原理
DNS欺骗是攻击者攻击内网进行ARP欺骗将攻击机的MAC地址和网关的ip地址对应或者DNS服务器的地址绑定,让所有的流量流向攻击机,攻击机向靶机发送错误的域名解析导致靶机访问虚假页面。
实现DNS欺骗通常基于的方式是ARP欺骗,让用户认为攻击机是网关,从而劫持流量。
工具简介
ettercap:ettercap是一款强大的网络嗅探工具,主要实现局域网内中间人攻击,结合众多强大的插件,以发起ARP欺骗、DNS欺骗、DHCP欺骗、会话劫持、密码嗅探等攻击活动。
主机网络配置
靶机win7:172.16.32.128
攻击机kali:172.16.32.130
网关:172.16.32.2
实操复现
在靶机使用arp-a查看攻击前网关和攻击机的MAC地址,发现网关和攻击机MAC地址不同
开启攻击机的apache服务 ervice apache2 start,在靶机访问地址172.16.32.130,发现可以正常打开页面
将攻击机/proc/sys/net/ipv4/ip_forward文件的值改为1
启动ettercap,选择网卡一般是eth0,进入扫描网络
将172.16.32.128加入Target1,172.16.32.2加入Target2
选择MITM,arp,勾选sniff做ARP欺骗
此时发现网关MAC和攻击机一致
选择插件启动dns_spoof
此时在靶机访问www.baidu.com,成功访问到攻击机的apache页面