从实践中学习网络防护与反入侵

基于成熟的渗透测试环境Kali Linux进行讲解；

展示网络欺骗的完整实施流程；

详解6类中间人攻击的方式及其应对策略；

分析3类常见服务的伪造方法；

详解常见的数据嗅探和篡改方式；

提供后续的内容更新服务和完善的工具获取方式；

提供QQ群、论坛和E-mail互动交流方式。

 

网络将无数的计算机和设备连接起来，使其协同工作，从而满足人们生活和工作中的各种需求。在这个过程中，海量数据通过网络进行传输。为了获取重要数据，攻击者会利用网络自身漏洞和用户不当操作进行各种欺骗。一旦欺骗成功，他们不仅可以嗅探敏感数据，还可以篡改数据，发起更严重的网络攻击。用户只有了解网络欺骗，并进行合理的防御，才能保证网络信息的安全。本书带领读者系统地掌握网络欺骗的各种方式，并掌握如何进行防护。

《从实践中学习网络防护与反入侵》共11章，分为4篇。第1篇“基础知识”，包括网络欺骗与防御概述；第2篇“中间人攻击及防御”，包括ARP攻击与欺骗及防御、DHCP攻击及防御、DNS攻击及防御、LLMNR/NetBIOS攻击及防御、WiFi攻击及防御；第3篇“服务伪造”，包括伪造更新服务、伪造网站服务和伪造服务认证；第4篇“数据利用”，包括数据嗅探和数据篡改。

《从实践中学习网络防护与反入侵》适合渗透测试人员、网络维护人员及信息安全技术爱好者阅读。通过阅读本书，读者可以系统地了解网络欺骗的原理，熟悉网络欺骗的各种方式，并掌握相应的防护措施，从而保障网络信息的安全。

大学霸IT达人，信息安全技术研究团队。熟悉Kali Linux、Metasploit、Xamarin等相关技术。长期从事技术研究和推广工作。专注于网络安全、渗透测试、移动开发和游戏开发等领域。曾经参与编写了多本相关技术图书。

