Kali局域网dns劫持复现
环境准备:kali系统: 192.168.8.108
受害华为机: 192.168.8.101
Ettercap 0.8.3.1 版本
1.先对文件配置,在etc目录下进入ettercap中的配置文件夹,找到etter.conf文件,将ec_uid以及ec_gid修改为0;
2.开启Ettercap的iptables 功能(后面要用到)把注析去掉
3.在配置文件夹中,找到etter.dns文件,移动到下方大约61行的位置,将你想要拉取的网站信息输入进去,这里我拉取的是所有的替换域名输入: * . * .*
4、在新的窗口输入,ettercap -G ,或者菜单找ettercap,打开ettercap工具
打开后,我选择的是我的桥接网络eth0,注意要点√才可以运行(找了好久)
运行之后下面会出现显示
5.介绍下功能
扫描完区段并打开网络表
然后找到这个,进行arp代理
显示框出现这个说明成功
接下来单击plugins到Manage plugins
出现plugins表后单击dns_spoof出现*说明开始劫持
6.打开apache服务 service apache2 start
查看网页直接输自己的ip就可以了(正常的是apache功能图)我自己修改了一下在/var/www/html/里面
7.受害机查看(大部分是网络无法连接*…*)因为主流都是http+tls合成的https
所以我又又查阅了https的过滤,要使用SSLstrip,当然为了篇幅只通过命令展示
echo 1 > /proc/sys/net/ipv4/ip_forward
iptalbes -t nat -F //清除类型为nat的iptables
iptables -t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-ports 10000
sslstrip -l 10000
iptables -t nat -L //查看iptables列表是否生效
当用户浏览的网页中包含https协议,会被转化为http协议的请求
但是sslstrip也不是万能的, 假如网页中没有https, 但是js代码绑定了跳转到https的协议请求的事件,那么sslstrip就失效了
如果用户打开网页的时候请求就是https, 会导致证书认证失败, 网页一直打不开
8.防御方法
这是测试时某大厂的防御方法简单粗暴,加了个备用跳转地址使用新的索引,类似于原来是bilibili.com,备用的是m.bilibili.com,所以下一篇将对域名跳转进行研究