网络将无数的计算机和设备连接起来,使其协同工作,从而满足人们生活和工作中的各种需求。在这个过程中,海量数据通过网络进行传输。为了获取重要数据,攻击者会利用网络自身漏洞和用户不当操作进行各种欺骗。一旦欺骗成功,他们不仅可以嗅探敏感数据,还可以篡改数据,发起更严重的网络攻击。用户只有了解网络欺骗,并进行合理的防御,才能保证网络信息的**。本书带领读者系统地掌握网络欺骗的各种方式,并掌握如何进行防护。 《从实践中学习网络防护与反入侵》共11章,分为4篇。第1篇“基础知识”,包括网络欺骗与防御概述;第2篇“中间人攻击及防御”,包括ARP攻击与欺骗及防御、DHCP攻击及防御、DNS攻击及防御、LLMNR/NetBIOS攻击及防御、WiFi攻击及防御;第3篇“服务伪造”,包括伪造更新服务、伪造网站服务和伪造服务认证;第4篇“数据利用”,包括数据嗅探和数据篡改。 《从实践中学习网络防护与反入侵》适合渗透测试人员、网络维护人员及信息**技术爱好者阅读。通过阅读本书,读者可以系统地了解网络欺骗的原理,熟悉网络欺骗的各种方式,并掌握相应的防护措施,从而保障网络信息的**。

第1章 网络欺骗与防御概述
网络欺骗是利用各种技术手段,将目标网络数据发送给错误的接收方。网络欺骗不仅可以导致用户数据被窃取和篡改,也会导致接收方受到流量攻击。本章将对网络欺骗与防御进行概述。
1.1 什么是网络欺骗
在日常生活中,常见的网络欺骗技术可以分为两种,分别是中间人攻击和服务伪造。本节将分别介绍这两种网络欺骗方式。
1.1.1 中间人攻击
中间人攻击(Man In The Middle attack,MITM攻击)是一种“间接”的入侵攻击。这种攻击模式通过各种技术手段(如SMB会话劫持、ARP欺骗、DNS欺骗等),将受到入侵者控制的一台计算机虚拟地放置在网络连接中的两台通信计算机之间,使其充当“中间人”角色,负责转发双方的数据。简而言之,所谓的MITM攻击就是通过拦截正常的网络通信数据,进行数据嗅探和篡改,而不让通信双方发现的攻击,如图1.1所示。

图1.1 中间人攻击示意
随着计算机通信技术的不断发展,MITM攻击也越来越多样化。*初,攻击者只要将网卡设为混杂模式,伪装成代理服务器监听特定的流量就可以实现攻击。这是因为很多通信协议都是以明文进行传输的,如HTTP、FTP和Telnet等。后来,随着交换机代替集线器,简单的嗅探攻击已经不能成功,必须先进行ARP欺骗才行。如今,随着越来越多的服务商(网上银行、邮箱)开始采用加密通信,SSL(Secure Socket Layer,**套接层)成为一种广泛使用的技术,而且HTTPS和FTPS等都是建立在其基础上的。这时,中间人攻击又开始引入证书剥离、伪造根证书等技术。
1.1.2 服务伪造
服务伪造就是伪造一个虚假的服务器,代替真实服务器做出响应,进而获取用户的登录认证等重要信息。例如,通过伪造一个HTTP认证服务,可以获取用户认证信息。当成功伪造一个HTTP认证服务后,即可通过中间人攻击技术将目标主机诱骗到攻击主机的伪HTTP认证服务。若目标主机登录伪HTTP认证服务,其登录认证信息将被攻击主机捕获。
1.2 中间人攻击的种类
中间人攻击是一种由来已久的网络入侵手段,在当今仍然有着广泛的发展空间。在网络**方面,中间人攻击的使用很广泛,曾经猖獗一时的SMB会话劫持和DNS欺骗等技术都是典型的中间人攻击手段。目前,ARP欺骗和DNS欺骗是*典型的中间人攻击方��。本节将对中间人攻击的种类进行详细介绍。
1.2.1 ARP攻击
ARP是一种基于网络层的网络协议。它负责将IP地址转化为MAC地址,帮助把以IP地址标识的数据包发送给以MAC地址标识的网络设备。而ARP攻击通过伪造IP地址和MAC地址的对应关系来实现。这种攻击能够在网络中产生大量的ARP通信,导致网络阻塞。攻击者只要持续不断地发出伪造的ARP应答包,就能更改目标主机ARP缓存中的IP-MAC条目,从而造成ARP欺骗,形成中间人攻击。
1.2.2 DHCP攻击