第1篇  基础知识

第1章  网络欺骗与防御概述    2

1.1  什么是网络欺骗   2

1.1.1  中间人攻击       2

1.1.2  服务伪造   3

1.2  中间人攻击的种类      3

1.2.1  ARP攻击   3

1.2.2  DHCP攻击       3

1.2.3  DNS攻击   4

1.2.4  WiFi攻击   4

1.2.5  LLMNR/NetBIOS攻击     4

1.3  技术构成      4

1.3.1  劫持流量   5

1.3.2  转发数据   5

1.3.3  嗅探数据   5

1.3.4  篡改数据   5

1.3.5  构建服务   5

1.4  网络防御      6

第2篇  中间人攻击及防御

第2章  ARP攻击与欺骗及防御       8

2.1  ARP攻击与欺骗的原理      8

2.1.1  ARP攻击原理   8

2.1.2  ARP欺骗原理   9

2.2  实施ARP攻击与欺骗 10

2.2.1  使用Arpspoof工具   10

2.2.2  使用Metasploit的ARP欺骗模块   14

2.2.3  使用KickThemOut工具   17

2.2.4  使用larp工具   19

2.2.5  使用4g8工具    22

2.2.6  使用macof工具       23

2.2.7  使用Ettercap工具    24

2.3  防御策略      33

2.3.1  静态ARP绑定  33

2.3.2  在路由器中绑定IP-MAC 34

2.3.3  使用Arpspoof工具   37

2.3.4  使用Arpoison工具   39

2.3.5  安装ARP防火墙      41

第3章  DHCP攻击及防御 42

3.1  DHCP工作机制   42

3.1.1  DHCP工作流程       42

3.1.2  DHCP攻击原理       43

3.2  搭建DHCP服务  45

3.2.1  安装DHCP服务       45

3.2.2  配置伪DHCP服务   48

3.2.3  启动伪DHCP服务   50

3.2.4  DHCP租约文件       51

3.3  DHCP耗尽攻击   51

3.3.1  使用Dhcpstarv工具  52

3.3.2  使用Ettercap工具    53

3.3.3  使用Yersinia工具    55

3.3.4  使用Dhcpig工具      58

3.4  数据转发      60

3.5  防御策略      60

3.5.1  启用DHCP-Snooping功能      61

3.5.2  启用Port-Security功能    62

3.5.3  设置静态地址   62

第4章  DNS攻击及防御   68

4.1  DNS工作机制     68

4.1.1  DNS工作原理   68

4.1.2  DNS攻击原理   69

4.2  搭建DNS服务     70

4.2.1  安装DNS服务  70

4.2.2  配置DNS服务  70

4.2.3  启动DNS服务  72

4.3  实施DNS攻击     73

4.3.1  使用Ettercap工具    74

4.3.2  使用Xerosploit工具 80

4.4  防御策略      85

4.4.1  绑定IP地址和MAC地址       86

4.4.2  直接使用IP地址访问      86

4.4.3  不要依赖DNS服务  86

4.4.4  对DNS应答包进行检测  87

4.4.5  使用入侵检测系统   87

4.4.6  优化DNS服务  87

4.4.7  使用DNSSEC   87

第5章  LLMNR/NetBIOS攻击及防御     88

5.1  LLMNR/NetBIOS攻击原理 88

5.2  使用Responder工具实施攻击    89

5.2.1  Responder工具概述  89

5.2.2  实施LLMNR/NetBIOS攻击    90

5.2.3  使用John工具破解密码  92

5.2.4  使用Hashcat工具破解密码     93

5.3  使用Metasploit框架实施攻击    95

5.3.1  LLMNR欺骗     95

5.3.2  NetBIOS攻击    97

5.3.3  捕获认证信息   98

5.3.4  捕获NTLM认证      100

5.4  防御策略      101

5.4.1  关闭NetBIOS服务   102

5.4.2  关闭LLMNR服务    104

第6章  WiFi攻击及防御   106

6.1  WiFi网络概述     106

6.1.1  什么是WiFi网络     106

6.1.2  WiFi工作原理   106

6.1.3  WiFi中间人攻击原理      107

6.2  创建伪AP    108

6.2.1  使用Airbase-ng工具       108

6.2.2  使用Wifi-Honey工具      111

6.2.3  使用hostapd工具     114

6.3  防御策略      115

6.3.1  尽量不接入未加密网络   116

6.3.2  确认敏感网站登录页面处于HTTPS保护     116

6.3.3  加密方式的选择       116

6.3.4  及时排查内网网速下降等问题       116

6.3.5  使用VPN加密隧道  116

第3篇　服务伪造

第7章  伪造更新服务       120

