0.前言

由于都是发自己的文章，所以也不会有那么多的内容发布，一周可能也就更新个两篇，如果工作忙，可能一周就一篇，但是文章都会很细致，暂时只更新学习笔记，至于挖洞思路，小菜鸟还不配。

0.1.免责声明

传播、利用本公众号剁椒鱼头没剁椒所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号剁椒鱼头没剁椒及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉。谢谢！

0.2.其它

部分文章由于之前授权给其它公众号发布，所以有些并未加入相关的系列中，还请到历史文章中查看，尤其是提取方面的文章。

由于不少朋友和我说使用CSDN看文章不方便，有时候设置粉丝阅读后还需要登陆账户，所以这里我准备了一个公众号，会陆续将文章同步过来，期间可能也会发一些其它内容。

文章内容太多不适合使用手机观看，手机只适合用来点赞😀

内容同步于CSDN：剁椒鱼头没剁椒

内容同步于Github：https://github.com/djytmdj/Network-security-study-notes

1. ARP

这里可以通过ARP攻击对目标进行断网、数据劫持、监听等。

1.1. APR介绍

ARP（Address Resolution  Protocol）是一种TCP/IP协议，用于根据IP地址获取物理地址。在计算机发送信息时，如果需要知道目标IP地址的物理地址，就会使用ARP协议。该协议会通过将目标IP地址广播到局域网上的所有主机，并接收返回的消息来获取目标物理地址。一旦收到返回的消息，计算机就会将该IP地址和物理地址存入本机ARP缓存中，以便下次请求时直接查询，从而节约资源。

1.1.1. ARP工作原理

每台主机都会在自己的ARP缓冲区中建立一个ARP列表（地址转换表），以表示IP地址和MAC地址的对应关系。

当源主机需要将一个数据包发送到目的主机时，会首先检查自己的ARP列表中是否存在该IP地址对应的MAC地址。如果有，就直接将数据包发送到这个MAC地址；如果没有，就向本地网段发起一个ARP请求的广播包，查询此目的主机对应的MAC地址。这个ARP请求数据包里包括源主机的IP地址、硬件地址，以及目的主机的IP地址。

网络中所有的主机收到这个ARP请求后，会检查数据包中的目的IP是否和自己的IP地址一致。如果源主机一直没有收到ARP响应数据包，表示ARP查询失败。

1.1.2. APR欺骗工作原理

由于地址解析是建立在网络中各个主机互相信任的情况下，在局域网中主机可以自行的发布ARP的应答信息，简单来说，如果网络中有其他主机需要自己的mac地址，那么这台主机会主动将自己的mac地址发布出去，而需求主机并不会对该数据报文的真实性进行校验，而是会直接存入自己的ARP缓存中，而这样的情况下就会导致攻击者就可以对某一台主机的ARP应答报进行伪造，从而导致这台主机在进行访问的时候出现报错或者无法通信的情况。

1.2. 环境准备

这里一定要注意哦，后续使用到kali，一定要使用桥接，简单来说，只要是虚拟机测试，一定都使用桥接，确实所有设备都处于一个局域网中。

1.3. 适用场景

如果你在宿舍，你的舍友大半夜打游戏，很吵，别想，直接使用ARP断网攻击。

如果你在宿舍，你的舍友大半夜手机发出奇怪声响，你找他要网址，他不说，别想，直接使用ARP数据劫持。

如果你在宿舍，你的舍友大半夜看女友照片，你也想看，他不给，别想，直接使用图片捕捉。

如果你在宿舍，你的舍友大半夜偷偷上网课，你想拖他一起打游戏，别想，直接使用DNS劫持。

2. ARP断网攻击演示

这里我准备了虚拟机以及手机来进行测试，由于家里确实没有第二台电脑了，只能使用这种方式了。

2.1. 使用kali进行演示

这里使用kali进行演示。

2.1.1. nmap判断存活

使用nmap判断局域网内存活IP，当然判断局域网中存活IP方式有很多，这个没什么好说的，好家伙IPhone搜不到？？？？？什么鬼，

2.1.2. 安装工具

在kali中是自带aprsoof的，但是我发现好像还是需要自己重新安装，并不是纯正自带的那种。

sudo apt-get install dsniff

2.1.3. 攻击Windows 10虚拟机

这里我就攻击Windows 10 虚拟机，这里还需要看一下你的kali配置的局域网地址是在哪个网卡上。

arpspoof -i eth0 -t 192.168.2.20(目标IP) 192.168.2.1(网关IP)

