SSLStrip是如何捕获流量的？

Question

在马林斯派克关于如何设置SSLStrip的描述中，他说要启用转发

echo "1" > /proc/sys/net/ipv4/ip_forward

然后将通信量从端口80重定向到SSLStrip侦听端口。

iptables -t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-port <listenPort>

然后给ARP下毒，把流量发送到这个主机。

arpspoof -i <interface> -t <targetIP> <gatewayIP>

(见http://www.thoughtcrime.org/software/sslstrip/)

我还是不明白。我了解到，使用arpspoof可以让其他机器相信您的主机是网关，但是iptables将查看具有目标端口80的TCP/IP数据包，并重写它们，以便在them中有一个新的端口。但IP地址没有改变，对吧？因此，攻击者将使用一个新端口转发到最大的IP地址，SSLStrip将永远不会看到该数据包。

iptables默认情况下也会改变IP地址吗？

Answer 1

iptables中的REDIRECT目标将在传入接口上将目标ip重写为本地ip。默认情况下，端口将保持不变，您可以使用--到端口重写它.

额外:要重定向到不同的IP，您可以使用DNAT目标，而不是使用-j DNAT --to <ip>:<port>