7.1  使用isr-evilgrade工具 120

7.1.1  安装及启动isr-evilgrade工具  120

7.1.2  伪造更新服务   121

7.2  使用WebSploit框架    125

7.2.1  安装及启动WebSploit框架     125

7.2.2  伪造系统更新服务   125

第8章  伪造网站服务       131

8.1  克隆网站      131

8.1.1  启动SET   131

8.1.2  使用SET克隆网站   133

8.2  伪造域名      138

8.2.1  利用Typo域名  138

8.2.2  利用多级域名   141

8.2.3  其他域名   141

8.3  搭建Web服务器  142

8.3.1  安装Apache服务器  142

8.3.2  启动Apache服务器  142

8.3.3  配置Apache服务器  143

第9章  伪造服务认证       147

9.1  配置环境      147

9.2  伪造DNS服务     150

9.3  伪造HTTP基础认证   153

9.4  伪造HTTPS服务认证 155

9.4.1  使用Responder工具 155

9.4.2  使用Phishery工具    158

9.5  伪造SMB服务认证    160

9.6  伪造SQL Server服务认证  162

9.7  伪造RDP服务认证     163

9.8  伪造FTP服务认证      165

9.9  伪造邮件服务认证      167

9.9.1  邮件系统传输协议   167

9.9.2  伪造邮件服务认证的方法       167

9.10  伪造WPAD代理服务认证       169

9.10.1  攻击原理  170

9.10.2  获取用户信息  171

9.11  伪造LDAP服务认证 174

第4篇  数据利用

第10章  数据嗅探      178

10.1  去除SSL/TLS加密    178

10.1.1  SSLStrip工具工作原理  178

10.1.2  使用SSLStrip工具 179

10.2  嗅探图片    181

10.3  嗅探用户的敏感信息 184

10.3.1  使用Ettercap工具  184

10.3.2  捕获及利用Cookie 185

10.3.3  使用SET  193

10.3.4  使用MITMf框架    200

10.4  嗅探手机数据    211

10.4.1  使用Wireshark工具       212

10.4.2  使用Ettercap工具  214

10.4.3  重定向手机设备数据     215

第11章  数据篡改      217

11.1  修改数据链路层的数据流 217

11.1.1  使用Yersinia工具   217

11.1.2  使用bittwiste工具  219

11.1.3  使用HexInject工具 222

11.2  修改传输层的数据流 224

11.2.1  使用tcprewrite工具       224

11.2.2  使用netsed工具      227

11.3  修改应用层的数据流 228

11.3.1  Etterfilter工具语法 229

11.3.2  使网页弹出对话框  230

11.3.3  将目标主机“杀死”     231

随着IT技术的发展，万物互联成为新的趋势。无论是计算机、手机，还是电视、音箱等，各种电子设备都能连接网络。这些设备借助网络完成各种复杂的功能。在工作中，这些设备往往会发送和接收大量的数据，而这些数据往往包含大量的重要信息和敏感信息，如用户的个人信息、商业情报和军事情报等。

为了获取这些信息，攻击者会对目标进行各种网络欺骗和入侵。其中，常见的两种方式是中间人攻击和服务伪造。中间人攻击利用网络标识识别机制的漏洞和人性弱点，获取目标网络数据，然后从中提取有价值的数据。而服务伪造则是构建虚拟服务，诱骗用户访问，从而获取需要的数据。甚至，攻击者还会篡改数据，形成进一步的其他攻击。因此，网络防护的重点是发现这两种行为并进行防御。

《从实践中学习网络防护与反入侵》基于Kali Linux系统，从渗透测试的角度讲解网络欺骗的实施方式和防御技巧，内容涵盖中间人攻击、服务伪造、数据嗅探和数据篡改等。本书在讲解过程中贯穿了大量的实例，以便读者更加直观地理解与掌握各章内容。

《从实践中学习网络防护与反入侵》特色

1．详细剖析网络欺骗的各种方式

网络环境的不同，使得用户使用的联网方式、网络协议及服务均有所不同，每种环境下衍生出的网络欺骗方式也不同。本书详细分析了常见的网络欺骗原理、实施方式和防御手段，帮助读者应对各种攻击。

2．内容可操作性强

网络欺骗是基于实际应用存在的漏洞而衍生出来的网络攻击方式，这些攻击方式都具有极强的可操作性。本书基于这个特点合理安排内容，详细讲解各种中间人攻击的方式、服务伪造方式和服务认证伪造方式。书中的重要技术要点都配以操作实例进行讲解，带领读者动手练习。

3．由浅入深，容易上手

《从实践中学习网络防护与反入侵》充分考虑了初学者的学习特点，从概念讲起，帮助初学者明确网络欺骗的原理和技术构成。在讲解每种攻击方式时，首先分析攻击依赖协议的工作方式和攻击原理，然后具体讲解攻击方式，后给出相应的防御方式。

4．环环相扣，逐步讲解

网络欺骗遵循中间人攻击、伪造服务、获取数据、继续攻击的工作流程，本书按照该流程详细分析每个环节涉及的相关技术，逐步讲解实现方式及防御手段。通过这样的方式，帮助读者理解网络欺骗的本质，以便灵活应对实际生活和工作中各种复杂的攻击手段。

