ARP欺骗和DNS劫持

原创 已于 2025-03-18 13:17:59 修改 · 366 阅读 · 8 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络

于 2025-03-18 13:10:03 首次发布

实验目标

攻击者实现对目标机的ARP欺骗;搭建恶意的DNS服务器,攻击机实现对目标机的DNS劫持,使用kali劫持同一网络下其他人的设备,让他使用浏览器访问任何网页,最终都跳转到你精心伪造的恶意网站。

实验环境

VMware Workstation 16.2、kali 2022.03操作系统

实验思路

  1. 攻击者利用ARP欺骗技术欺骗目标机,通过修改ARP表中IP地址和MAC地址的对应关系,使其将网络通信流量发送到攻击方的设备,达到监控流量和行为的目的。
  2. 攻击者自己搭建一个恶意的DNS服务器和网站,通过修改IP地址和域名的对应关系,将合法的域名解析重定向到攻击者控制的恶意网站上,实施DNS劫持。

实验步骤

  • ARP欺骗

 首先攻击方和被攻击方需要处于同一网段中。

使用ettercap发起ARP欺骗,查找同一个网络下的所有存活设备,将想要欺骗的对象,分别添加到target1和target2。

中间人攻击方式,选择ARP poisoning。

进行ARP欺骗攻击后,攻击者会发送虚假的ARP响应,将目标主机的网关IP地址与MAC地址的映射关系更改为攻击者控制的IP地址和MAC地址。这意味着,目标主机会错误地认为攻击者的MAC地址是网关的MAC地址,从而发送数据包到攻击者的设备上,而不是真正的网关。因此,攻击者可以拦截、修改或重定向目标主机与网关之间的通信。

  • DNS劫持

开启kali的apache服务,搭建恶意网站。

service apache2 start #这一步我们是为了演示被攻击者中招后的效果,被劫持后会默认跳转到/var/www/html/index.html。

修改ettercap的DNS记录(搭建恶意DNS服务器)。

vi /etc/ettercap/etter.dns     #编辑DNS记录文件

#在最后一行添加以下记录

*  A  192.168.98.32     #*代表所有域名都会被解析为该IP地址,A记录用于将域名映射到IP地址。

开启DNS劫持。

被攻击者访问任何网站,都会被劫持到我们的搭建的恶意网站,如图所示。

正常的域名解析:

攻击后的域名解析:

攻击效果如下图所示:

实验总结

通过实验,可以在连接上共享wifi后,对该网络下的其他设备利用ARP欺骗和DNS劫持技术,监控其他用户的流量、窃取敏感信息,并引导用户访问恶意网站、钓鱼网站等。

攻击者进行ARP欺骗后,该目标机的网关MAC地址一定会变为攻击机的MAC地址吗?

在ARP欺骗攻击中,攻击者通过篡改目标主机的ARP缓存,将网关的IP地址与攻击者的MAC地址关联起来。这样,目标主机会将攻击者的MAC地址错误地认为是网关的MAC地址。因此,在目标主机的ARP中,网关的MAC地址会被设置为攻击者的MAC地址,而实际上网关本身的MAC地址并没有改变。

该攻击对https类型的网站有用吗?

HTTPS协议提供了端到端的加密机制,确保通信过程中的数据传输安全性。即使攻击者通过ARP欺骗或DNS劫持将用户重定向到HTTPS网站,但由于HTTPS的加密保护,攻击者无法直接查看或篡改用户与网站之间的通信内容。故虽然ARP欺骗和DNS劫持能够成功攻击部分网络,但对于使用HTTPS协议的网站,其通信数据仍然是安全的。

