一次局域网入侵

起因

案发时间为上上周日,正在跟小伙伴们打dota2,在下中单wr十分钟单杀对面2次,只能用无解肥来形容,然后突然巨卡,再也连不上了。于是看了一下路由器,卧槽,IP尾号105的正以5.6Mb/s下载一些未知事物。然后我想简单的用路由器限速,讲道理,我觉得5M/s的车速的确是应该限制一下的。然后我发现竟然没有任何效果。

当时我的内心是崩溃的。

于是想到以前看到过的新闻,也许有人蹭网也说不定。赶紧研究研究局域网安全问题。于是进入正题。

工具

硬件

一台mac

软件

软件主要有几类,一一介绍。

抓包

Charles 这个应该很多人用过,调试网络利器。

Wireshark 优势在于不仅可以抓取http包。

端口扫描

Nmap 主要用于端口扫描,而且可以探测出操作系统类型。

数据包篡改与探测

Ettercap 最重要的工具,集多种攻击方式于一身,在咖啡厅获取别人信息,都是通过它干的。

显示图片

Driftnet 抓取经过本机的数据包的图片并显示,同样支持音频文件。



这几个工具还是挺难安装的,我在安装的时候,遇到的问题,都是墙的关系,所以重装了好几次。

我是使用brew和MacPorts安装的,如果不借助这两个安装,那只能自己去网站,照着步骤一步一步自己添加依赖,慢慢装了。


开始

上面提到的工具,我只用到了2个 ettercap + driftnet

1
$ sudo ettercap -G

上面这条命令是启动图形界面的,启动后,会出来这么个东西:




不得不说,图标深得我心。

然后点sniff,左上角第二个选项,选择网卡。
左上角的4个会变成下面的9个:

点击Hosts -> Scan for hosts扫描路由器中的IP。

然后把路由器的IP放到Target 2,其他的放到Target 1。

点Mitm -> ARP poinsoning 弹出对话框,选择Sniff remote connections。

OK,最后点左上角start -> start sniffing。

不出意外的话,就已经完成局域网ARP攻击了。再开个终端输入

1
sudo driftnet -i "网卡"

然后就可以等待了。

或者加入你有2台电脑,可以用另一台试一下,看看这台是否可以监测另一台电脑正在浏览的图片。

很多人觉得图形界面操作太low,想直接通过终端操作ettercap,在此奉上指令:

1
$ sudettercap -i en233 -T -q -M arp:remote /192.168.0.1//192.168.0.12-40/

上面这行指令,意思是扫描en233网卡上192.168.0.1与192.168.0.12到40之间的数据包。

由于本人也是门外汉,所以如果想深入一点研究ettercap,最好去git上研究下readme文档,然后去一些墙外的专业网站。







最后不得不吐槽一下,我这种外行人都能做到这种程度,网络究竟是有多不安全?