5．提供完善的技术支持和售后服务

《从实践中学习网络防护与反入侵》提供QQ交流群（343867787）和论坛（bbs.daxueba.net），供读者交流和讨论学习中遇到的各种问题。读者还可以关注我们的微博账号（@大学霸IT达人），获取图书内容更新信息及相关技术文章。另外，本书还提供了售后服务邮箱[email protected]，读者在阅读本书的过程中若有疑问，也可以通过该邮箱获得帮助。

《从实践中学习网络防护与反入侵》内容

第1篇  基础知识（第1章）

本篇主要介绍网络欺骗的主要技术构成，如中间人攻击和服务伪造等。

第2篇  中间人攻击及防御（第2～6章）

本篇主要介绍常见的中间人攻击和防御方式，涵盖ARP攻击及防御、DHCP攻击及防御、DNS攻击及防御、LLMNR/NetBIOS攻击及防御、WiFi攻击及防御。

第3篇  服务伪造（第7～9章）

本篇主要介绍如何伪造各种服务，包括软件更新服务、系统更新服务、网站服务，以及各类服务认证，如HTTP基础认证、HTTPS服务认证、SMB服务认证和SQL Server服务认证等。

第4篇  数据利用（第10、11章）

本篇主要介绍攻击者进行网络欺骗后，如何嗅探数据和篡改数据。本篇涉及大量的专业工具，如SSLStrip、Ettercap、SET、MITMf、Wireshark、Yersinia、bittwiste、HexInject和tcprewrite等。

《从实践中学习网络防护与反入侵》配套资源获取方式

《从实践中学习网络防护与反入侵》涉及的工具和软件需要读者自行获取，获取途径有以下几种：

• 根据书中对应章节给出的网址下载；
• 加入本书QQ交流群获取；
• 访问论坛daxueba.net获取；
• 登录华章公司官网hzbook.com，在该网站上搜索到本书，然后单击“资料下载”按钮，即可在本书页面上找到“配书资源”下载链接。

《从实践中学习网络防护与反入侵》内容更新文档获取方式

为了让本书内容紧跟技术的发展和软件的更新，我们会对书中的相关内容进行不定期更新，并发布对应的电子文档。需要的读者可以加入QQ交流群获取，也可以通过华章公司官网上的本书配套资源链接下载。

《从实践中学习网络防护与反入侵》读者对象

• 渗透测试技术人员；
• 网络安全和维护人员；
• 信息安全技术爱好者；
• 计算机安全自学人员；
• 高校相关专业的学生；
• 专业培训机构的学员。

《从实践中学习网络防护与反入侵》阅读建议

• 第2～6章的攻击操作可能引起网络故障，所以操作时一定要在实验环境下进行，以避免影响正常的生活和工作。
• 进行实验时，建议和正常网络进行对比分析，了解网络欺骗的各种特征，以便发现各种攻击。
• 在实验过程中建议了解相关法律，避免侵犯他人权益，甚至触犯法律。
• 在进行数据分析时，需要读者具有一定的网络协议知识和Wireshark使用经验，若欠缺相关知识，可阅读本系列的相关图书。

售后支持

感谢在本书编写和出版过程中给予我们大量帮助的各位编辑！限于作者水平，加之写作时间有限，书中可能存在一些疏漏和不足之处，敬请各位读者批评指正。

第1章  网络欺骗与防御概述
网络欺骗是利用各种技术手段，将目标网络数据发送给错误的接收方。网络欺骗不仅可以导致用户数据被窃取和篡改，也会导致接收方受到流量攻击。本章将对网络欺骗与防御进行概述。
1.1  什么是网络欺骗
在日常生活中，常见的网络欺骗技术可以分为两种，分别是中间人攻击和服务伪造。本节将分别介绍这两种网络欺骗方式。
1.1.1  中间人攻击
中间人攻击（Man In The Middle attack，MITM攻击）是一种“间接”的入侵攻击。这种攻击模式通过各种技术手段（如SMB会话劫持、ARP欺骗、DNS欺骗等），将受到入侵者控制的一台计算机虚拟地放置在网络连接中的两台通信计算机之间，使其充当“中间人”角色，负责转发双方的数据。简而言之，所谓的MITM攻击就是通过拦截正常的网络通信数据，进行数据嗅探和篡改，而不让通信双方发现的攻击，如图1.1所示。
 
