Практическая работа № 2

# Практическая работа № 2 **Тема: атака человек-посередине на SSH.** Убедимся, что в нашей системе установлен: * tshark * ettercap * nmap * iptables ![](https://i.imgur.com/0T3mUIJ.png) ![](https://i.imgur.com/3BHqhUC.png) ![](https://i.imgur.com/LOoYVYW.png) ![](https://i.imgur.com/kLeRZ6N.png) * Далее загрузим образ и установим SSH MITM ![](https://i.imgur.com/S9IU0e6.png) ![](https://i.imgur.com/QaQ6L1o.png) ![](https://i.imgur.com/GmVh488.png) * Начнём с захвата всего трафика: ![](https://i.imgur.com/ZW5Zwm2.png) * Чтобы обнаружить SSH подключения, которые выполняются к стандартному порту, выполним команду: ![](https://i.imgur.com/Gql9wB6.png) * Мы запускаем скрипт на интерфейсе eth0 и в качестве блока указали все 255 IP адресов локальной сети. ![](https://i.imgur.com/5EewMH9.png) * В этот момент, нужно подключаться из корневой системы к ещё одному linux по SSH и создать видимость работы: ![](https://i.imgur.com/s6kGpei.png) * Видим, что найдены подключения ![](https://i.imgur.com/SlNW7Xm.png) * Запускаем атаку и ARP спуфинг целей: ![](https://i.imgur.com/e8aQh91.png) * Пытаемся вновь зайти на сервер по SSH и видим, что сработала защита: ![](https://i.imgur.com/BBzFoLN.png) * Нужно открыть файл ~/.ssh/known_host и либо вписать новый отпечаток, либо удалить запись для этого сервера и затем добавить новый отпечаток при инициализации подключения. Пробуем снова: ![](https://i.imgur.com/FnM5Xa5.png) * Теперь используя команду tail смотрим, что отобразилось в лог файле auth.log: ![](https://i.imgur.com/SMagqTH.png) **Собственно говоря, вот и перехваченный пароль. **