欢迎关注:1,欢迎关注本博客,你可点击右手边的【QQ邮件订阅】订阅本博客!2,本博客推出江湖救急计划,主要为工作中遇到疑难杂症的兄弟提供远程技术支持和分析,如有需要,请在江湖救急计划页面给我留言!

如何在局域网内判断中间人攻击行为

作者:甜瓜 发布于:2017-1-9 11:39 Monday 分类:网络分析

如何在局域网内判断中间人攻击行为


中间人攻击(Man-in-the-Middle Attack, MITM)是一种由来已久的网络入侵手段,并且在今天仍然有着广泛的发展空间,如ARP劫持、DNS欺骗,ICMP重定向欺骗等攻击都是典型的MITM攻击。简而言之,所谓的MITM攻击就是通过拦截正常的网络通信数据,并进行数据篡改和嗅探,而通信的双方却毫不知情,只有通过数据包行为特征去判断,现局域网内捕获正到一枚正在进行中间人攻击行为的数据包,通过分析展示异常行为特征。

 

网络环境说明

网络拓扑环境如上:ClientHacker在同一个局域网内, Hacker发起中间人攻击之后,Client网络依然正常访问但是数据被Hacker窃取,用户是无法感知到的,现通过数据包分析深入理解中间人攻击的原理,分析在进行中间人攻击时有哪些异常数据包,快速定位攻击源头。

特征1-ARP协议分析

  以上环境是在局域网当中黑客通常会利用ARP协议的缺陷着手实施攻击,ARP应答欺骗.(提供的数据包都是在Hacker上捕获的)

分析思路:Hacker利用ARP应答数据包对CilentGW进行双向欺骗,使得CilentGWARP缓存更新成HackerMAC地址,使得CilentGW双方交互的数据包都会经过Hacker并由其转发。

从拓扑图中了解到,CilentIP192.168.30.74,MAC54-35-30-95-FC-6B.GWIP192.168.30.254,MAC38-97-d6-3a-f5-a0.

正常情况下应答包的info信息是:

192.168.30.74 is at 54-35-30-95-FC-6B

192.168.30.254 is at 38-97-d6-3a-f5-a0

双方通过接收对方的ARP应答数据包获取正确的MAC地址信息进行数据转发.

而以下截图当中我们可以看到有异常数据包两种ARP应答报文,192.168.30.74254,MAC地址全部为A4-34-D9-C9-D8-2B.


以上现象说明中间人攻击会利用ARP应答包进行双向欺骗。

特征2-TTL值判断

ARP欺骗成功后,之后交互数据包都是从GW先到Hacker主机上:

数据包在被Hacker接收后再进行转发的时候,源MAC变成了HackerMAC,而目标MAC变成了CIilent真实的MAC地址:说明数据包被Cilent收到了,在此过程中源目的MAC地址发生变化,属于IP层转发,TTL值随之衰减,通过判断在同一个局域网内交互的IP会话当中的TTL值是否衰来判断是否遭受中间人攻击。


特征3-ICMP报文

该报文的意思是(按红框标注重上往下进行描述):原地址192.168.30.69向目标地址192.168.30.254发送了一个主机重定向报文,告诉192.168.30.254之前发送给目标IP地址192.168.30.74不是最优路径,重定向到最优地址192.168.30.74.


重定向之后虽然目的地址都是192.168.30.74,但是由于是192.168.30.69发出的重定向报文,MAC地址是HackerMAC所以报文最终还是会发送到Hacker