可以看到，我在测试开始的时候去ping百度还是ok的，但是开启攻击后，再去ping百度就无法访问了。

2.1.4. 攻击IPhone

这里也是同样的手法。

arpspoof -i eth0 -t 192.168.2.20(目标IP) 192.168.2.1(网关IP)

可以看到开始攻击后，访问百度就无法通信了。

结束攻击后，手机恢复访问。

2.2. 使用Windows进行演示

这里使用Windows进行演示，前置存活判断，什么的就不操作了，不过这里还是要说一下，测试完发现，好像Windows版的并不能生效,也有可能是我使用的方式不对，所以这里，我就使用科来。

2.2.1. 工具获取

在Windows中也是有这个工具的，可以直接去github上下载，我建议直接使用克科来吧，方便。

arpspoof^[1]

科莱^[2]

2.2.2. 科来工具

这里打开科来后，就是这样的，然后开始抓包。

2.2.3. 抓包过程

这里我们进行抓包，为什么要抓包，是由于好像新版的数据包生成器缺少一些数据，导致无法进行ARP攻击，这里抓包抓一会，看看有没有ARP协议的数据包，我们就基于这个数据包进行数据修改，如果没有直接ping就会出现数据包，这里我们点开双击我箭头的数据包。

这里我们双击后就能够看到一个数据包的窗口，随便选择一条ARP数据包选择导入数据包生成器中。

这里我们需要修改里面的数据，不会有人还不知道怎么查电脑上的ARP信息吧，通过ARP信息可以获取到我们要攻击的MAC地址以及IP地址，诶，这里我就不说ARP信息怎么查。在本地cmd输入arp -a即可，找到你目标主机的MAC地址与IP地址即可。

以太网-||
目的地址：00:bb:60:7b:a1:92    ##被攻击者MAC地址，这里默认中间是-要替换为:
源地址：随便设置        ##如果设置自己的容易被抓。
地址解析协议
发送者MAC地址：随便设置  ##要和上面的源地址相同。
发送者IP地址：写网关
目标MAC地址：00:bb:60:7b:a1:92 ##被攻击者MAC地址，这里默认中间是-要替换为:
目标地址：192.168.2.20  ##被攻击者的IP地址

点击发送，然后选择网卡，都勾选上，设置0次，也就是无限循环。

可以看到目标无法上网了，但是这里好像有点小问题哦，就是我结束攻击后，好像网络还是无法恢复，需要重启才能解决。

3. ARP数据劫持

ARP数据劫持，简单来说就是监听目标主机访问了那些网站，这里还有一个问题就是IPhone的数据获取起来比较麻烦，而且基本上获取不到，不知道其他手机是不是这样的，但是电脑都能够成功获取到。

3.1. 使用kali进行演示

这里同样使用kali进行演示。

3.1.1. 开启转发

由于我们需要的是获取目标主机访问的数据，而不是让他无法上网，使用这里我们需要将kali上的端口转发开启。编辑 Kali Linux 虚拟机/etc/sysctl.conf 配置文件，将net.ipv4.ip_forward配置项取消掉“#”注释符号，并将其值由 0 改为 1 即可开启端口转发。当然也可以使用命令：

echo 1 >> /proc/sys/net/ipv4/ip_forward   

3.1.2. 测试是否正常

这里还是使用工具进行攻击，查看目标主机是否能够正常上网，若能够正常上网，那么设置就是成功的，不过这里需要注意，前后的位置需要调换一下。

arpspoof -i eth0 -t 192.168.2.1(网关IP) 192.168.2.20(目标IP) 

3.1.3. 攻击Windows 10虚拟机

这里我们使用WireShark进行监听，由于没有kali版的科来，所以就使用WireShark来操作吧。

首先将之前测试的攻击暂停，我们来看一下，默认情况下WireShark抓Windows 10虚拟机是那些数据，可以看到默认情况下，是抓不到数据的，我这个图是我使用ping进行测试的。

ip.addr==192.168.2.20

这里我们将攻击开启，再来看看WireShark抓取到的是那些数据，可以看到抓取到了很多数据，其实这个就是通过端口转发来进行抓取，目标主机再访问过程中，丝毫无感，但是所有的数据都从你电脑上经过，相当于你是一个中间件，对数据进行捕捉，只不过使用WireShark抓取到的数据确实，有点看的麻烦。

