來擾亂或竄改某電腦 或路由器內正常的ARP表,而導致該電腦(或路由器)發出的資料包誤傳目的地,或使 OSI的第二層乙太網和第三層無法連接,進而癱瘓網路。一、攻擊步驟:
1.攻擊者對被攻擊者發出ARP Reply,使被攻擊者的MAC更新。
2.當被攻擊的系統發出FTP命令時,會將封包傳送給攻擊者電腦中,攻擊成功。
二、攻擊範例:
現在有三部機器分別是機器A:IP1/MAC1、機器B:IP2/MAC2、機器C:IP3/MAC3 。 現在機器B上的用戶是位駭客企圖干擾機器A或是監視SNIFFER機器A與C之間的通訊, 首先他向機器A發出一個ARP Reply,其中的目的IP位址為IP1,目的MAC位址為MAC1,而源IP地址為IP3, 源MAC地址為MAC2。現在機器A更新了他的ARP快取記憶體,並相信了IP3地址的機器的MAC地址是MAC2。 當機器A上的管理員發出一條FTP命令時--ftp IP3,資料包被送到了Switch,Switch查看資料包中的目的地址, 發現MAC為MAC2,把資料包發到了機器B上,因此成功攻擊機器A。現在如果不想影響A和C之間的通信,將 sniffer監視兩者之間的通訊,你可以同時欺騙他們雙方,使用 man-in-middle攻擊,便可以達到效果。
Man-in-the-Middle attack
Man-in-the-Middle attack(中間人攻擊),是一個攻擊者使用公鑰交換來攔截消息並且轉發它們,然後取代他自己的公鑰發送給被請求的一方, 以致於原始的雙方表面上看起來仍然還是相互通信,攻擊者從球類游戲中得到它的名字,即兩個人試圖相互直接扔一個球給對方, 然而在這兩個人中間有一個人試圖去抓住這個球。在這個MITMA中入侵者使用一個表面上看起來是從服務器到客戶端但看起來又像是從客戶端到服務器端 的應用程序。這種攻擊可能被使用在簡單的獲得訪問消息的權利,或者能使得攻擊者在轉發消息之前先修改消息。 MITMA有的時候也叫做消防隊攻擊(FBA,fire brigade attack),這個術語起源於這種救災時排成長龍以傳水救火的隊列方法, 即在水源和火災之間的一個人到另一個人之間使用手工傳遞一桶一桶的水地方法來撲滅火災的方法。一、攻擊步驟:
1.攻擊者利用公鑰交換,使竊聽或竊用被攻擊的封包
Netcut:
這種攻擊沒有防毒軟體能夠防範,電腦也不會有異狀,唯一的症狀就是電腦有IP可是就是ping不到router, 也就是你上網的連接器。假造ARP封包造成目標主機ARP table記錄錯誤,來達成斷線目的。*注:最新新版Netcut 2.0已能快速的同時竄改目標主機與路由器(閘道器) ARP記錄。
一、攻擊步驟:
Netcut會經由IP掃描的方式找尋區域網路上正在活動的IP,選定好攻擊的目標以後(假設要攻擊A),就會大量發送廣播封包, 以自己或是編造的MAC搭配A的IP企圖讓網路上所有的電腦都把原本要傳給A的資料都無法送達,這樣原本正常上網的A就無法上網了 (因為封包都有去無回)。
1.Router和 電腦A收到廣播把MAC R和MAC A加進ARP表
2.B電腦攻擊A ,同時對Router作干擾,並迫使Router及A更新MAC table
3.Router以及電腦A的ARP table被B所發送的廣播封包給竄改,導致A網路癱瘓
Session Hijacking:
連線劫奪(Session Hijacking)是利用SessionID會當成Cookie存到用戶端電腦的特性,竊取存在用戶端電腦的SessionID, 再冒用網頁使用者的身份進入該使用者所使用的的網站竊取重要的個人資料(例如:金融資訊) ,再進行危害網頁使用者的動作。一、攻擊步驟:
1.先竊取用戶端上的SessionID。
2.利用竊取來的SessionID,登入該網頁竊取資料。