vaga@
关注
ARP欺骗技术:DNS欺骗与HTTP重定向_(13).ARP欺骗DNS欺骗结合攻击
chenlz2007的博客
11-14 870
ARP协议用于将IP地址解析为物理(MAC)地址。在网络中,每个设备都有一个唯一的MAC地址,而IP地址则是用于网络层通信的地址。当一个设备需要与另一个设备通信时,它会发送一个ARP请求,询问目标IP地址对应的MAC地址。目标设备收到请求后,会发送一个ARP响应,告知自己的MAC地址。DNS(Domain Name System)协议用于将域名解析为IP地址。当用户访问一个网站时,浏览器会向DNS服务器发送查询请求,DNS服务器会返回相应的IP地址。ettercap。
网络基础:ARP欺骗+DNS欺骗
G6_12的博客
06-17 1021
ARP欺骗+DNS欺骗简单过程
2.9 ARPDNS欺骗
qq_55202378的博客
07-18 1670
ARP欺骗 DNS欺骗
局域网下ARP欺骗以及DNS劫持
白菜博客
04-15 1092
终端输入命令ettercap -G进入ettercap的GUI界面,选择Unified sniffing(Ctrl H),然后在弹出的选项中选择eth0(如果你有无线网卡可以选择wlan0)这个一般不用修改,视情况而定,选择自己正确挂载的网卡即可。这就是DNS欺骗的基本原理。域名劫持是互联网攻击的一种方式,通过攻击域名解析服务器(DNS),或伪造域名解析服务器(DNS)的方法,把目标网站域名解析到错误的地址从而实现用户无法访问目标网站的目的。只要打开网页,DNS都会映射到攻击机的IP上,淫荡的任你玩弄!
ARP欺骗DNS劫持
byv525的博客
07-17 380
(1)只欺骗不转发,kali开启ARP欺骗,给主机不断发送ARP包,告诉主机其正常网关192.168.221.2的MAC地址为卡里的MAC地址,由于局域网通过MAC地址寻址,因此正常用户发往网关的数据包会流向kali。(4)欺骗并进行流量转发:在第一步上,在kali上增加流量转发的功能,流量转发在/proc/sys/net/ipv4/ip_forward文件中,流量转发默认是不开启的,使用echo设置为1,表示开启流量转发如下所示。(3)在ARP欺骗并进行流量转发的情况下,开启DNS欺骗
ARP欺骗DNS劫持以及Wireshark分析_arp劫持
2501_90257007的博客
01-17 1059
同一网段下的主机网关的ip地址相同,MAC地址也相同,本实验网关的ip地址为192.168.63.2,网关的MAC地址为00-50-56-ff-58-48,不论在XP中查看还是Kali中查看,网关的ip地址MAC地址都相同。:攻击者不仅向目标发送伪造的ARP响应包,还向网关发送伪造的ARP请求包,将网关的IP地址MAC地址对应关系改为攻击者的MAC地址。靶机XP的MAC地址:00-0c-29-21-43-27(在本实验中无作用,写出方便与网关的MAC地址作辨析)
2024年ARP欺骗DNS劫持以及Wireshark分析_arp劫持(1),别再说自己不会了
2401_84264662的博客
05-10 1574
同一网段下的主机网关的ip地址相同,MAC地址也相同,本实验网关的ip地址为192.168.63.2,网关的MAC地址为00-50-56-ff-58-48,不论在XP中查看还是Kali中查看,网关的ip地址MAC地址都相同。如果在使用ping命令时,输入的是域名而不是ip地址,在执行时会先进行DNS解析,将域名解析成对应的ip地址,然后才能进行ping测试,所以此时ping百度的域名会发出DNS请求。现网关的MAC地址(在ARP欺骗下已变更为Kali的MAC地址):00-0c-29-c8-3f-d6。
Kali Linux之ARP欺骗DNS劫持
m0_60571990的博客
11-06 1283
Kali Linux之ARP欺骗DNS劫持
网络安全—Kali Linux之ARP欺骗DNS劫持
Jay
03-08 1316
其应对方法只有使用HTTPS,但并不仅仅是在原有的域名HTTP的基础上切换HTTPS那么简单,还需要保障这个域名不支持HTTP访问并且没有被大范围使用HTTP访问过,如果不这样做的话会出现一个问题,运营商在DNS解析的时候并不知道这个域名是用什么协议访问的,当之前已经记录过这个域名支持HTTP访问后,不管后续是否是HTTPS访问,都会进行DNS劫持,这是如果使用的是HTTPS访问,会因为运营商的缓存服务器没有对应的SSL证书而导致请求无法建立链接,这时就会遇到请求失败的问题。(地址解析协议)的缩写。
第140天:内网安全-横向移动&局域网&ARP欺骗&DNS劫持钓鱼&中间人单双向
weixin_71529930的博客
