一、DNS原理
什么是DNS 域名系统( Domain Name System ),是一种分布式网络目录服务,主要用于域名与 IP 地址的相互转换
DNS特点:分散和分层的机制来实现域名空间的委派授权以及域名与地址相转换的授权
DNS查询请求是层层传递,查询和应答无严格身份验证、会话无加密
收到应答后DNS服务器会缓存结果
二、dns欺骗操作
- 首先,确定目标机的ip和网关,攻击机要先冒充目标机的网关,对目标机进行arp欺骗
2.打开kali,输入sudo su 进入root用户
3.输入vim /etc/ettercap/etter.dns ,在配置文件下输入*.com A 192.168.254.128(这是把所有以.com结尾的域名都映射为对应攻击者的ip,在攻击机做中间人后,目标机先访问这里的dns)(A代表ipv4,AAA代表ipv6)
4.使用工具ettercap:一个基于ARP地址欺骗方式的网络嗅探工具,主要适用于交换局域网络。输入ettercap -G ,进入ettercap工具 ,点击对勾(接受)。
拓:MITM是中间人攻击(Man-in-the-middle attack)
5. 分别点击1(扫描同网段存活主机)和2(存活主机列表),得到Host List
6.如图分别把目标机ip与网关IP加入Target中
7.点击1下的2,即可进行arp欺骗了(感觉这个工具不能造成断网,始终能使目标机连网,但是攻击机已经做了一个中间人)
ettercap mitm方法:
ARP ARP欺骗
NDP ipv6协议欺骗技术
ICMP 发送ICMP数据包重定向到kali,然后由kali转发(只有受害者发出的数据包经过kali)
Port Stealing ARP静态绑定欺骗
DHCP 发送DHCP数据包,让受害者认为kali是路由器,(只有受害者发出的数据包经过kali)
8.可以看到目标机的网关mac地址已是攻击机的mac地址了
9.进行如下1-->2-->3-->鼠标左键双击dns_spoof操作,可进行dns欺骗了
10.在目标机ping www.baidu.com ,发现ip为攻击机架设的ip。ettercap工具下方也有欺骗记录
注意: 如果攻击失败,可以切换虚拟机的网络,我开始时桥接模式没有成功切换成NAT才可以,
也可以设置kali机器的页面,/var/www/html(默认页面时index.html需要打开apache
查看状态service apache2 status,启动apache service apache2 start)
也可以使用ettercap抓取输入的信息:
ettercap:一个基于ARP地址欺骗方式的网络嗅探工具,主要适用于交换局域网络。
借助于EtterCap嗅探软件,渗透测试人员可以检测网络内明文数据通讯的安全性,及时采取措施,避免敏感的用户名/ 密码等数据以明文的方式进行传输。ettercap几乎是每个渗透测试人员必备的工具之一。
ettercap -Tq -i eth0
-T 文本模式输出,不使用图形用户界面 -q 静默模式
-i 指定要监听的网络接口
启动:ettercap -Tq -i eth0
访问登录网址,输入用户名及密码。这里我输入zhangsan/123456
返回kali攻击机,查看记录。
HTTP : 118.24.112.177:80 -> USER: zhangsan PASS: 12345678 INFO: http://a.aixjt.com/AdminPublic.html CONTENT: ajax=1&submitLogin=1&password=12345678&account=zhangsan&verify=3487
- dns欺骗的危害
输入了正确的域名,访问了错误的服务器
虚假广告
信息窃取(编写一个能够或账号密码的网站)
dns欺骗的防御
DNS服务器:
使用新版本的DNS软件
安全设置对抗DNS欺骗(安全设备)
使用安全技术对DNS数据进行保护
2、应用服务器:
服务证书
用户自主标识(身份认证--账号密码)