局域网DNS劫持技术实践

局域网DNS劫持技术实践

关于DNS劫持

定义

域名劫持就是在劫持的网络范围内拦截域名解析的请求，分析请求的域名，把审查范围以外的请求放行，否则直接返回假的IP地址或者什么也不做使得请求失去响应，其效果就是对特定的网址不能访问或访问的是假网址。

域名劫持一方面可能影响用户的上网体验，用户被引到假冒的网站进而无法正常浏览网页，而用户量较大的网站域名被劫持后恶劣影响会不断扩大；另一方面用户可能被诱骗到冒牌网站进行登录等操作导致泄露隐私数据。

原理

域名解析（DNS）的基本原理是把网络地址（域名，以一个字符串的形式）对应到真实的计算机能够识别的网络地址（IP地址，比如216.239.53.99 这样的形式），以便计算机能够进一步通信，传递网址和内容等。

由于域名劫持往往只能在特定的被劫持的网络范围内进行，所以在此范围外的域名服务器（DNS）能够返回正常的IP地址，高级用户可以在网络设置把DNS指向这些正常的域名服务器以实现对网址的正常访问。所以域名劫持通常相伴的措施——封锁正常DNS的IP。

如果知道该域名的真实IP地址，则可以直接用此IP代替域名后进行访问。比如访问谷歌 ，可以把访问改为http://216.239.53.99/ ，从而绕开域名劫持。

过程

由于域名劫持只能在特定的网络范围内进行，所以范围外的域名服务器(DNS)能返回正常IP地址。攻击者正是利用此点在范围内封锁正常DNS的IP地址，使用域名劫持技术，通过冒充原域名以E-MAIL方式修改公司的注册域名记录，或将域名转让到其他组织，通过修改注册信息后在所指定的DNS服务器加进该域名记录，让原域名指向另一IP的服务器，让多数网民无法正确访问，从而使得某些用户直接访问到了恶意用户所指定的域名地址，其实施步骤如下：

一、获取劫持域名注册信息：首先攻击者会访问域名查询站点，通过MAKE CHANGES功能，输入要查询的域名以取得该域名注册信息。

二、控制该域名的E-MAIL帐号：此时攻击者会利用社会工程学或暴力破解学进行该E-MAIL密码破解，有能力的攻击者将直接对该E-MAIL进行入侵行为，以获取所需信息。

三、修改注册信息：当攻击者破获了E-MAIL后，会利用相关的MAKE CHANGES功能修改该域名的注册信息，包括拥有者信息，DNS服务器信息等。

四、使用E-MAIL收发确认函：此时的攻击者会在信件帐号的真正拥有者之前，截获网络公司回馈的网络确认注册信息更改件，并进行回件确认，随后网络公司将再次回馈成功修改信件，此时攻击者成功劫持域名。

缺点

它不是很稳定，在某些网络速度快的地方，真实的IP地址返回得比窃持软件提供的假地址要快，因为监测和返回这么巨大的数据流量也是要花费一定时间的。

在网上查询域名的正确IP非常容易。一个是利用海外的一些在线IP地址查询服务，可以查找到网站的真实IP地址。在Google上搜索"nslookup"，会找到更多类似的服务。

实验过程

攻击机：Kali Linux IP地址：192.168.179.129

靶机：Windows 7 IP地址：192.168.179.130

工具：ettercap

实验过程

网络模式设置

首先要保证攻击机和靶机处在同一局域网下，这里我们只需要把两台虚拟机的网络模式设置为相同的即可，我这里的网络模式设置为NAT模式，如下图所示。

地址扫描

现在我们知道了两台机器处于同一局域网下，但是我们并不知道靶机的IP地址，所以我们需要利用netdiscover工具对同一网段下的存货主机进行探测。

首先我们查看一下Kali攻击机的IP地址，如下图所示：

然后我们利用netdiscover工具进行地址扫描，命令如下：

netdiscover

发起攻击

在成功拿到了靶机的ip地址后，我们利用ettercap工具开始对靶机发起攻击。

扫描主机

打开errercap工具之后，点击左上角的扫描按钮，开始扫描局域网内的主机。然后点击“Hosts List”按钮，显示扫描结果。如下图所示，共扫描到了四台主机，其中192.168.179.130是目标靶机的IP地址。

添加目标

之后，将目标靶机的ip地址设置为target 1，将网关设置为target 2。如下图所示：

设置监听

然后打开右上角的mitm菜单，选择ARP Posioning，并勾选Sniff remote connections，设置为监听模式。如下图所示：

添加DNS记录

这时，我们需要设置将目标访问的网址如何解析，这需要我们更改ettercap工具的配置文件，在/etc/ettercap/ 目录下的etter.dns文件，添加 *.*.com A 192.168.179.129 这条记录，，保存即可意思是只要目标靶机访问.com结尾的网站，就会被解析到192.168.179.129这个ip地址当中去。

发起攻击

之后在菜单中选择Plugins->Manage Plugins，勾选上dns_spoof，然后开始攻击。

攻击成功

攻击成功后，我们访问百度，可以看到浏览器跳转到了其他的页面。

---