3.2. 使用Windows进行演示

这里我们使用科来进行分析查看，因为科来更加的直观，不过提前说，我的思路有不同的变化，这里应该使用Windows就能够实现的，但是可能由于IPhone的原因，导致未成功实现该操作，但是也抓取到数据了，只是无法转发。

整体思路，使用Windows工具，无法通行，切换到kali上操作，和上面的操作是一样的，由于转发数据就要出去，而kali安装在我物理机上，就可以实现我直接抓数据就可以了，数据的IP依旧是IPhone的地址，因为kail将数据转发了，所以我才能抓取到。

可能有点绕，还需要慢慢理解。

3.2.1. 攻击IPhone

这里我们选择IPhone来进行操作，由于是虚拟机的问题，导致如果使用Windows 10虚拟机的话，所有的流量默认都是走我网卡出去的，所以都能监听到，所以就使用IPhone来操作，这里的默认操作我就不演示了，直接看效果吧。

这里和可惜的是，我没第二台电脑，但是IPhone又无法欺骗........准确说，直接ping不通，但是不知道为什么linux上能够实现，严重怀疑Windows版的这个工具，是先进行连通性测试，然后在进行攻击，而kali中可能是直接开启攻击，所以导致Linux可以，Windows不可以的情况。这里我就替换一下linux吧，然后抓kail的数据包，来看看能不能获取到。

可以看到成功获取到数据了，唯一的问题就是好像数据不转发了。

3.3. 图片捕捉

由于前面我们都是获取的是数据，而且数据中的图片是无法获取的，那么这里就使用工具对目标主机访问的网站的图片进行获取。

3.3.1. 安装工具

这里依旧是使用kali来实现，Windows上好像是没有这样的工具的，kali老版本这些工具都有，但是新的版本好像都需要自己下载，也不知道是不是我没更新包导致的。

sudo apt install driftnet

3.3.2. 工具语法

driftnet [options] [filter code]
-b 捕获到新的图片时发出嘟嘟声
-i interface 选择监听接口
-f file 读取一个指定pcap数据包中的图片
-p 不让所监听的接口使用混杂模式
-a 后台模式：将捕获的图片保存到目录中（不会显示在屏幕上）
-m number 指定保存图片数的数目
-d directory 指定保存图片的路径
-x prefix 指定保存图片的前缀名

3.3.3. 开启演示

这里我们来获取Windows 10上的图片，看看是否能够获取到。

这里同样进行数据转发。

arpspoof -i eth0 -t 192.168.2.1(网关IP) 192.168.2.20(目标IP) 

driftnet -i eth0 -a -d /root/heihei

可以看到在kali的文件夹下，出现了很多的图片，这写就是在访问的时候出现的一些图片。

3.4. 密码捕捉

这里的前置都不操作了，都是一样的，这里为了方便，找一个小网站来测试。

3.4.1. 安装工具

sudo apt install ettercap-graphical

3.4.2. 工具语法

语法不一定全，可自行百度搜索，或者使用工具的帮助手册。

-l 显示可用网卡接口设备
-i 选择接口
-t 协议选择，tcp/udp/all，默认为all
-p 不进行毒化攻击，用于嗅探本地数据包
-L 载入过滤器文件
-V text 将数据包以文本形式显示在屏幕上
-L filename 把所有的数据包保存下来（保存后的文件只能用etterlog显示）

3.4.3. 开启演示

由于我这里并未测试成功，所以这里说一下整体思路，首先开启数据包的转发，然后再开启工具的捕捉，再目标机器上找一个网站进行登陆，需要注意的是，一定要是账号密码登陆，如果验证码登陆你还是无法登陆的，我们要获取的是账号密码。

这里我放一张别人的图片吧。

其实主要原因是，我电脑蓝屏了，可能开的虚拟机太多了，然后攻击的太频繁了，把我电脑干趴了，尴尬.....

