DNS是Domain Name System的缩写, 我们称之域名系统。首先它是远程调用服务,本地默认占用53端口,它本身的实质上一个域名和ip的数据库服务器,他要完成的任务是帮我们把输入的域名转换成ip地址,之后通过ip寻址连接目标服务器。
当访问一个网站时系统将从DNS缓存中读取该域名所对应的IP地址,当查找不到时就会到系统中查找hosts文件,如果还没有那么才会向DNS服务器请求一个DNS查询,DNS服务器将返回该域名所对应的IP,在你的系统收到解析地址以后将使用该IP地址进行访问,同时将解析缓存到本地的DNS缓存中。
DNS劫持又称域名劫持,是指在劫持的网络范围内拦截域名解析的请求,分析请求的域名,把审查范围以外的请求放行,否则返回假的IP地址或者什么都不做使请求失去响应,其效果就是对特定的网络不能访问或访问的是假网址。
2.ettercap劫持的原理
局域网劫持, 攻击者通过伪装成网关, 劫持受害者的网络请求, 将网络请求拦截到指定的服务器
1.查看DNS缓存表
查询到马士兵网站的地址如下
2.获取DNS地址:
2.刷新DNS缓存
用于清除dns缓存
3.ARP-DNS欺骗攻击步骤
注意:这个用于欺骗http协议的网站基本上都能成功,https有时可以欺骗成功,有时不行。
1.kali开启apache服务
2.浏览器访问Apache的首页
假设该网站拿来作为钓鱼网站。
3.编辑ettercap配置文件
1.进入配置文件位置
2.复制原有的配置文件(环境恢复比较方便)
添加如下内容,用于作为ettercap的dns解析,只要解析任何域名地址,就会返回这个kali的ip,即钓鱼网站的ip
4.ettercap劫持命令讲解
5.靶机访问以下网站确认环境正常
目前访问的域名是正常的网站。
8.靶机访问以下网站查看攻击效果
会发现此时访问马士兵的域名是kali的ip.
此时访问马士兵的域名发现变成了钓鱼网站。
10.恢复dns劫持,刷新dns缓存即可。
11.靶机访问以下网站查看环境是否恢复正常
此时ping可以发现ip恢复正常。
1.进入配置文件位置
2.复制dns文件到新文件
备份这个配置好dns的到etter.dns2文件下。
3.还原dns配置文件
保存好配置的dns文件后,可以还原成初始配置。
参考:ARP-Ettercap dns劫持.xmind
Last updated