中间人如何在网络上为受害者读取传入的流量

Question

我只是在测试一些关于MITM的东西，我知道MITM的攻击就像：gateway = 192.168.1.1 victim = 192.168.1.13 attacker = 192.168.1.6执行mitm和enable linux内核ip_forwarding，我看到受害者192.168.1.13的传出流量，我只是想知道如何捕捉192.168.1.13的传入流量，这是可能的吗？我在wireshark中看到了受害者对8.8.8.8的DNS请求，但我没有看到从8.8.8.8到受害者的响应流量，可能是因为转发数据包包含IP src=192.168.1.13，所以真正的网关在192.168.1.1直接发送传入通信量给192.168.1.13直接发送到attacker_mac，如何解决这个问题？

另一个问题：

如果现在是192.168.1.1在攻击者mac，192.168.1.13针对攻击者mac和攻击者有ip_fowarding，那么网关也会说，192.168.1.1在他的网关上，以及vicitm机器在其mac上也会说192.168.1.13，所以vicitm传出的流量将同时发送给攻击者和网关？攻击者将转发已经发送的相同流量，同样也是在传入流量中发送的!！

，恭维

Answer 1

为了真正成为中间的人，您需要对它们进行arpspoof。通过arp毒害路由器和目标，您可以让它们将流量转发给您而不是彼此。然后你转发它，在检查或修改它之后。

假设你在卡利或鹦鹉身上

echo 1 > /proc/sys/net/ipv4/ip_forward

arpspoof -i <your interface> -t <router ip> -r <target ip>

arpspoof -i <your interface> -t <target ip> -r <router ip>

此时，您可以启动wireshark、mitmf等。

参考文献

什么是arp欺骗

关于kali的MiTM教程