ettercap -Tq -i eth0

4. DNS劫持攻击

由于DNS在查询的时候是一个很复杂的流程，所以这里简单说说吧，想了解的，可以自行百度搜索。

例如我们去访问百度的时候，浏览器首先会检查浏览器自身中的缓存记录中是否存在该域名的dns解析记录指向，如果没有，那么就会去查询操作系统中的DNS解析记录，如果还是没有，就会去本地是HOST文件去查询，倘若寻找了一圈均没有记录，那么浏览器会向电脑中的网卡上设置的DNS服务器去发送域名解析的请求，如果还是没有查询到，那么本地的DNS服务器会代替我们本地的浏览器向全球13个根域名服务器去发送查询请求。

这就是一个完整的流程，至于13个根域名服务器如何去查询，那我就不知道了，而且也没统一的资料查询。

4.1. 查询DNS缓存

浏览器中的缓存的查询方式都不一样，建议可以直接百度搜索，操作系统的缓存可以通过命令来查询。

ipconfig /displaydns  ##查询DNS缓存
ipconfig /flushdns  ##刷新DNS缓存

4.2. DNS劫持攻击过程

这里就开始演示DNS劫持攻击过程，依旧是使用上述的靶机，倒霉蛋依旧是我们的Windows 10虚拟机。

4.2.1. 修改配置文件

这里我们要修改一下kali中 ettercap工具的DNS解析，确实也就是将流量转发到这个你设定的假网站上。

vim /etc/ettercap/etter.dns  ##配置文件地址
修改内容：
* A 192.168.2.10      ##星号就代表匹配所有，A就是A记录，192.168.2.10就是kali攻击机的地址，当然你也可以使用公网IP。

其他类型：   ##以下均可以配置，这个是针对性的
www.*.com A 192.168.2.10
*.baidu.com A 192.168.2.10
*.*.com A 192.168.2.10

4.2.2. 启动网站

这里我是做演示的，直接使用kail自动的本地网页测试即可，这里我也不修改了，直接使用默认，如果你想钓鱼等等，那么就可以对一些网站进行克隆部署即可。

service apache2 start 

4.2.3. 工具配置

到这里就开始对这个ettercap工具进行配置了，由于工具是界面的，所以需要去kali机器上去运行。

这里我们默认即可，如果不对修改一些，如何确定即可。

这里扫描一下存活主机，让其在列表中显示出来，由于新版的工具，操作相对来说没那么负载。

这里将网关添加到Target1，目标主机添加到Target2。

这里要选择ARP攻击，然后勾选远程攻击。

这里点三个小点子，选择Plugins》Manage~》勾选dns_spoof，然后在扫描主机左边有一个实体方框，那个就是开始攻击或关闭攻击的，开启就是实体方框，暂停就是一个播放的图标，可以看到我目前是开启状态，默认都是实时开启的。

可以看到，我们去访问百度，但是以及直接跳转到，我们设定的网站上了，

5. 安全防范

简单介绍一下防范。

5.1. APR攻击防范

由于ARP攻击基本上目标主机是无察觉的，主要你想，你正常能够上网，你可能会去排查ARP攻击什么的么，甚至可能部分人都不知道怎么查询ARP，所以关于ARP的攻击只能说，平时自己注意一点，提高警觉。例如：

1. 定期删除ARP缓存信息，使用arp -d清除缓存。
2. 有条件的绑定ARP信息。
3. 安装防火墙，部分防火墙或者杀毒软件能够再一定程度上拦截ARP攻击。
4. 最重要的是不要随便连接公开wifi。

5.2. DNS劫持防范

其实这里不单单是DNS劫持，关于DNS的攻击还有，DNS污染、DNS重绑攻击、DNS反射放大攻击等等，后续有空在添加一些。

 1.本地HOST文件配置，这里可以查一下本地的HOST文件有没有被修改，一些木马攻击后都会修改HOST文件，所有可以排查一些本地的HOST文件的配置。查询地址：C:WindowsSystem32driversetcHOSTS

 2. 网卡的DNS服务器地址有没有被篡改。

 3.WiFi路由器的DNS服务器有没有被篡改，部分木马会对WiFi路由器进行攻击，例如弱口令爆破，如果WiFi路由器的密码简单，那么可能就会被修改，同时批量修改DNS就会导致解析出现问题。

4.还有就是运营商DNS，默认情况下运营商会将你访问的地址强制跳转到某个DNS上进行解析，确保你的访问正常，同时屏蔽一些恶意网址。查询运营商的DNS^[3]

5.安装杀毒软件，也可以降低一些DNS劫持的风险，部分杀毒软件是有专门对DNS修改进行检测的。

参考资料