工作记录-DNS劫持（钓鱼）

工作记录-DNS劫持（钓鱼）

声明:若复现攻击，一定要把控风险，不能用于犯罪及违背道德。

一、DNS劫持概念
DNS劫持又叫域名劫持，指攻击者利用其他攻击手段 （比如劫持了路由器或域名服务器等），篡改了某个域名的解析结果，使得指向该域名的IP变成了另一个IP，导致对相应网址的访问被劫持到另一个不可达的或者假冒的网址，从而实现非法窃取用户信息或者破坏正常网络服务的目的。

二、知识要点简要
2.1 DNS劫持的是我们的域名将解析到哪一个IP地址的记录，是基于UDP协议的一种应用层协议。

2.2 这个攻击的前提是攻击者掌控了你的网关（可以是路由器，交换机，或者运营商），一般来说，在一个WLAN下面，使用ARP劫持就可以达到此效果。

三、DNS劫持原理

本机发送请求，先访问本机hosts文件域名对应ip，若找到则访问该ip，如没找到，则通过向域名服务器发送请求，域名服务器解析后返回相应域名ip，本机获得ip后继续跳转访问对应ip。DNS劫持实际上就是使得指向该域名的IP变成了另一个IP，形成有害攻击。此次攻击是通过kali ettercap工具嗅探，修改目标ip-mac表让目标通信通过攻击者，然后配置etter.dns劫持文件，使目标访问相应域名返回攻击者设置的ip，目标访问到攻击者的服务。攻击者可以返回一个空的ip，使目标访问失败，也可以提前做好和对应服务相似界面，目标登录等敏感操作也就在攻击者的界面上操作造成较大的损失，这就是俗称钓鱼。

附加：hosts文件修改方法（与本次攻击无关，实则为相应知识点，有必要记录学习）
Hosts文件位置：C:\Windows\System32\drivers（前提需赋予文件写入权限）

Ip 空格,输入的域名,当浏览器输入域名时,会先访问hosts文件,读取相应的ip

四、攻击环境
虚拟机kali liunx系统：使用此系统工具嗅探和攻击
虚拟机windows系统：作为目标者
本地windows系统：搭建钓鱼网站服务ip：192.168.230.237。

五、攻击实战

5.1 实战思路：在同个局域网，用本地windows搭建iis 后台模拟做一个钓鱼网站，虚拟机kali liunx系统用来劫持虚拟机windows访问 dns域名，虚拟机的windows系统用来访问域名。（这里虚拟机需要桥接模式）

5.2 搭建IIS后台

本次使用windows10的自带iis服务 ，控制面板-启用或关闭windows服务-选择。

启动服务，访问相应ip加上端口，访问成功，iis搭建后台成功。

5.3 嗅探及劫持

1).配置DNS劫持文件
打开KALI命令行，查找并编辑etter.dns文件
Vi /etc/Ettercap/etter.dns

写入劫持域名，空格，ip类型(A为ipv4 AAA为ipv6) 攻击者ip（这里用的本地IIS搭建的后台页面）然后保存退出。

2).嗅探及劫持攻击

选择kali系统，使用工具Ettercap

选择网口

添加对应攻击ipTarget1 对应网关到Target2（篡改ip-mac表，具体详情可以参考我的另外一篇案列，中间人攻击-脚本注入）。

5.4攻击结果
用windows系统浏览器访问www.baidu.com 或者ping方式

返回域名ip和访问服务都是230.237，DNS劫持成功，可以看到如果目标在界面输入用户密码等等敏感信息，则钓鱼成功。

六、使用wireshark 抓包分析

使用wireshrak在被劫持的windwows虚拟机上抓包，dns筛选相应协议。

可以看出访问目标ip，域名服务器114.114.114.114，域名www.baidu.com 被劫持，返回ip为192.168.230.237为本机ip。

再次声明: 重现攻击，请把控风险
六一快乐，Smile A