DNS欺骗:网站克隆实现网站钓鱼攻击
1 DNS
1.1 DNS是什么?
域名系统(Domain Name System)是互联网使用的命名系统,用来将主机域名转换为 ip 地址,属于应用层协议,使用 UDP 传输。
1.2 为什么需要DNS?
DNS协议提供域名到IP地址之间的解析服务。计算机既可以被赋予IP地址,也可以被赋予主机名和域名。用户通常使用主机名或域名来访问对方的计算机,而不是直接通过IP地址访问。因为与IP地址的一组纯数字相比,用字母配合数字的表示形式来指定计算机名更符合人类的记忆习惯。但要让计算机去理解名称,相对而言就变得困难了。因为计算机更擅长处理一长串数字。
为了解决上述的问题,DNS服务应运而生。DNS协议提供通过域名查找IP地址,或逆向从IP地址反查域名的服务。
1.3 DNS工作原理
①客户机提出域名解析请求,并将该请求发送给本地的域名服务器。
②当本地的域名服务器收到请求后,就先查询本地的缓存,如果有该纪录项,则本地的域名服务器就直接把查询的结果返回。
③如果本地的缓存中没有该纪录,则本地域名服务器就直接把请求发给根域名服务器,然后根域名服务器再返回给本地域名服务器一个所查询域(根的子域) 的主域名服务器的地址。
④本地服务器再向上一步返回的域名服务器发送请求,然后接受请求的服务器查询自己的缓存,如果没有该纪录,则返回相关的下级的域名服务器的地址。
⑤重复第四步,直到找到正确的纪录。
⑥本地域名服务器把返回的结果保存到缓存,以备下一次使用,同时还将结果返回给客户机。
2 网站克隆实现网站钓鱼攻击
2.1 DNS欺骗的原理及实现步骤
当客户主机向本地DNS服务器查询域名的时候,如果服务器的缓存中已经有相应记录,DNS服务器就不会再向其他服务器进行查询,而是直接将这条记录返回给用户。
而入侵者欲实现DNS欺骗,关键的一个条件就是在DNS服务器的本地Cache中缓存一条伪造的解析记录。
在上面的例子中,假如dhs.com域DNS服务器返回的是经过黑客篡改的信息,比如将www.dhs.com指向另一个IP地址5.6.7.8,nipc.com域DNS服务器将会接受这个结果,并将错误的信息存储在本地Cache中。以后在这条记录被缓存的生存期内,再向nipc.com域DNS服务器发送的对www.dhs.com的域名解析请求,所得到的IP地址都将是被篡改过的。
2.2 网络钓鱼
网络钓鱼是一种电子信息欺骗,攻击者创造了一个完整的令人信服的Web世界,但实际上它却是一个虚假的复制。
虚假的Web看起来十分逼真,它拥有相同的网页和链接。然而攻击者控制着这个虚假的Web站点,这样受害者的浏览器和Web之间的所有网络通信就完全被攻击者截获。
2.3 实践
1.先检查能不能ping通靶机
2.配置dns
vi etter.dns
:wq
3.进入var/www/html目录,编辑index.html网页文件
重启apache服务:
设置IP转发:
打开ettercap图形界面,并扫描局域网内的主机,添加欺骗主机,将网关地址设为 Target1,要欺骗的 IP 地址设为 Target2:
选择欺骗类型:
点击插件,选择 dns_spoof
点击左上角start开始攻击:
可以看到我加的这行字:
使用ifconfig查看攻击机IP:
编辑/etc/ettercap/etter.dns文件,添加伪造网站的本地DNS解析记录:
接下来使用setoolkit伪造目标网站:
输入命令(1),进入钓鱼攻击页面:
(2)输入命令2,进入web钓鱼攻击页面
输入命令3,进入到设置钓鱼页面选项
输入命令2,进入到克隆网页界面,回车继续,设置网页如下:
输入要克隆的URL:
此时在靶机中的浏览器尝试访问攻击机IP:
访问成功,可以对靶机进行下一步的DNS欺骗操作:
启动ettercap:
靶机ping网站地址,响应IP为攻击机的IP,DNS欺骗成功:
靶机浏览器访问攻击机网站,并且输入相关信息:
点击登录之后,攻击机的setoolkit中捕捉到输入的数据:
在实验换验证码输入登录一次: