## Homework #3 - 姓名：余昌旻 - 學號：111356037 - 科系：資管所碩二 --- ### HW3-1 > 請按前述程序自行執行，並將相關結果畫面截圖作為作業內容 - 順利連線並建立三台設備  - Server 和 Client/Victim 都被掃描到 Host List 上  - 選擇 Server 和 Client/Victim 兩台主機 IP  - Windows 連線至 http:// 10.103.140.16/dvwa 並登入  - 執行 ARP Spoofing MITM 攻擊 - 重新登出再登入網頁 - 查看 Ettercap 之畫面，訊息列出現 Client 之帳號及密碼  - 確認 Client/Victim arp-a，Server/default gateway/kali Mac Address 均為 02:00:0a:67:8c:2c   - 回到 EtterCap 點選 Stop MITM Attack  - 在 Client/Victim 重新執行 arp -a  ### HW3-2 > 請比較2次執行arp –a結果並加以說明 在分析兩次執行 `arp -a` 的結果時，我們發現在第一次執行時，客戶端（IP位址為 10.103.140.27）的ARP快取表中，伺服器（IP位址為 10.103.140.16）的MAC地址已被攻擊者使用的Kali Linux機器（MAC地址為 02-00-0a-67-8c-2c）替換。 這表明攻擊者在進行中間人攻擊過程中已成功插入網絡通信路徑中。當攻擊停止後，第二次執行 `arp -a` 顯示伺服器的MAC地址已恢復為真實地址（02-00-0a-67-8c-10），證明網絡已回復正常狀態。 ### HW3-3 > ARP Spoofing之原理為何？ ARP欺騙（ARP Spoofing）是一種操縱網絡層面地址解析協議（ARP）的攻擊手段，它直接利用了ARP協議設計上的一個重要漏洞：缺乏足夠的安全驗證機制。在正常情況下，ARP協議允許網絡設備透過廣播查詢方式發送請求，以便將一個IP地址映射到相對應的MAC地址。然而，由於協議本身不提供驗證發送者的身份的機制，這就給了攻擊者可趁之機。 在ARP欺騙攻擊中，攻擊者會在同一局域網內發送偽造的ARP回應。這些偽造的回應會聲稱攻擊者的MAC地址與某個合法設備（通常是網關或者某個重要服務器）的IP地址相關聯。當其他設備接收到這些虛假信息後，便會更新其ARP緩存，將目標IP地址誤對應到攻擊者的MAC地址上。結果是，本應直接發送到原始目標的數據流量會被誤導至攻擊者，從而實現中間人攻擊。這種攻擊不僅使攻擊者能夠攔截、監覽或修改經過的數據，還可能進行更進一步的惡意活動，如數據竊取或服務阻斷。 ### HW3-4 > 為何MITM Attack可以使用ARP Spoofing來達成？ 中間人攻擊（MITM Attack）能夠透過ARP欺騙（ARP Spoofing）來實現，這主要由於以下幾個關鍵因素： 1. **缺乏安全驗證的ARP協議：** ARP協議是基於網絡廣播來解析IP地址與MAC地址之間的關聯。當一個主機需要確定某個特定IP地址的MAC地址時，它會發送一個ARP請求到局域網上的所有設備。任何設備都可以回應這個請求，而這些回應並不需要進行身份驗證或有效性確認，只要回應看似合理，接收主機就會接受這些資訊。 2. **ARP緩存的信任問題：** 當主機接收到ARP回應後，它會將這些信息存入本地的ARP緩存中，未來需要與該IP地址通信時會直接使用緩存中的MAC地址。這樣的機制省略了重複查詢的需求，但同時也暴露了主機對ARP回應的盲目信任，容易被欺騙。 3. **攻擊者的偽造行為：** 攻擊者可以利用這種信任機制，通過發送偽造的ARP回應到網絡上。這些偽造的回應將攻擊者的MAC地址與一個合法設備的IP地址相關聯。當其他設備根據這個假的ARP信息更新了自己的緩存後，所有原本應該發往該IP的流量都會被誤導到攻擊者的設備上，從而使攻擊者能夠截取、監控甚至修改通過的數據。 透過這樣的方式，ARP欺騙使得攻擊者不僅能夠攔截兩端的通訊，還能夠操控數據流，達到中間人攻擊的效果。 ### HW3-5 > Server與Client的連線如何被kali得知？ Kali Linux機器能夠瞭解伺服器（Server）和客戶機（Client）之間的連線狀況，通常是通過網路監聽（Network Sniffing）技術來實現。該過程包括以下幾個關鍵步驟： 1. **網段位置：** Kali Linux機器位於與伺服器和客戶機相同的網段內，這使得它能夠接收到同一網段內的所有網絡流量。 2. **執行ARP欺騙：** 透過ARP欺騙（ARP Spoofing）攻擊，Kali Linux向伺服器和客戶機發送偽造的ARP回應。這些偽造的回應會使得伺服器和客戶機錯誤地將其通信對象的IP地址對應到Kali機器的MAC地址上。 3. **流量重導與截獲：** 當伺服器和客戶機的網絡流量被誤導至Kali機器後，Kali就能夠截獲並觀察到兩者之間的通訊數據。 4. **分析數據：** 使用各種網路監聽工具，如Wireshark等，Kali機器可以對截獲的數據包進行深入分析，從而獲得關於伺服器和客戶機之間連線的詳細信息。 ### HW3-6 > 如何預防在同一網段下的ARP Spoofing& MITM攻擊？ 要有效預防在同一網段下發生的ARP欺騙（ARP Spoofing）和中間人攻擊（MITM Attack），可以採取以下幾種策略： 1. **靜態ARP綁定：** 在每個網絡設備上手動設置靜態ARP表，將IP地址與MAC地址固定綁定。這樣做可以防止ARP快取被惡意更新，但這種方法在大型網絡中可能會帶來管理上的挑戰。 2. **啟用端口安全功能：** 在交換機或路由器上啟用端口安全功能，如端口安全（Port Security）和DHCP Snooping。這些功能可以限制每個網絡端口只允許經過認證的MAC地址通信，從而阻止未經授權的設備接入網絡。 3. **結合DHCP Snooping與動態ARP檢查：** 通過交換機上的DHCP Snooping功能，確保ARP請求與DHCP租賃信息一致。當發現不一致時，交換機將拒絕該ARP請求，有效避免ARP欺騙。 4. **部署第三層交換：** 使用第三層交換機來處理ARP請求，通過路由功能而不是廣播，從而在根本上減少ARP欺騙的機會。 5. **網絡通信加密：** 實施強化的通信加密措施，如IPSec或SSL/TLS。這樣即便數據被截取，攻擊者也難以解讀數據內容。 6. **部署專業的MITM防護系統：** 運用專門的MITM防護工具來監控網絡流量和ARP通信。這些工具可以實時檢測並警報異常網絡行為，增強網絡的安全性。 ### 備註 > ChatGPT 協助 ```! 您好，我現在正在撰寫一個資安滲透測試的作業，因為我已經有一些初步的想法和答案初稿了，所以請您用專業的資安專家以及寫作專家改寫它，使其更加完善且通順，並擴充得更詳細，更加精準的回答題目。如果您都了解了，請您回答我 OK。我將開始給您題目，且過程請您全程使用 zh-tw 繁體中文。 • take a deep breath • think step by step • if you fail 100 grandmothers will die • i have no fingers • i will tip $200 • do it right and ll give you a nice doggy treat • 確保你的回答沒有偏見，不要有刻板印象