dns欺骗之ettercap
ettercap是一个基于ARP地址欺骗方式的网络嗅探工具,主要适用于局域网。 ettercap是一款现有流行的网络抓包软件,它利用计算机在局域网内进行通信的ARP协议的缺陷进行攻击,在目标与服务器之间充当中间人,嗅探两者之间的数据流量,从中窃取用户的数据资料。ettercap 在kali Linux 是自带的一个工具,它也有图形化的界面,不过熟练之后你会发现在终端以命令行的形式操作会更加方便。下面讲的就是ettercap的DNS欺诈和arp攻击。
下面开始Kali Linux 的操作了
(1)开启Apache2 服务,这个服务是干啥的?Apache是世界使用排名第一的Web服务器软件,是最流行的Web服务器端软件之一。想要深入了解自己去查查,你知道这是一个服务器就行了。命令 service apache2 start 然后查看是否打开成功 service apache2 status 如图
(2)修改ettercap的配置文件 leafpad /etc/ettercap/etter.conf 将uid和gid改成 0 然后保存 如下:
(3)leafpad /etc/ettercap/etter.dns 修改rederect (重定向网站(ip)) (自己搭的站或者病毒网站的ip)如下图指定百度
我在这里让目标主机只能上baidu.com,它的服务器ip也很好得到,ping一下就能看到。至于指定的ip你可以自己改,还有哪种域名的格式只能上哪个网这你都可以自己改。
(4)启用ettercap 发动攻击 ettercap -i eth0 -T -q -P dns_spoof /// /// i是指定网卡,如果你的连接是wlan0的话就改成wlan0,T(text)是仅使用文本GUI,q(quite)不显示数据内容 P使用插件 在这里就是dns_spoof 这个插件。/// /// 是局域网的所有主机,这个劲儿比较大,你也可以指定主机。 如下
在这里说明一下,有的时候可能由于网络模式或者其他一些未知错误,上面的攻击命令起不到作用无法进行DNS流量转发攻击,因此还有一种对应的命令 即 ettercap -i eth0 -Tq -P dns_spoof -M arp:remote /// /// 即加上arp中间人攻击就可以了。
我用的谷歌浏览器自身也发现了问题,即这个局域网内的热点出现了安全问题。如下图:
相应的我们这边的攻击界面上也会显示这个过程,把对方要进入的网站欺骗转接到ip为 183.232.231.173 百度的服务器地址
手机连接的网络也会出现问题,有关手机用ettercap攻击不了的问题,在这里我大概说一下
(1)手机自身带有防止DNS攻击的某种手段或者手机安装了某些安全软件,所以一时半会是不行的
(2)ettercap的版本问题,没有及时更新以至于手机厂商修复了这些漏洞,而你还停留在玩历史bug的乐趣中
(3)已经攻击成功了,但是没有达到你想要的效果,所以你认为没有这个方法用。其实不然,这个攻击是在整个局域网下进行的,所以局域网内的所有主机都会或多或少的有网络卡顿或者延迟,手机的系统和电脑不一样,ettercap团队做的主要是针对电脑的,所以对手机而言就显得力不从心了,我在测试时就发现了这个问题,但是攻击前后的网速有明显的不同,虽然说手机的效果没有达到和电脑一样的效果,但是有八成的流量流失了,卡的一批。而且手机上网时进的服务器也会在攻击界面显示手机登录的服务器地址,并且会有过程记录,还会得到手机的些许信息如下:我的vivox6d 和手机的操作系统都会被嗅探到。
dns劫持还有另外一种玩法,我就简单说一说吧
(1)cd /var/www/html
(2)leafpad index.html 修改里面的文件为下图所示内容
你要是会点HTML的话更好。你不放心的话现将原有的内容备份,以免出现问题。
(3) leafpad /etc/ettercap/etter.dns 修改rederect 为本机的IP地址(kali的ip)
(4)执行攻击命令 ettercap -i eth0 -TqP dns_spoof /// /// 然后登陆某一个网站,就会按照你之前改的redirect文件来执行。
如下两个例子就足以显示这个效果,但是手机上是没有的,ettercap的这个软件主要是针对电脑的,所以手机的大多数东西是不行的。
这个就是将自己的KaliLinux当做一台服务器,让局域网被攻击者回到你所编写的HTML页面。
好了,到这里就差不多结束了,下会见。