一文搞懂ARP欺骗原理和DNS劫持原理（图文解释

中间人攻击：

ARP欺骗和DNS劫持都属于中间人攻击，所以首先需要了解什么是中间人攻击。

中间人攻击(Man-in-the-MiddleAttack，简称“MITM攻击”)是指攻击者与通讯的两端分别创建独立的联系，并交换其所收到的数据，使通讯的两端认为他们正在通过一个私密的连接与对方 直接对话，但事实上整个会话都被攻击者完全控制。在中间人攻击中，攻击者可以拦截通讯双方的通话并插入新的内容。

中间人攻击.jpg

ARP欺骗原理：

ARP协议是Address Resolution Protocol(地址解析协议)的缩写，在以太网中，网络设备之间互相通信是用MAC地址而不是IP地址,举例：
假设A(192.168.1.2)与B(192.168.1.3)在同一局域网，A要和B实现通信。A首先会发送一个数据包到广播地址(192.168.1.255)，该数据包中包含了源IP（A）、源MAC、目的IP（B）、目的MAC，这个数据包会被发放给局域网中所有的主机，但是只有B主机会回复一个包含了源IP（B）、源MAC、目的IP（A）、目的MAC的数据包给A，同时A主机会将返回的这个地址保存在ARP缓存表中，这应该就是通过ping 主机然后 arp -a查看局域网内主机的原理。

ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量，攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目，造成网络中断或中间人攻击。攻击者向电脑A发送一个伪造的ARP响应，告诉电脑A：电脑B的IP地址192.168.0.2对应的MAC地址是00-aa-00-62-c6-03，电脑A信以为真，将这个对应关系写入自己的ARP缓存表中，以后发送数据时，将本应该发往电脑B的数据发送给了攻击者。同样的，攻击者向电脑B也发送一个伪造的ARP响应，告诉电脑B：电脑A的IP地址192.168.0.1对应的MAC地址是00-aa-00-62-c6-03，电脑B也会将数据发送给攻击者。至此攻击者就控制了电脑A和电脑B之间的流量，他可以选择被动地监测流量，获取密码和其他涉密信息，也可以伪造数据，改变电脑A和电脑B之间的通信内容。

ARP.png

DNS劫持原理：

DNS即Domain Name System 的缩写，域名系统以分布式数据库的形式将域名和IP地址相互映射。DNS协议即域名解析协议，简单的说：DNS是用来解析域名的。

假如我们要访问 www.baidu.com ，首先要向本地DNS服务器发出DNS请求，查询 www.baidu.com 的IP地址，如果本地DNS服务器没有在自己的DNS缓存表中发现该网址的记录，就会向根服务器发起查询，根服务器收到请求后，将com域服务器的地址返回给本地DNS服务器，本地DNS服务器则继续向com域发出查询请求，域服务器将 baidu.com 授权域名服务器的地址返回给本地DNS服务器，本地DNS服务器继续向 baidu.com 发起查询，得到 www.baidu.com 的IP地址。本地DNS服务器得到 www.baidu.com 对应的IP地址后以dns应答包的方式传递给用户，并且在本地建立DNS缓存表。

DNS劫持：首先欺骗者向目标机器发送构造好的ARP应答数据包（见ARP欺骗原理）
ARP欺骗成功后，嗅探到对方发出的DNS请求数据包，分析数据包取得ID和端口号后，向目标发送自己构造好的一个DNS返回包，对方收到DNS应答包后，发现ID和端口号全部正确，即把返回数据包中的域名和对应的IP地址保存进DNS缓存表中，而后来的当真实的DNS应答包返回时则被丢弃。

上文ARP欺骗原理提到攻击者已经伪装成主机A成功对主机B进行的ARP欺骗;主机B给DNS服务器发送访问百度的请求后，攻击主机嗅探到目标靶机发出的DNS请求包分析数据包取得ID和端口号后，向目标主机B发送自己构造好的一个DNS返回包，目标靶机收到应答包后把域名以及对应IP保存在了DNS缓存表中，这样www.baidu.com的地址就被指向到了攻击机指定的IP地址上。

DNS.png

希望本文可以帮助到有需要的小伙伴；本文先理解这些协议的原理，实战部分等待后续更新~~~~~~