图1.1  中间人攻击示意
随着计算机通信技术的不断发展，MITM攻击也越来越多样化。初，攻击者只要将网卡设为混杂模式，伪装成代理服务器监听特定的流量就可以实现攻击。这是因为很多通信协议都是以明文进行传输的，如HTTP、FTP和Telnet等。后来，随着交换机代替集线器，简单的嗅探攻击已经不能成功，必须先进行ARP欺骗才行。如今，随着越来越多的服务商（网上银行、邮箱）开始采用加密通信，SSL（Secure Socket Layer，安全套接层）成为一种广泛使用的技术，而且HTTPS和FTPS等都是建立在其基础上的。这时，中间人攻击又开始引入证书剥离、伪造根证书等技术。
1.1.2  服务伪造
服务伪造就是伪造一个虚假的服务器，代替真实服务器做出响应，进而获取用户的登录认证等重要信息。例如，通过伪造一个HTTP认证服务，可以获取用户认证信息。当成功伪造一个HTTP认证服务后，即可通过中间人攻击技术将目标主机诱骗到攻击主机的伪HTTP认证服务。若目标主机登录伪HTTP认证服务，其登录认证信息将被攻击主机捕获。
1.2  中间人攻击的种类
中间人攻击是一种由来已久的网络入侵手段，在当今仍然有着广泛的发展空间。在网络安全方面，中间人攻击的使用很广泛，曾经猖獗一时的SMB会话劫持和DNS欺骗等技术都是典型的中间人攻击手段。目前，ARP欺骗和DNS欺骗是典型的中间人攻击方式。本节将对中间人攻击的种类进行详细介绍。
1.2.1  ARP攻击
ARP是一种基于网络层的网络协议。它负责将IP地址转化为MAC地址，帮助把以IP地址标识的数据包发送给以MAC地址标识的网络设备。而ARP攻击通过伪造IP地址和MAC地址的对应关系来实现。这种攻击能够在网络中产生大量的ARP通信，导致网络阻塞。攻击者只要持续不断地发出伪造的ARP应答包，就能更改目标主机ARP缓存中的IP-MAC条目，从而造成ARP欺骗，形成中间人攻击。
1.2.2  DHCP攻击
DHCP是一种应用层网络协议，它能帮助网络服务器为网络内的其他主机分配IP地址。其他主机使用获取的IP地址进行数据发送。DHCP攻击针对的目标是网络中的DHCP服务器。它的原理是耗尽网络内原有DHCP服务器的IP地址资源，使其无法正常提供IP地址，然后网络中假冒的DHCP服务器开始为客户端分发IP地址。由于在分配IP地址的时候会附加伪造的网关和DNS服务器地址，所以会造成断网攻击，或者实现中间人攻击。
1.2.3  DNS攻击
DNS是一种应用层的网络协议，它负责将域名解析为对应的IP地址。用户在访问网站的时候，通常需要通过DNS服务器获取网站所对应的IP地址，才能请求到对应的网页。而DNS攻击是将域名解析到错误的IP地址，从而导致用户无法访问网页或者访问错误的网页。
1.2.4  WiFi攻击
WiFi是现在常见的联网方式。WiFi攻击是通过创建伪AP，以实现中间人攻击。首先，攻击者需要探测出目标的SSID、工作频道和MAC等相关信息，并且获取其无线连接的密码；然后，利用创建伪AP软件（如Aribase-ng）创建一个与真实AP相同配置的伪AP，并通过大功率网卡诱骗用户设备连接到伪AP上，从而实现WiFi攻击。
1.2.5  LLMNR/NetBIOS攻击
