使用 Ettercap嗅探工具进行 DNS 欺骗实验

使用 Ettercap嗅探工具进行 DNS 欺骗实验

前提条件:需要安装kali 虚拟机,或者自己安装ettercap 工具

涉及服务器:本地服务器(172.30.0.56)、kali 虚拟机(172.30.0.133)、网关(172.30.0.1,172.30.0.254)

一、实验名称

DNS欺骗

二、实验原理

冒充域名服务器,将查询的 IP 地址设置为攻击者的 IP 地址,这样用户上网就只能看到攻击者主主页,而不是用户访问的真实的页面。

正常情况

image-20220228141758055

异常情况

image-20220228141830850

三、实验步骤

1、清除攻击机和靶机的 DNS 缓存数据

  • MAC系统

    1
    2
    sudo killall -HUP mDNSResponder
    sudo dscacheutil -flushcache

  • Windows 系统

    1
    2
    3
    4
    # 查看 DNS 缓存内容
    ipconfig/displaydns
    # 清除 DNS 缓存内容
    ifconfig /flushdns

  • Linux 系统

    1
    2
    3
    4
    5
    6
    7
    8
    # Step 1. 查看 DNS 缓存状况
    sudo systemd-resolve --statistics

    # Step 2. 清除 DNS 缓存,systemd-resolve daemon 默认在所有的 Ubuntu 系统上运行
    sudo systemd-resolve --flush-caches

    # Step 3. 正在查看验证结果(SYSIN)
    sudo systemd-resolve --statistics

2、修改相关 DNS 文件(攻击机)

1
2
3
4
5
# 输入命令
vim /etc/ettercap/etter.dns
# 添加内容
*  A   172.30.0.133
*  PTR 172.30.0.133

3、开启自带的 Apache 服务

1
2
3
4
5
# 开启服务
service apache2 start

# 查询状态
service apache2 status

image-20220228145536734

4、开启 ettercap 图形界面

  • 方式一

    1
    ettercap -G

  • 方式二

    image-20220228143217106

5、选择网卡

image-20220228143315708

6、扫描网关下的所有存活主机

image-20220228143537655

扫描结果

image-20220228143633113

7、选择攻击目标

image-20220228143810935

8、开启 ARP 投毒

image-20220228143935749

image-20220228143959644

9、使用插件开启 DNS 欺骗

Plugins –> manage plugins –> dns spoof

image-20220228144057221

image-20220228144218575

10、验证结果

当发生 DNS 欺骗后,靶机请求的数据都会在 ettercap 工具中展示出来!

image-20220228145135214

此时靶机再去请求数据时,页面就会显示我们预想的 Apache 的默认页面!

image-20220228145652393

image-20220228145726419

安全研究 域名知识
DNS 欺骗 安全工具

本博客所有文章除特别声明外,均采用 CC BY-SA 4.0 协议 ,转载请注明出处!