ARP欺骗

什么是ARP欺骗
ARP（地址解析协议），是根据IP地址获取物理地址的一个TCP/IP协议。主机发送信息时将包含目标IP地址的ARP请求广播到局域网络上的所有主机，并接收返回消息，以此确定目标的物理地址；收到返回消息后将该IP
地址和物理地址存入本机ARP缓存中并保留一定时间，下次请求时直接查询ARP缓存以节约资源。地址解析协议是建立在网络中各个主机相互信任的基础上的，局域网络上的主机可以自主发送ARP应答消息，其他主机收到应答报文时
不会检测该报文的真实性就会将其记入本机ARP缓存;由此攻击者就可以向某一主机发送伪ARP应答报文，使其发送的信息无法到达预期的主机或者到达错误的主机，这就构成了一个ARP欺骗。

网关（Gateway）又称网间连接器，协议转化器。网关在网络层以上实现网络互连，是复杂的网络互连设备，仅用于两个高层协议不同的网络互连。网关既可以用于广域网互连，也可以用于局域网互连。网关是一种充当转换重任的计算机系统或设备。使用在不同的通信协议、数据格式或语音，甚至体系结构完全不同的两种系统之间，网关是一个翻译器。与网桥只是简单的传达信息不同，网关对收到的信息要重新打包，以适应目的系统的需求。同层-应用层，简单的来说你电脑如果要上网需要通过网关，流量都会经过网关，攻击者只需要利用ARP欺骗把自己的主机伪装成网关，那么其他电脑的流量就会经过攻击者的主机。

DNS，是把主机域名解析ip地址的系统，解决了IP地址难记的问题，用相对好记的域名就可以对服务器进行访问，即使服务器更换了IP地址，我们依旧可以通过域名访问该服务器，这样能够使我们更方便的访问互联网。

DNS欺骗就是利用了DNS协议设计时的一个非常严重的安全缺陷。首先欺骗者向目标机器发送构造好的ARP应答数据包，ARP欺骗成功后，嗅探到对方发出的DNS请求数据包，分析数据包取得ID和端口号后，向目标发送自己构造好的一个DNS返回包，对方收到DNS应答包后，发现ID和端口号全部正确，即把返回数据包中的域名和对于的IP地址保存进DNS缓存表中，而后来的当真实的DSN应答包返回时则被丢弃。

DNS利用
一、准备工具
ettercap：嗅探工具，ARP欺骗，DNS，劫持，中间人攻击
1.1操作步骤
1.首先修改ettetrcap的DNS设置
修改/etc/ettercap/ettercap.dns然后进行设置，在对应的位置添加对应的标识和IP
地址*代表所有域名 后面就是你要欺骗的IP地址，这里的意思就是把百度的域名全部
设置为127.0.0.1

1.2开始配置ettercap
1.首先配置好网卡
2.扫描局域网内的主机
3.配置好要被欺骗的主机IP跟网口IP，添加到target1跟target2里面
4.然后选择ARP欺骗与ddns插件双击即可

提问？

1.DNS欺骗可以做什么？劫持，钓鱼
2.https为什么抓不到密码？是因为加密了

driftnet工具也可以进行dns欺骗，使用方法：driftnet -i eth0

二、防御dns欺骗
常见的防御手段
1.使用最新版本的dns服务器软件，及时安装补丁
2.关闭dns服务器的递归功能
3.限制区域传输范围
4.限制动态更新
5.采用分层的dns体系结构
6.采用https

三、dns欺骗的深入利用
可以用来钓鱼，组合浏览器漏洞组合csrf，组合xss，配合msf等一系列漏洞。