飞道的博客

工作记录-DNS劫持(钓鱼)

332人阅读  评论(0)

工作记录-DNS劫持(钓鱼)

声明:若复现攻击,一定要把控风险,不能用于犯罪及违背道德。

一、DNS劫持概念
DNS劫持又叫域名劫持,指攻击者利用其他攻击手段 (比如劫持了路由器或域名服务器等),篡改了某个域名的解析结果,使得指向该域名的IP变成了另一个IP,导致对相应网址的访问被劫持到另一个不可达的或者假冒的网址,从而实现非法窃取用户信息或者破坏正常网络服务的目的。

二、知识要点简要
2.1 DNS劫持的是我们的域名将解析到哪一个IP地址的记录,是基于UDP协议的一种应用层协议。

2.2 这个攻击的前提是攻击者掌控了你的网关(可以是路由器,交换机,或者运营商),一般来说,在一个WLAN下面,使用ARP劫持就可以达到此效果。

三、DNS劫持原理

本机发送请求,先访问本机hosts文件域名对应ip,若找到则访问该ip,如没找到,则通过向域名服务器发送请求,域名服务器解析后返回相应域名ip,本机获得ip后继续跳转访问对应ip。DNS劫持实际上就是使得指向该域名的IP变成了另一个IP,形成有害攻击。此次攻击是通过kali ettercap工具嗅探,修改目标ip-mac表让目标通信通过攻击者,然后配置etter.dns劫持文件,使目标访问相应域名返回攻击者设置的ip,目标访问到攻击者的服务。攻击者可以返回一个空的ip,使目标访问失败,也可以提前做好和对应服务相似界面,目标登录等敏感操作也就在攻击者的界面上操作造成较大的损失,这就是俗称钓鱼。

附加:hosts文件修改方法(与本次攻击无关,实则为相应知识点,有必要记录学习)
Hosts文件位置:C:\Windows\System32\drivers(前提需赋予文件写入权限)

Ip 空格,输入的域名,当浏览器输入域名时,会先访问hosts文件,读取相应的ip

四、攻击环境
虚拟机kali liunx系统:使用此系统工具嗅探和攻击
虚拟机windows系统:作为目标者
本地windows系统:搭建钓鱼网站服务ip:192.168.230.237。

五、攻击实战

5.1 实战思路:在同个局域网,用本地windows搭建iis 后台模拟做一个钓鱼网站,虚拟机kali liunx系统用来劫持虚拟机windows访问 dns域名,虚拟机的windows系统用来访问域名。(这里虚拟机需要桥接模式)

5.2 搭建IIS后台

本次使用windows10的自带iis服务 ,控制面板-启用或关闭windows服务-选择。




启动服务,访问相应ip加上端口,访问成功,iis搭建后台成功。

5.3 嗅探及劫持

1).配置DNS劫持文件
打开KALI命令行,查找并编辑etter.dns文件
Vi /etc/Ettercap/etter.dns

写入劫持域名,空格,ip类型(A为ipv4 AAA为ipv6) 攻击者ip(这里用的本地IIS搭建的后台页面)然后保存退出。

2).嗅探及劫持攻击

选择kali系统,使用工具Ettercap

选择网口

添加对应攻击ipTarget1 对应网关到Target2(篡改ip-mac表,具体详情可以参考我的另外一篇案列,中间人攻击-脚本注入)。



5.4攻击结果
用windows系统浏览器访问www.baidu.com 或者ping方式

返回域名ip和访问服务都是230.237,DNS劫持成功,可以看到如果目标在界面输入用户密码等等敏感信息,则钓鱼成功。

六、使用wireshark 抓包分析

使用wireshrak在被劫持的windwows虚拟机上抓包,dns筛选相应协议。


可以看出访问目标ip,域名服务器114.114.114.114,域名www.baidu.com 被劫持,返回ip为192.168.230.237为本机ip。

再次声明: 重现攻击,请把控风险
六一快乐,Smile A


转载:https://blog.csdn.net/SmileAndFun/article/details/106480457
查看评论
* 以上用户言论只代表其个人观点,不代表本网站的观点或立场