一.实验目的
DNS欺骗即域名信息欺骗是最常见的DNS安全问题。域名系统(Domain Name System,DNS)是一个将Domain Name和IP Address进行互相映射的Distributed Database。DNS是网络应用的基础设施,它的安全性对于互联网的安全有着举足轻重的影响。但是由于DNS Protocol在自身设计方面存在缺陷,安全保护和认证机制不健全,造成DNS自身存在较多安全隐患,导致其很容易遭受攻击。很多专家就DNS Protocol的安全缺陷提出了很多技术解决方案。例如IETF提出的域名系统安全协议(Domain Name System Security,DNSSEC),其目标就在于解决这些安全隐患。这个Protocol增加了安全认证项目,增强了Protocol自身的安全功能。但是新增加的安全机制需要占用更多的系统和网络资源,同时要升级Database和System Manggament Software,这些基于DNSSEC协议的软件还不成熟,距离普及应用还有较长时间。目前,常见的措施是定期升级DNS软件和加强相关的安全配置,禁用不安全的端口等。以下对以侦听为基础的DNS ID欺骗(DNS ID spoofing)进行了探讨,并提出了相关的防护解决方案。通过练习掌握工具的使用,理解实施过程,掌握防范措施。
二.实验原理
因为局域网DNS欺骗需要ARP欺骗的配合  所有我这里简单解释一下arp欺骗的原理:
有一个主机A说自己是网关,骗将发给网关的数据发给主机A,然后由主机A发送给真正的网关。
主机A告诉网关它就是主机B,骗将发给B的数据发给主机A,然后由A转发给主机B。 //就是相当于把主机A当成中间人,把主机B与网关的所有通讯全部要经过主机A,这样子,主机A就可以对主机B的数据信息随意修改然后在转发给网关从而达到了欺骗的效果
DNS欺骗是这样一种中间人攻击形式:局域网内的主机访问一个网站时,会向dns服务器发送dns请求包,这里的dns服务器一般由网关主机担任,dns服务器收到请求后,查找自己的dns缓存表,如果有就返回,没有就返回该域名的根域名服务器,主机再向根域名服务器查询。DNS欺骗需要ARP欺骗的配合,把自己伪装成本局域网的dns服务器,从而达到域名劫持的效果,它是攻击者冒充域名服务器的一种欺骗行为,它主要用于向主机提供错误DNS信息,当用户想要尝试浏览网页,例如去登录百度的网址:www.baidu.com (百度主机IP为:14.215.177.39)而实际上登录网址IP是被替换掉的www.baidu.com(非百度主机IP:192.168.1.2),这时候用户上网就只能看到攻击者的主页,而不是用户想要取得的网站的主页了,这个网址是攻击者用以窃取网上银行登录证书以及帐号信息的假冒网址,DNS欺骗其实并不是真的“黑掉”了对方的网站,而是冒名顶替、招摇撞骗罢了。
三、实验环境
测试机:Windows7虚拟机一台 ip:192.168.247.130
攻击机:Kali linux 虚拟机一台 ip:92.168.247.133
网关:192.168.247.2
工具:kalil inux 渗透测试平台
网络连通性:同一局域网,nat网络模式
四、实验内容(实验过程)
一.信息收集
老方法,用nmap开路,先收集靶机的详细信息,用nmap端口扫描工具扫描局域网内存活的主机(这里单独扫描192.168.247.130,因为扫描全局域网耗费时间太久)
命令nmap -o 192.168.247.130
nmap -O 是远程检测操作系统和软件
nmap的参数有很多,这里主要是DNS欺骗演示,所以nmap的详细参数我就不一一列举了,感兴趣的同学可以去度娘找一下详细的资料
通过nmap扫描,可以看出该ip主机没开防火墙,通过nmap详细的列出的该电脑所开启的端口服务及操作系统类型的详细信息可以推断出该ip主机所用的系统为win7家庭版
二. 配置dns规则和主页文件
接下来因为使用的欺骗工具是ettercap,首先对dns的文件进行编辑,填写DNS规则,因为ettercap这个工具的dns规则文件存放在etc目录下,所以先用命令 cd /etc/ettercap 切换到etc目录下的ettercap目录,通过终端用vim打开它
vim进来后,按一下 i 键进入编辑状态,然后在红色的矩形中输入,前面的*所在的位置代表需要访问的网站的域名,后面是将其欺骗到的ip(本机ip:192.168.247.133)
进行欺骗时,“*”代表不管什么网站,都解析到后面的ip地址,如果输入特定的域名,那就可以进行钓鱼
接下来,按一下ESC退出编辑状态,然后按shif加冒号,输入wq,表示写入退出,回车,就可以保存退出了
然后再来编辑/var/www/html/index.html文件,这是主页文件,在DNS欺骗成功后,当受害者访问域名网站后,打开的页面就是我们这里的这个主页文件里边的内容(这里只做演示,随便写了一个简单的)
接着启动apache2 也就是网页服务器,就是相当于拿本机(Kali)当web服务器这样子
到终端输入命令/etc/init.d/apache2 start 来启动apache2 服务器
出现OK证明成功启动了
三. 利用Ettercap进行ARP欺骗和中间人攻击
接着在终端输入命令ettercap -G来进入ettercap的图形界面,个人喜欢用图形界面,可能是windows玩多的原因吧,当然ettercap也有命令行,看个人喜欢着去选择使用命令行还是图形化界面,反正效果一样的
启动ettercap后,选择Unifind sniffing进行网卡配置,网卡选择eth0(根据自己的计算机网卡而定)如果是网线网卡就选择wla0
接着到hosts选项下的 scan for hosts,扫描存活的主机,扫描完毕点击下图的Hosts list,将网关地址添加到 target2,将攻击目标ip添加到 target1, 接着设置中间人攻击的形式为ARP欺骗 mitm>arp poisoning,勾上第一个设置arp双向欺骗
接着配置插件plugins>mangge the plugins,我们要进行的是DNS欺骗 双击dns_spoof 可以看见下边的提示
最后点击strat>start sniffing开始DNS欺骗
欺骗成功后可以看到下面显示被欺骗的域名
去靶机上访问www.baidu.com,就可以看到百度的网页被替换为刚刚编辑的简单h5页面了
右边是dns欺骗前的,左边是欺骗后的
当我们关闭插件停止DSN欺骗之后,如果还是无法正常访问网站,那就需要清空dns缓存才能正常访问网页了,万一停止攻击后依然dns错误打不开网页就到cmd界面用输入“ipconfig /flushdns”执行,刷新本地的DNS缓存数据
五、总结
DNS欺骗即域名信息欺骗是最常见的DNS安全问题。当客户主机向本地DNS服务器查询域名的时候,如果服务器的缓存中已经有相应记录,DNS服务器就不会再向其他服务器进行查询,而是直接将这条记录返回给用户,当主机向某一个DNS服务器发送解析请求时,攻击者冒充被请求方,向请求方返回一个被篡改了的应答,从而请求方访问了被篡改后的IP地址,这样子直接访问被篡改后的网页,容易造成账号密码被盗取。
如何防止dns欺骗:
1.直接修改自己的host文件,将你访问的域名和ip地址直接写到里面,这样就不用通过dns服务器了,也就无法被骗
2. DNS欺骗前提也需要ARP欺骗成功。所以首先做好对ARP欺骗攻击的防范(如绑定本机MAC)
3. Windows下查看和刷清空DNS缓存表的命令
命令:ipconfig /displaydns ipconfig /flushdns