DHCP是一种应用层网络协议,它能帮助网络服务器为网络内的其他主机分配IP地址。其他主机使用获取的IP地址进行数据发送。DHCP攻击针对的目标是网络中的DHCP服务器。它的原理是耗尽网络内原有DHCP服务器的IP地址资源,使其无法正常提供IP地址,然后网络中假冒的DHCP服务器开始为客户端分发IP地址。由于在分配IP地址的时候会附加伪造的网关和DNS服务器地址,所以会造成断网攻击,或者实现中间人攻击。
1.2.3 DNS攻击
DNS是一种应用层的网络协议,它负责将域名解析为对应的IP地址。用户在访问网站的时候,通常需要通过DNS服务器获取网站所对应的IP地址,才能请求到对应的网页。而DNS攻击是将域名解析到错误的IP地址,从而导致用户无法访问网页或者访问错误的网页。
1.2.4 WiFi攻击
WiFi是现在常见的联网方式。WiFi攻击是通过创建伪AP,以实现中间人攻击。首先,攻击者需要探测出目标的SSID、工作频道和MAC等相关信息,并且获取其无线连接的密码;然后,利用创建伪AP软件(如Aribase-ng)创建一个与真实AP相同配置的伪AP,并通过大功率网卡诱骗用户设备连接到伪AP上,从而实现WiFi攻击。
1.2.5 LLMNR/NetBIOS攻击
网络基本输入输出系统(Network Basic Input Output System,NetBIOS)和链路本地多播名称解析(Link-Local Multicast Name Resolution,LLMNR)是Microsoft针对工作组和域设计的名称解析协议,主要用于局域网中的名称解析。当DNS解析失败时,Windows系统会使用NetBIOS和LLMNR搜索名称。因此,基于这个工作原理,也可以进行中间人攻击。
1.3 技 术 构 成
中间人攻击技术可以分为四部分,分别是劫持流量、转发数据、嗅探数据及篡改数据。通过实施中间人攻击,攻击者可以对目标主机的数据进行劫持、转发及篡改。服务伪造主要是构建各种目标用户要访问的服务,以诱骗目标用户进行特定的操作,如输入用户名和密码信息。本节将介绍网络欺骗技术的构成。
1.3.1 劫持流量
劫持流量是中间人攻击的**步。攻击者必须获取目标发送和接收的数据,才能进行中间人攻击。前面讲解的ARP攻击、DHCP攻击、DNS攻击和WiFi攻击都是为了将目标数据引导至攻击者期待的主机上,然后进行后续处理。不同的攻击方式,可以劫持的数据也不同。例如,ARP攻击、DHCP攻击和WiFi攻击可以获取目标所有的数据流量,而DNS攻击只能获取被欺骗的域名的相关数据。
1.3.2 转发数据
转发数据就是将攻击者获取的数据转发到真实或者虚假的目的地。例如,进行DNS攻击的时候,如果要诱骗用户访问虚假网站,就需要构建错误的DNS记录,以引导用户访问虚假网站。如果不进行转发数据或者转发失败,则会导致目标用户无法访问网络,或者无法访问特定的网站。
1.3.3 嗅探数据
一旦成功地劫持流量,并成功地进行数据转发,攻击者就可以获取目标用户的网络数据。嗅探数据就是从这些网络数据中寻找有价值的信息。例如,通过嗅探HTTP数据,可以了解用户的上网习惯、兴趣爱好,以及用户的敏感信息,如特定网站的用户名、密码、个人隐私信息等。攻击者可以提取这些数据,以便后期利用。
1.3.4 篡改数据
嗅探数据只是被动地获取目标用户产生的数据。这些数据往往不是攻击者希望得到的数据。即使这些数据可以被利用,也往往由于具有时效性,而不能被长期使用。而篡改数据可以帮助攻击者实现特定的目的。例如,攻击者可以篡改目标用户提交的请求,将取消授权操作改为添加授权操作。这样,目标用户在不知情下,就完成了攻击者想要的操作。
1.3.5 构建服务
为了获取重要的信息,必须构建服务。构建的服务可以是完整的服务,也可以是部分模块,如认证模块。Kali Linux提供了以下两个相关工具:
? Responder工具:使用Responder工具可以伪造SMB等服务认证。当目标用户访问伪SMB服务时,其认证信息将被Responder工具捕获。
? isr-evilgrade工具:使用isr-evilgrade工具可以伪造更新服务。当实施DNS欺骗后,需要更新的软件就会访问渗透测试人员的计算机,下载预先准备好的攻击载荷作为更新包并运行。这样,渗透测试人员就可以控制目标主机了。