09-03 1362
dns会优先从本地缓存>host文件>本地dns服务器>根域dns服务器>顶级dns服务器>权威dns服务器。这个实验的原理应该就是告诉dns我时被控主机,告诉被控主机我是dns,开启转发的话,还能正常访问,关闭的话就不行了。原理:一台主机不停的向另一台主机发送数据包,并告诉他我是网关,我的ip是网关ip,mac地址却不对应,导致被攻击主机找不到网关,就没有网络。双向原理: 就是告诉网关,我是被控制的主机,告诉被控制主机,我是网关,如果开启转发的话,那么流量都会通过攻击主机。
Kali Linux渗透测试小实践——DNS欺骗
PICACHU+++的博客
12-17 4374
DNS欺骗也称为DNS劫持或重定向,是一种DNS攻击,其中DNS查询被错误地解析,从而意外地将用户重定向到恶意站点。为了进行攻击,犯罪者要么在用户计算机上安装恶意软件,接管路由器,要么拦截或破坏DNS通信。DNS劫持可用于欺骗在这种情况下,攻击者通常显示不需要的广告以产生收入;或用于网络钓鱼,显示用户访问的虚假网站版本并窃取数据或凭据。
ARP欺骗DNS劫持以及Wireshark分析
m0_59302403的博客
04-02 5940
利用ettercap进行中间人攻击ARP欺骗DNS劫持,用Wireshark分析相关特征数据,提高对ettercap、Wireshark的熟练度,同时也对中间人攻击有更加深入的认识。
【KALI网络安全】DNS攻击劫持欺骗)与网络钓鱼的模拟预防(1)
VMware, Windows, Linux, Cisco, Container, Kubernetes, Kali
03-20 5457
1、DNS概述 关于DNS的定义,作用,分类以及工作原理,我已经在【Windows Server 2019】DNS服务器的配置与管理——理论】这篇博客中陈述过。 要预防DNS劫持,必须了解它的攻击原理过程 声明 本博客不是在向大家展示这些攻击的方法,而是让大家尽可能的了解DNS攻击的手段以及如何采取必要的预防措施,来确保更安全地上网。 2、DSN劫持DNS Hijacking)概述 2.1.什么是DNS劫持 DNS劫持全称为域名服务器劫持,又称DNS重定向(DNS redirection)。它是一种
局域网内 ARP欺骗+DNS劫持
qq_62159060的博客
04-16 315
arp欺骗+内网主机存活探测(Windows需要先安装npcap程序)此代码并完全不是本人写的,在网上查阅资料拼凑而来。
ARP欺骗DNS劫持实验详解
weixin_67832625的博客
07-30 715
ARP攻击就是通过伪造IP地址MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量,攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,造成网络中断或中间人攻击
Kali利用Ettercap实现中间人攻击DNS劫持DNS欺骗
m0_46745664的博客
08-11 5587
局域网内进行DNS劫持DNS欺骗
ARP攻击欺骗
柒烨~的博客
01-17 1070
ARP攻击发送的是ARP应答,但是ARP应答中的MAC地址为虚假地址,所以在其他主机想要进行通信时,会将目的MAC地址设置成此虚假MAC地址导致无法通信。 -如果想要PC1(被攻击主机)无法访问互联网,就需要对被攻击主机或网关发送虚假的ARP应答。当对方收到需要ARP应答更新ARP条目后,如果网关再发送数据给PC1时,就会发送到虚假的MAC导致通信故障 -例如张三要给李四打电话,他首先要知道李四的电话号码,这时有人告诉他李四的电话号码是12345678(不存在的号码),于是张三就把电话打到123456
内网安全-arp欺骗dns劫持钓鱼
weixin_58782362的博客
11-05 1164
攻击机一直发送伪造的数据包,欺骗网关自己是靶机,欺骗靶机自己是网关,同时开启路由转发功能,就可以让靶机在正常上网的情况下截获网络数据包,所有数据都会经过攻击机再转发给靶机。攻击机伪造数据包后本应该传输给靶机的数据错误的传输给攻击机,使靶机得不到服务器的响应数据,甚至根本无法将数据包发送出局域网。在设置的规则中,记住选择有可能解析的域名,将三级域名解析成二级域名。arpspoof -i enth -t 目标 -r 网卡。dns劫持,在arp欺骗的基础上面进行劫持。使用ettercap kali自带。
之前的方法四:ARP欺骗 + DNS劫持怎么操作
最新发布
07-29
