DNS欺骗是什么？演示DNS欺骗攻击

作者:课课家教育更新于： 2017-06-16 16:17:23

　　DNS即Domain Name System，域名系统一分布数据库的形式将域名和IP地址相互。DNS协议即域名解析协议，简单的说，DNS是用来解析域名的。有了DNS我们就不用再记住烦人的IP地址，用相对好记的域名就可以对服务器进行访问，即使服务器更换地址，我们依旧可以通过域名访问该服务器，这样能够时候我们更方便的访问互联网。
　　DNS欺骗是什么意思？
　　DNS欺骗就是攻击者冒充域名服务器的一种欺骗行为。
　　原理：如果可以冒充域名服务器，然后将查询的IP地址设为攻击者的IP地址，这样的话，用户上网就只能看到攻击者的主页，而不是yoghurt想要取得的网站的主页了，这就是DNS欺骗的基本原理。DNS欺骗其实并不是真的“黑掉”
　　了对方的网站，而是冒名顶替、招摇撞骗罢了。
　　现在的Internet上存在的DNS服务器有绝大多数都是用bind来架设的，使用bind版本主要为bind 4.9.9+P1以前版本的bind 8.2.2-P5以前版本。这些bind有一个共同的特点，就是BIND会缓存（Cache）所有已经查询过的结果，这个问题就引起了下面的几个问题的存在。
　　在DNS的缓存还没过期之前，如果在DNS的缓存中已经存在的记录，一旦有客户查询，DNS服务器将会直接返回缓存中的记录。
　　
　　DNS欺骗的原因
　　尽管DNS在互联网中扮演如此重要的角色但是在设计DNS协议时设计者没有考虑到一些安全问题，导致了DNS的安全隐患与缺陷。
　　DNS欺骗就是利用DNS协议设计时的一个非常重要的安全缺陷。首先欺骗者向目标机器发送构造的APR应答包，ARP欺骗成功后，嗅探到对方发出的DNS请求数据包，分析数据包取得ID和端口号后，向目标发送自己构造后的一个DNS返回包，对方收到DNS应答包，发现ID和端口号全部正确，即把返回数据包中的额域名和对应的IP地址保存近DNS缓存表中，而后来当真实的DNS应答包返回时则被丢弃。
　　
　　DNS欺骗攻击怎么办？
　　1、有可能是欺骗攻击，MAC地址也有可能是假的，但是一般假的不多。
　　2、如果MAC地址时真的就可以查方法如下：
　　你打开你的路由器，在里面可以看到MAC地址对应的IIP地址然后你再根据IP找相应的电脑就可以可以了，或者你可以把这个MAC地址添加到路由器的安全MAC地址过滤里面直接启用，这时这个有问题的电脑就会断线，他的主人就会主动找你。
　　只要你能打开路由器，不但能清楚的知道每个电脑所对应的IP地址和MAC地址也同样可以看到每个电脑所占用的网络资源的多少。
　　3、其实只要装上ARP防火墙是可以防御攻击的。主要是先查出攻击的来源，然后把该着急重新整理一下就没事。
　　
　　演示DNS欺骗攻击
　　Ettercap是一个很好用来演示ARP欺骗攻击的工具,当然ettercap包含一个DNS插件，非常容易使用哦。
　　
　　打开ettercap GUI，点击”sniff”，之后再”unified sniffing”选择自己的网络。单机hosts，之后扫描整个子网存活的主机。在执行时，我们来编辑etter.dns文件，以确保它执行正确的DNS欺骗攻击：
　　
　　
　　默认情况下，ettercap是重定向到另一个网站的IP地址，我们来改变它：
　　
　　192.168.1.12是攻击者的IP地址。确保web服务器运行在攻击者的机器，一定要启用IP转发。 在受害者的电脑查看：
　　
　　在ettercap GUI上，选择受害者主机（目标1）和默认路由器（网关,目标2）。
　　
　　点击Mitm-ARP poisoning，选择”Sniff remote connerctions.”之后点击 “start”-”start sniffing”
　　
　　点击选择”plugins”-”manage the plugins” 在其中选择dns_spoof。这将会启用dns_spoof插件来执行DNS欺骗中间人攻击。现在在受害者电脑的DNS欺骗攻击是：
　　
　　你可以看到，在DNS已经成功欺骗时，所有会话被转移到了攻击者的主机，而不是真正的微软服务器。
　　这个演示是基于GUI的ettercap，你也可以使用命令行版本。让我们考虑一个快速演示DNS欺骗的命令行接口。
　　选择etter。查看Dns使用简单的命令：
　　
　　现在你可以使用你喜欢的文本编辑器来编辑这个文件。你可以使用文本编辑器nano或者其他任何你想要的
　　
　　当你完成了保存这个文件，现在做好了准备。我们需要做得就是通过ettercap启用DNS欺骗攻击:
　　
　　让我们来拆开命令结构，来分析DNS欺骗攻击所用到的命令：
　　-P 使用插件，这里我们使用的是dns_spoof
　　-T 使用基于文本界面
　　-q 启动安静模式（不回显的意思）
　　-M 启动ARP欺骗攻击
　　// // 代表欺骗整个子网网络
　　此外，我们可以综合使用这些命令。例如，你想要欺骗一个特定的受害主机，那么你可以使用受害者的IP来执行DNS欺骗攻击。
　　
　　在另一个例子中，你可以使用特定的接口来执行dns欺骗攻击。为此，可以使用如下命令：
　　
　　DNS欺骗是一种非常危险的攻击，因为攻击者可以利用ettercap的dns_spoof插件和其他工具执行攻击。最终，攻击者可以使用一个社会工程工具包（作者这里指的应该是SET了）来执行攻击去控制受害者的电脑。想象一下这是多少容易，通过社会工程工具包和DNS欺骗技术你所需要做得就是配置你的社会工程工具包和你的IP清单，制作像谷歌一样的网站欺骗域名到你的IP地址上。当受害者打开google，你的攻击将使它访问你的IP，之后建立一个远程的会话。
　　让我们来考虑一个示例场景：下面是是metasploit 渗透工具使用ettercap进行dns欺骗。选择你想要的exploit，在payload中我们就选择 reverse_tcp：
　　
　　如果一切正常，我们所需要做得就是根据我们的DNS配置etter文件。看下面这个图：我使用攻击者的IP地址来设置为目标网站。一旦受害者打开该网站，他将被重定向到192.168.1.12中，然后会话开始。
　　
　　
　　这些只是DNS欺骗中最危险的一个方面：受害者不知道发送了什么，因为一切似乎是合情合理的，但不幸的是数据并没有进行正确的传输。此外，这种攻击非常危险，因为攻击者可能会利用这个技术在公共的wi-fi点上，入侵其他电脑。