1.4 网 络 防 御
网络防御是帮助自己的计算机网络系统对抗网络攻击的措施和行为。它的目的是防止攻击者利用、削弱和破坏自己的网络系统,以确保自己的网络系统正常运行。通常情况下,防御措施可分为网络设备防护、网络通信防护、网络软件系统防护和网络服务防护等。其中,*常见的防御措施有防火墙技术、访问控制、数据加密、系统**漏洞监测等。本书将针对每种攻击方式讲解对应的防御策略。

第1篇 基础知识 第1章 网络欺骗与防御概述 2 1.1 什么是网络欺骗 2 1.1.1 中间人攻击 2 1.1.2 服务伪造 3 1.2 中间人攻击的种类 3 1.2.1 ARP攻击 3 1.2.2 DHCP攻击 3 1.2.3 DNS攻击 4 1.2.4 WiFi攻击 4 1.2.5 LLMNR/NetBIOS攻击 4 1.3 技术构成 4 1.3.1 劫持流量 5 1.3.2 转发数据 5 1.3.3 嗅探数据 5 1.3.4 篡改数据 5 1.3.5 构建服务 5 1.4 网络防御 6 第2篇 中间人攻击及防御 第2章 ARP攻击与欺骗及防御 8 2.1 ARP攻击与欺骗的原理 8 2.1.1 ARP攻击原理 8 2.1.2 ARP欺骗原理 9 2.2 实施ARP攻击与欺骗 10 2.2.1 使用Arpspoof工具 10 2.2.2 使用Metasploit的ARP欺骗模块 14 2.2.3 使用KickThemOut工具 17 2.2.4 使用larp工具 19 2.2.5 使用4g8工具 22 2.2.6 使用macof工具 23 2.2.7 使用Ettercap工具 24 2.3 防御策略 33 2.3.1 静态ARP绑定 33 2.3.2 在路由器中绑定IP-MAC 34 2.3.3 使用Arpspoof工具 37 2.3.4 使用Arpoison工具 39 2.3.5 安装ARP防火墙 41 第3章 DHCP攻击及防御 42 3.1 DHCP工作机制 42 3.1.1 DHCP工作流程 42 3.1.2 DHCP攻击原理 43 3.2 搭建DHCP服务 45 3.2.1 安装DHCP服务 45 3.2.2 配置伪DHCP服务 48 3.2.3 启动伪DHCP服务 50 3.2.4 DHCP租约文件 51 3.3 DHCP耗尽攻击 51 3.3.1 使用Dhcpstarv工具 52 3.3.2 使用Ettercap工具 53 3.3.3 使用Yersinia工具 55 3.3.4 使用Dhcpig工具 58 3.4 数据转发 60 3.5 防御策略 60 3.5.1 启用DHCP-Snooping功能 61 3.5.2 启用Port-Security功能 62 3.5.3 设置静态地址 62 第4章 DNS攻击及防御 68 4.1 DNS工作机制 68 4.1.1 DNS工作原理 68 4.1.2 DNS攻击原理 69 4.2 搭建DNS服务 70 4.2.1 安装DNS服务 70 4.2.2 配置DNS服务 70 4.2.3 启动DNS服务 72 4.3 实施DNS攻击 73 4.3.1 使用Ettercap工具 74 4.3.2 使用Xerosploit工具 80 4.4 防御策略 85 4.4.1 绑定IP地址和MAC地址 86 4.4.2 直接使用IP地址访问 86 4.4.3 不要依赖DNS服务 86 4.4.4 对DNS应答包进行检测 87 4.4.5 使用入侵检测系统 87 4.4.6 优化DNS服务 87 4.4.7 使用DNSSEC 87 第5章 LLMNR/NetBIOS攻击及防御 88 5.1 LLMNR/NetBIOS攻击原理 88 5.2 使用Responder工具实施攻击 89 5.2.1 Responder工具概述 89 5.2.2 实施LLMNR/NetBIOS攻击 90 5.2.3 使用John工具破解密码 92 5.2.4 使用Hashcat工具破解密码 93 5.3 