DNS欺骗（用ettercap）

ettercap：一个基于ARP地址欺骗方式的网络嗅探工具

                先arp欺骗，然后才能dns欺骗

了解DNS是什么：Domain Name System (域名系统 简称：DNS)

了解DNS欺骗是什么：攻击者(黑客)冒充域名服务器进行欺骗的一种行为

了解DNS原理原理：如果可以冒充域名服务器，然后把查询的IP地址设为攻击者的IP地址。

这样的话，用户上网就只能看到攻击者的主页，而不是用户想要取得的网站的主页了，这就

是DNS欺骗的基本原理。

DNS欺骗其实并不是真的“黑掉”了对方的网站，而是冒名顶替、招摇撞骗罢了。

一.环境搭建

VMware下的kali（攻击机）、Windows 7 x64（目标机）

二、DNS原理

什么是DNS 域名系统（ Domain Name System ），是一种分布式网络目录服务，主要用于域名与 IP 地址的相互转换

DNS特点：分散和分层的机制来实现域名空间的委派授权以及域名与地址相转换的授权

DNS查询请求是层层传递，查询和应答无严格身份验证、会话无加密

收到应答后DNS服务器会缓存结果

三、dns欺骗操作

1. 首先，确定目标机的ip和网关，攻击机要先冒充目标机的网关，对目标机进行arp欺骗
2. 打开kali，输入sudo su 进入root用户
3. 输入vim /etc/ettercap/etter.dns ，在配置文件下输入*.com A 192.168.254.128（这是把所有以.com结尾的域名都映射为对应攻击者的ip，在攻击机做中间人后，目标机先访问这里的dns）（A代表ipv4,AAA代表ipv6）
4. 使用工具ettercap：一个基于ARP地址欺骗方式的网络嗅探工具，主要适用于交换局域网络。

输入ettercap -G ，进入ettercap工具 ，点击对勾（接受）。

拓：MITM是中间人攻击（Man-in-the-middle attack）

1. 分别点击1（扫描同网段存活主机）和2（存活主机列表），得到Host List
2. 如图分别把目标机ip与网关IP加入Target中
3. 点击1下的2，即可进行arp欺骗了（这个工具不能造成断网，始终能使目标机连网，但是攻击机已经做了一个中间人）

ettercap mitm方法：

ARP           ARP欺骗

NDP           ipv6协议欺骗技术

ICMP          发送ICMP数据包重定向到kali，然后由kali转发(只有受害者发出的数据包经过kali)

Port Stealing     ARP静态绑定欺骗

DHCP          发送DHCP数据包，让受害者认为kali是路由器，(只有受害者发出的数据包经过kali)

1. 可以看到目标机的网关mac地址已是攻击机的mac地址了2
2. 进行如下1-->2-->3-->鼠标左键双击dns_spoof操作，可进行dns欺骗了
3. 在目标机ping www.baidu.com ，发现ip为攻击机架设的ip。ettercap工具下方也有欺骗记录