网络基本输入输出系统（Network Basic Input Output System，NetBIOS）和链路本地多播名称解析（Link-Local Multicast Name Resolution，LLMNR）是Microsoft针对工作组和域设计的名称解析协议，主要用于局域网中的名称解析。当DNS解析失败时，Windows系统会使用NetBIOS和LLMNR搜索名称。因此，基于这个工作原理，也可以进行中间人攻击。
1.3  技 术 构 成
中间人攻击技术可以分为四部分，分别是劫持流量、转发数据、嗅探数据及篡改数据。通过实施中间人攻击，攻击者可以对目标主机的数据进行劫持、转发及篡改。服务伪造主要是构建各种目标用户要访问的服务，以诱骗目标用户进行特定的操作，如输入用户名和密码信息。本节将介绍网络欺骗技术的构成。
1.3.1  劫持流量
劫持流量是中间人攻击的步。攻击者必须获取目标发送和接收的数据，才能进行中间人攻击。前面讲解的ARP攻击、DHCP攻击、DNS攻击和WiFi攻击都是为了将目标数据引导至攻击者期待的主机上，然后进行后续处理。不同的攻击方式，可以劫持的数据也不同。例如，ARP攻击、DHCP攻击和WiFi攻击可以获取目标所有的数据流量，而DNS攻击只能获取被欺骗的域名的相关数据。
1.3.2  转发数据
转发数据就是将攻击者获取的数据转发到真实或者虚假的目的地。例如，进行DNS攻击的时候，如果要诱骗用户访问虚假网站，就需要构建错误的DNS记录，以引导用户访问虚假网站。如果不进行转发数据或者转发失败，则会导致目标用户无法访问网络，或者无法访问特定的网站。
1.3.3  嗅探数据
一旦成功地劫持流量，并成功地进行数据转发，攻击者就可以获取目标用户的网络数据。嗅探数据就是从这些网络数据中寻找有价值的信息。例如，通过嗅探HTTP数据，可以了解用户的上网习惯、兴趣爱好，以及用户的敏感信息，如特定网站的用户名、密码、个人隐私信息等。攻击者可以提取这些数据，以便后期利用。
1.3.4  篡改数据
嗅探数据只是被动地获取目标用户产生的数据。这些数据往往不是攻击者希望得到的数据。即使这些数据可以被利用，也往往由于具有时效性，而不能被长期使用。而篡改数据可以帮助攻击者实现特定的目的。例如，攻击者可以篡改目标用户提交的请求，将取消授权操作改为添加授权操作。这样，目标用户在不知情下，就完成了攻击者想要的操作。
1.3.5  构建服务
为了获取重要的信息，必须构建服务。构建的服务可以是完整的服务，也可以是部分模块，如认证模块。Kali Linux提供了以下两个相关工具：
? Responder工具：使用Responder工具可以伪造SMB等服务认证。当目标用户访问伪SMB服务时，其认证信息将被Responder工具捕获。
? isr-evilgrade工具：使用isr-evilgrade工具可以伪造更新服务。当实施DNS欺骗后，需要更新的软件就会访问渗透测试人员的计算机，下载预先准备好的攻击载荷作为更新包并运行。这样，渗透测试人员就可以控制目标主机了。
1.4  网 络 防 御
网络防御是帮助自己的计算机网络系统对抗网络攻击的措施和行为。它的目的是防止攻击者利用、削弱和破坏自己的网络系统，以确保自己的网络系统正常运行。通常情况下，防御措施可分为网络设备防护、网络通信防护、网络软件系统防护和网络服务防护等。其中，常见的防御措施有防火墙技术、访问控制、数据加密、系统安全漏洞监测等。本书将针对每种攻击方式讲解对应的防御策略。