Spoofing ARP usando un attacco uomo-in-the-middle

Esegui l'uomo ai media attacchi con Kali Linux

Man in the Middle Attacks è alcuni degli attacchi più frequentemente tentati sui router di rete. Sono usati principalmente per acquisire credenziali di accesso o informazioni personali, spiare la vittima o comunicazioni di sabotaggio o dati corrotti.

Un uomo nell'attacco centrale è quello in cui un aggressore intercetta il flusso di messaggi avanti e indietro tra due parti per modificare i messaggi o semplicemente leggerli.

In questa rapida guida, vedremo come eseguire un uomo nell'attacco centrale su un dispositivo collegato alla stessa rete WiFi come il nostro e vedere quali siti Web sono spesso visitati da loro.

Alcuni prerequisiti

Il metodo che utilizzeremo impiegherà Kali Linux, quindi aiuterà ad avere un certo grado di familiarità con Kali prima di iniziare.

Per iniziare con i nostri attacchi, i seguenti sono prerequisiti cruciali:

L'interfaccia di rete installata sulla nostra macchina

e l'IP del router WiFi che la nostra vittima usa.

Visualizza la configurazione dell'interfaccia di rete

Esegui il seguente comando nel terminale per scoprire il nome dell'interfaccia di rete che stai utilizzando:

$ sudo ifconfig

Ti verrà visualizzato un lungo elenco di interfacce di rete, di cui devi sceglierne una e annotarlo da qualche parte.

Per quanto riguarda l'IP del router che stai usando, usa:

$ ip route show

Sul terminale e ti verrà mostrato l'IP del router di rete. Ora per fare ulteriori processi, ho effettuato l'accesso alla modalità root kali.

Passaggio 1: ottenere la configurazione IP dalla vittima

Successivamente, devi ottenere l'IP del router della tua vittima. Questo è facile e ci sono diversi modi in cui puoi scoprirlo. Ad esempio, è possibile utilizzare uno strumento software di monitoraggio della rete oppure è possibile scaricare un programma di interfaccia utente router che consente di elencare tutti i dispositivi e i loro IP su una determinata rete.

Passaggio 2: accendi l'inoltro dei pacchetti in Linux

Questo è molto importante perché se la macchina non scambia i pacchetti, l'attacco comporterà un guasto poiché la connessione Internet verrà interrotta. Abilitando l'inoltro dei pacchetti, si maschera la macchina locale per fungere da router di rete.

Per attivare l'inoltro dei pacchetti, eseguire il seguente comando in un nuovo terminale:

$ sysctl -w net.IPv4.ip_forward = 1

Passaggio 3: reindirizzare i pacchetti alla macchina con arpspoof

Arpspoof è un'utilità Kali Linux preinstallata che ti consente di esprimere il traffico verso una macchina di tua scelta da una LAN commutata. Questo è il motivo per cui Arpspoof funge da modo più accurato per reindirizzare il traffico, permettendoti praticamente di annusare il traffico sulla rete locale.

Usa la seguente sintassi per iniziare a intercettare i pacchetti dalla vittima al tuo router:

$ arpspoof -i [nome interfaccia di rete] -t [vittima ip] [router ip]

Ciò ha permesso solo il monitoraggio dei pacchetti in arrivo dalla vittima al router. Non chiudere ancora il terminale in quanto fermerà l'attacco.

Passaggio 4: intercetta i pacchetti dal router

Stai facendo qui come il passaggio precedente, tranne per il fatto che è appena invertito. Lasciando aperto il terminale precedente così com'è, apre un nuovo terminale per iniziare a estrarre i pacchetti dal router. Digita il seguente comando con il nome dell'interfaccia di rete e il router IP:

$ arpspoof -i [nome interfaccia di rete] -t [router ip] [vittima ip]

Probabilmente stai realizzando a questo punto che abbiamo cambiato la posizione degli argomenti nel comando che abbiamo usato nel passaggio precedente.

Fino ad ora, ti sei infiltrato alla connessione tra la vittima e il router

Passaggio 5: annusare immagini dalla storia del browser del bersaglio

Vediamo quali siti web il nostro obiettivo piace visitare spesso e quali immagini vedono lì. Possiamo ottenere questo utilizzando software specializzato chiamato DriftNet.

DriftNet è un programma che ci consente di monitorare il traffico di rete da determinati IPS e discernere le immagini dai flussi TCP in uso. Il programma può visualizzare le immagini in JPEG, GIF e altri formati di immagini.

Per vedere quali immagini vengono visualizzate sulla macchina target, usa il comando seguente

$ driftnet -i [nome interfaccia di rete]

PASSAGGIO 6: Informazioni sugli URL snervante dalla navigazione delle vittime

Puoi anche annusare l'URL del sito Web che la nostra vittima visita spesso. Il programma che utilizzeremo è uno strumento di riga di comando noto come urlsnarf. Annuisce e salva la richiesta HTTPS da un IP designato nel formato di registro comune. Utilità fantastica per eseguire analisi del traffico post-elaborazione offline con altri strumenti forensi di rete.

La sintassi che inserirai nel terminale di comando per annusare gli URL è:

$ urlsnarf -i [nome dell'interfaccia di rete]

Finché ogni terminale è funzionale e non hai accidentalmente chiuso uno di loro, le cose dovrebbero essere andate senza intoppi per te finora.

Fermare l'attacco

Una volta che sei soddisfatto di ciò che hai le mani, potresti fermare l'attacco chiudendo ogni terminale. Puoi usare il collegamento CTRL+C per farlo rapidamente.

E non dimenticare di disabilitare i pacchetti che avevi abilitato a eseguire l'attacco. Digita il comando seguente nel terminale:

$ sysctl -w net.IPv4.ip_forward = 0

Avvolgimento delle cose:

Abbiamo visto come infiltrarsi un sistema attraverso l'attacco del mitm e visto come mettere le mani sulla storia del browser della nostra vittima. C'è molto che puoi fare con gli strumenti che abbiamo visto in azione qui, quindi assicurati di vedere le procedure dettagliate su ciascuno di questi strumenti di sniff e spoofing.

Speriamo che tu abbia trovato questo tutorial utile e che tu abbia effettuato con successo il tuo primo uomo nel mezzo attacco.