通過Wireshark driftnet查看數據流里的圖片詳情
前言
MiTM攻擊是通過劫持兩個用戶之間的流量來實現的,而這種流量可以通過使用Wireshark和其他數據包嗅探器等工具來監測到.。你可以在本文接下來的部分,看到Wireshark是如何對每個數據包的細節進行嗅探的,研究者們可以使用Wireshark來捕獲這些數據包以供日後的詳細分析。
當用Wireshark的filter方法抓取HTTP請求和響應時,我只能看到HTTP流量,不過,我知道該流量包含數據包中的圖片。但由於圖片經常分散在多個數據包中,所以我無法看到這些圖片並重新構建它們。
如果按照傳統的辦法,使用Wireshark和其他嗅探工具,我們僅僅能監測到圖形文件正在通過有線網路或無線網路進行傳播的事實,但卻並看不到它們,這些圖片包含jpg,png等各種格式的圖片文件。
攻擊情境設置
假設有外國政府間諜正在對一位專家的電腦進行監控,我的任務就是檢查他們是否從該專家的電腦里盜取了具有圖片性質的信息,比如機密地圖、計劃、知識產權等。這樣,為了弄清事情的危害程度,我就要具體判斷這些被傳輸的圖片信息到底是什麼內容。
首先,我需要進行MitM,把自己置於攻擊目標和路由器之間。這樣,所有的流量我就都可以監測到了。完成MitM之後,我需要使用一個名為「driftnet」的工具, driftnet是一款用於抓取指定介面數據流上面圖片的軟體。這樣我就能將圖片信息存儲並顯示在我的計算機上。
步驟1:使用arpspoof實施MiTM
在進行MiTM的方法上,我剛開始有arpspoof和Ettercap兩種選擇。
ettercap是一款現有流行的網路抓包軟體,它利用計算機在區域網內進行通信的ARP協議的缺陷進行攻擊,在目標與伺服器之間充當中間人,嗅探兩者之間的數據流量,從中竊取用戶的數據資料。
而arpspoof同樣也可以完成APR欺騙,在經過對比後,我發現雖然Ettercap使用起來更加簡單上手,但arpspoof卻更加可靠。於是最後,我決定用arpspoof實施MiTM。
要設置arpspoof,我需要三個終端。kali > arpspoof -i eth0 -t 192.168.1.1 192.168.1.115終端的特點:
-i eth0是我想要嗅探和實施arpspoof的介面
-t目標
192.168.1.1是路由器的IP地址
192.168.1.115是疑似攻擊者的IP地址
值得注意的是,如果我在無線網路上實施這個MiTM,我可以用「-i wlan0」替換「-i eth0」。
然後,通過反轉IP地址來連接另一終端,kali > arpspoof -i eth0 192.168.1.115 192.168.1.1。
最後,我需要對ip_forward進行設置,kali > echo 1 > /proc/sys/net/ipv4/ip_forward。
現在,我就成功地通過MiTM劫持了攻擊者和目標路由器之間的流量。這樣,兩者之間的流量就都被我嗅探到了。
步驟2:設置driftnet
現在,我應該可以看到雙方發送或接收的所有圖片,下一步我要做的就是激活driftnet。我可以通過在Kali的任何終端輸入driftnet來做到這一點,不過切記,不要使用arpspoof運行的開放終端,因為這將終止arpspoof。
kali > driftnet
如上圖所左下方所示,我的終端下面顯示了一個小窗口,這正是driftnet證明它發現和重構圖片的位置。
步驟3:實時查看圖片
現在,一旦攻擊者對目標發送或接收任何互聯網流量,那該流量都將遍歷我的系統。如此一來,我就可以過濾、重構、查看和保存圖片。
現在要做的就是等待,等待攻擊者發起攻擊,我好捕獲圖片的流量。 按照既定的攻擊測試,這時,我會發現一個傳輸照片的流量,該流量出現在我屏幕上的driftnet窗口裡。
步驟4:進一步分析圖片
雖然起初發現的那些體育圖片似乎並沒有顯示出什麼惡意,但我仍然有可能要把它們保存下來,以進行進一步的分析。
如果我返回driftnet命令終端,我會看到,driftnet已經把保存圖片的路徑顯示了出來。
要注意的是,driftnet會使用隨機選擇的子目錄將圖片保存到/tmp 目錄。 有趣的是,子目錄拼寫錯誤(以下所示),應該是driftnet而不是drifnet。
讓給我來瀏覽一下該目錄,看看driftnet為我捕獲並保存了什麼。
kali > cd /tmp/drifnet-1Ilw8b
你可以看到,在短短几秒鐘內,driftnet已經捕獲,重構和保存了許多圖片。這些都是jpeg和gif文件,但是driftnet也能夠捕獲和重構其他圖片文件,包括MPEG和音頻文件。
※ATM惡意軟體發展歷程:從物理攻擊到基於網路的攻擊
※「束手待斃」的德勤!請問你的安全措施真的不是在開玩笑?
※電視跳出「世界末日」警示,加利福尼亞州有線電視疑遭黑客入侵
※IE地址欄的信息是如何泄露的
※繞過Google驗證限制,對搜索結果進行批量化漏洞掃描
TAG:嘶吼RoarTalk |