使用Metasploit框架实施攻击 95 5.3.1 LLMNR欺骗 95 5.3.2 NetBIOS攻击 97 5.3.3 捕获认证信息 98 5.3.4 捕获NTLM认证 100 5.4 防御策略 101 5.4.1 关闭NetBIOS服务 102 5.4.2 关闭LLMNR服务 104 第6章 WiFi攻击及防御 106 6.1 WiFi网络概述 106 6.1.1 什么是WiFi网络 106 6.1.2 WiFi工作原理 106 6.1.3 WiFi中间人攻击原理 107 6.2 创建伪AP 108 6.2.1 使用Airbase-ng工具 108 6.2.2 使用Wifi-Honey工具 111 6.2.3 使用hostapd工具 114 6.3 防御策略 115 6.3.1 尽量不接入未加密网络 116 6.3.2 确认敏感网站登录页面处于HTTPS保护 116 6.3.3 加密方式的选择 116 6.3.4 及时排查内网网速下降等问题 116 6.3.5 使用VPN加密隧道 116 第3篇 服务伪造 第7章 伪造更新服务 120 7.1 使用isr-evilgrade工具 120 7.1.1 安装及启动isr-evilgrade工具 120 7.1.2 伪造更新服务 121 7.2 使用WebSploit框架 125 7.2.1 安装及启动WebSploit框架 125 7.2.2 伪造系统更新服务 125 第8章 伪造网站服务 131 8.1 克隆网站 131 8.1.1 启动SET 131 8.1.2 使用SET克隆网站 133 8.2 伪造域名 138 8.2.1 利用Typo域名 138 8.2.2 利用多级域名 141 8.2.3 其他域名 141 8.3 搭建Web服务器 142 8.3.1 安装Apache服务器 142 8.3.2 启动Apache服务器 142 8.3.3 配置Apache服务器 143 第9章 伪造服务认证 147 9.1 配置环境 147 9.2 伪造DNS服务 150 9.3 伪造HTTP基础认证 153 9.4 伪造HTTPS服务认证 155 9.4.1 使用Responder工具 155 9.4.2 使用Phishery工具 158 9.5 伪造SMB服务认证 160 9.6 伪造SQL Server服务认证 162 9.7 伪造RDP服务认证 163 9.8 伪造FTP服务认证 165 9.9 伪造邮件服务认证 167 9.9.1 邮件系统传输协议 167 9.9.2 伪造邮件服务认证的方法 167 9.10 伪造WPAD代理服务认证 169 9.10.1 攻击原理 170 9.10.2 获取用户信息 171 9.11 伪造LDAP服务认证 174 第4篇 数据利用 第10章 数据嗅探 178 10.1 去除SSL/TLS加密 178 10.1.1 SSLStrip工具工作原理 178 10.1.2 使用SSLStrip工具 179 10.2 嗅探图片 181 10.3 嗅探用户的敏感信息 184 10.3.1 使用Ettercap工具 184 10.3.2 捕获及利用Cookie 185 10.3.3 使用SET 193 10.3.4 使用MITMf框架 200 10.4 嗅探手机数据 211 10.4.1 使用Wireshark工具 212 10.4.2 使用Ettercap工具 214 10.4.3 重定向手机设备数据 215 第11章 数据篡改 217 11.1 修改数据链路层的数据流 217 11.1.1 使用Yersinia工具 217 11.1.2 使用bittwiste工具 219 11.1.3 使用HexInject工具 222 11.2 修改传输层的数据流 224 11.2.1 使用tcprewrite工具 224 11.2.2 使用netsed工具 227 11.3 修改应用层的数据流 228 11.3.1 Etterfilter工具语法 229 11.3.2 使网页弹出对话框 230 11.3.3 将目标主机“杀死” 231