好的,ARP欺骗DNS劫持是一种较为复杂的中间人攻击(Man-in-the-Middle Attack, MitM),它可以让攻击者拦截篡改局域网内的网络流量。在Kali Linux中,您可以使用Ettercapdriftnet等工具来实现这一过程。下面是详细的步骤说明: ### ARP欺骗 + DNS劫持操作步骤 #### 1. 准备工作 确保您有足够的权限法律许可来执行这些操作,未经授权的网络攻击是违法行为。 ##### 安装必要的工具 ```bash sudo apt-get update sudo apt-get install ettercap-graphical driftnet ``` #### 2. 设置网络接口 确保选择了正确的网络接口(如`eth0`或`wlan0`)。可以通过`ifconfig`或`ip a`命令查看当前网络接口的状态。 ```bash ifconfig ``` #### 3. 启动Ettercap 打开Ettercap图形界面: ```bash sudo ettercap -G & ``` #### 4. 扫描局域网中的主机 进入Ettercap图形界面后: - 点击`Hosts` > `Scan for hosts`。 - 查看`Hosts List`,确认局域网内的所有活动主机。 #### 5. 选择攻击目标 选择要攻击的目标: - `Target 1`:通常是路由器(默认网关),例如`192.168.1.1`。 - `Target 2`:受害者计算机或目标设备,例如`192.168.1.100`。 在`Hosts List`中右键点击相应的IP地址,选择`Add to Target 1``Add to Target 2`。 #### 6. 启动ARP欺骗 启动ARP欺骗以进行中间人攻击: - 点击`Mitm` > `Arp poisoning`。 - 选择`Sniff remote connections`。 此时,攻击者机器会伪装成目标主机之间的网关,截获它们之间的通信。 #### 7. 配置DNS劫持 为了劫持DNS查询,可以使用Ettercap的内置插件或修改DNS响应。 ##### 方法一:使用Ettercap插件 - 点击`Plugins` > `Manage the plugins`。 - 启用`dns_spoof`插件。 - 修改`/etc/ettercap/etter.dns`文件,添加自定义的DNS映射规则,例如: ```plaintext www.targetwebsite.com A 192.168.1.100 ``` 这会将`www.targetwebsite.com`的DNS请求重定向到`192.168.1.100`。 ##### 方法二:使用`dns2proxy`工具 `dns2proxy`是一个更强大的DNS劫持工具,可以与Ettercap结合使用。 1. 安装`dns2proxy`: ```bash git clone https://github.com/LeonardoNve/dns2proxy.git cd dns2proxy sudo python dns2proxy.py ``` 2. 在Ettercap中配置DNS劫持指向`dns2proxy`运行的机器。 #### 8. 抓取显示图像 使用`driftnet`工具可以实时抓取显示网络中的图像数据。 1. 打开一个新的终端窗口,运行`driftnet`: ```bash sudo driftnet -i eth0 ``` `-i eth0`指定网络接口,确保与Ettercap使用相同的接口。 2. `driftnet`会自动捕捉并显示局域网中的图片视频帧。 #### 9. 结束攻击 完成攻击后,停止所有相关的工具服务: - 在Ettercap中,点击`Stop`按钮结束会话。 - 关闭`driftnet`窗口。 - 如果使用了`dns2proxy`,按`Ctrl+C`停止服务。 ### 注意事项 - **合法性**:确保您有权对目标网络进行此类操作。未经授权的攻击行为是违法的。 - **安全性**:进行此类攻击可能会对网络稳定性隐私造成影响,谨慎使用。 - **道德责任**:只在合法授权的测试环境中进行这些操作,不要用于恶意目的。 ### 知识点 1. **ARP欺骗**:通过伪造ARP响应,使目标设备误认为攻击者是网关。(详解:截获目标间的通信) 2. **DNS劫持**:篡改DNS查询结果,将域名解析到攻击者控制的IP地址。(详解:重定向流量到攻击者服务器) 3. **中间人攻击(MitM)**:通过拦截篡改网络流量,实现对通信的监控控制。(详解:利用ARP欺骗DNS劫持实现流量控制) 希望这些步骤能帮助您理解并正确操作ARP欺骗DNS劫持。如果有任何进一步的问题,请随时提问!
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值