中间人攻击

中间人攻击（Man in the Middle Attack，简称“MITM攻击”）是一种间接的入侵攻击。
这种攻击模式是通过各种技术手段，将受入侵者控制的一台计算机虚拟放置在网络连接中的两台通信计算机之间，这台计算机就称为“中间人”。
下面将介绍使用Ettercap工具实现中间人攻击。

1.存在的漏洞

前面介绍了中间人攻击是通过使用各种技术手段对目标主机进行攻击的。
主机既然被攻击，则说明在传输数据的过程中存在有漏洞。
接下来就分析一下所存在的漏洞。

当主机之间进行通信时，通过封装数据包进而转发到目标主机上。
转发的数据包中包括源IP地址、目标IP地址及MAC地址。
但是当主机在自己的缓存表中找不到目标主机的地址时，它会发送ARP广播，在此过程中就可能被其他攻击者冒充目标主机。

2.ARP欺骗原理

实施中间人攻击时，攻击者常考虑的方式是ARP欺骗或DNS欺骗等。
下面以常见ARP欺骗为例，分别介绍一下ARP欺骗原理。

一般情况下，ARP欺骗并不是使网络无法正常通信，而是通过冒充网关或其他主机使得到达网关或主机的数据流通过攻击主机进行转发。
通过转发流量可以对流量进行控制和查看，从而控制流量或得到机密信息。
ARP欺骗主机的流程如图所示。

如图所示，当主机A和主机B之间通信时，如果主机A在自己的ARP缓存表中没有找到主机B的MAC地址时，主机A将会向整个局域网中所有计算机发送ARP广播，广播后整个局域网中的计算机都收到了该数据。
这时候，主机C响应主机A，说我是主机B，我的MAC地址是XX-XX-XX-XX-XX-XX，主机A收到地址后就会重新更新自己的缓冲表。
当主机A再次与主机B通信时，该数据将被转发到攻击主机（主机C）上，则该数据流会经过主机C转发到主机B。

3.中间人攻击

实现中间人攻击分为两个阶段。
第一是通过某种手段去攻击一台计算机；第二是欺骗主机。

第一阶段：

在该阶段主机B通过ARP注入攻击的方法以实现ARP欺骗，通过ARP欺骗的方法控制主机A与其他主机间的流量及机密信息。

第二阶段：
在第一个阶段攻击成功后，主机B就可以在这个网络中使用中间人的身份，转发或查看主机A和其他主机间的数据流，如图所示。

（1）在这个局域网中当主机A向主机C发送请求，此时该数据将被发送到主机B上。
（2）主机A发送给主机C的数据流将会经主机B转发到主机C上。
（3）主机C收到数据以为是主机A直接发送的。此时主机C将响应主机A的请求，同样的该数据流将会被主机B转发到主机A上。
（4）主机A收到响应后，将登录主机C。这样主机A登录时的用户名及密码，将会被主机B查看到。

参考书籍：《Kali Linux渗透测试技术详解》