ARP欺骗和DNS劫持

已于 2025-03-18 13:17:59 修改
阅读量292 收藏 8
点赞数 5
CC 4.0 BY-SA版权
文章标签: 网络
于 2025-03-18 13:10:03 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/somnus981/article/details/140638315

实验目标

攻击者实现对目标机的ARP欺骗;搭建恶意的DNS服务器,攻击机实现对目标机的DNS劫持,使用kali劫持同一网络下其他人的设备,让他使用浏览器访问任何网页,最终都跳转到你精心伪造的恶意网站。

实验环境

VMware Workstation 16.2、kali 2022.03操作系统

实验思路

  1. 攻击者利用ARP欺骗技术欺骗目标机,通过修改ARP表中IP地址和MAC地址的对应关系,使其将网络通信流量发送到攻击方的设备,达到监控流量和行为的目的。
  2. 攻击者自己搭建一个恶意的DNS服务器和网站,通过修改IP地址和域名的对应关系,将合法的域名解析重定向到攻击者控制的恶意网站上,实施DNS劫持。

实验步骤

  • ARP欺骗

 首先攻击方和被攻击方需要处于同一网段中。

使用ettercap发起ARP欺骗,查找同一个网络下的所有存活设备,将想要欺骗的对象,分别添加到target1和target2。

中间人攻击方式,选择ARP poisoning。

进行ARP欺骗攻击后,攻击者会发送虚假的ARP响应,将目标主机的网关IP地址与MAC地址的映射关系更改为攻击者控制的IP地址和MAC地址。这意味着,目标主机会错误地认为攻击者的MAC地址是网关的MAC地址,从而发送数据包到攻击者的设备上,而不是真正的网关。因此,攻击者可以拦截、修改或重定向目标主机与网关之间的通信。

  • DNS劫持

开启kali的apache服务,搭建恶意网站。

service apache2 start #这一步我们是为了演示被攻击者中招后的效果,被劫持后会默认跳转到/var/www/html/index.html。

修改ettercap的DNS记录(搭建恶意DNS服务器)。

vi /etc/ettercap/etter.dns     #编辑DNS记录文件

#在最后一行添加以下记录

*  A  192.168.98.32     #*代表所有域名都会被解析为该IP地址,A记录用于将域名映射到IP地址。

开启DNS劫持。

被攻击者访问任何网站,都会被劫持到我们的搭建的恶意网站,如图所示。

正常的域名解析:

攻击后的域名解析:

攻击效果如下图所示:

实验总结

通过实验,可以在连接上共享wifi后,对该网络下的其他设备利用ARP欺骗和DNS劫持技术,监控其他用户的流量、窃取敏感信息,并引导用户访问恶意网站、钓鱼网站等。

攻击者进行ARP欺骗后,该目标机的网关MAC地址一定会变为攻击机的MAC地址吗?

在ARP欺骗攻击中,攻击者通过篡改目标主机的ARP缓存,将网关的IP地址与攻击者的MAC地址关联起来。这样,目标主机会将攻击者的MAC地址错误地认为是网关的MAC地址。因此,在目标主机的ARP中,网关的MAC地址会被设置为攻击者的MAC地址,而实际上网关本身的MAC地址并没有改变。

该攻击对https类型的网站有用吗?

HTTPS协议提供了端到端的加密机制,确保通信过程中的数据传输安全性。即使攻击者通过ARP欺骗或DNS劫持将用户重定向到HTTPS网站,但由于HTTPS的加密保护,攻击者无法直接查看或篡改用户与网站之间的通信内容。故虽然ARP欺骗和DNS劫持能够成功攻击部分网络,但对于使用HTTPS协议的网站,其通信数据仍然是安全的。

vaga@
关注
ARP欺骗技术:DNS欺骗与HTTP重定向_(13).ARP欺骗DNS欺骗结合攻击
chenlz2007的博客
11-14 755
ARP协议用于将IP地址解析为物理(MAC)地址。在网络中,每个设备都有一个唯一的MAC地址,而IP地址则是用于网络层通信的地址。当一个设备需要与另一个设备通信时,它会发送一个ARP请求,询问目标IP地址对应的MAC地址。目标设备收到请求后,会发送一个ARP响应,告知自己的MAC地址。DNS(Domain Name System)协议用于将域名解析为IP地址。当用户访问一个网站时,浏览器会向DNS服务器发送查询请求,DNS服务器会返回相应的IP地址。ettercap。
网络基础:ARP欺骗+DNS欺骗
G6_12的博客
06-17 981
ARP欺骗+DNS欺骗简单过程
局域网下ARP欺骗以及DNS劫持
白菜博客
04-15 1058
终端输入命令ettercap -G进入ettercap的GUI界面,选择Unified sniffing(Ctrl H),然后在弹出的选项中选择eth0(如果你有无线网卡可以选择wlan0)这个一般不用修改,视情况而定,选择自己正确挂载的网卡即可。这就是DNS欺骗的基本原理。域名劫持是互联网攻击的一种方式,通过攻击域名解析服务器(DNS),或伪造域名解析服务器(DNS)的方法,把目标网站域名解析到错误的地址从而实现用户无法访问目标网站的目的。只要打开网页,DNS都会映射到攻击机的IP上,淫荡的任你玩弄!
Kali Linux渗透测试小实践——DNS欺骗
PICACHU+++的博客
12-17 4268
DNS欺骗也称为DNS劫持或重定向,是一种DNS攻击,其中DNS查询被错误地解析,从而意外地将用户重定向到恶意站点。为了进行攻击,犯罪者要么在用户计算机上安装恶意软件,接管路由器,要么拦截或破坏DNS通信。DNS劫持可用于欺骗在这种情况下,攻击者通常显示不需要的广告以产生收入;或用于网络钓鱼,显示用户访问的虚假网站版本并窃取数据或凭据。
ARP欺骗DNS劫持以及Wireshark分析
m0_59302403的博客
04-02 5691
利用ettercap进行中间人攻击ARP欺骗DNS劫持,用Wireshark分析相关特征数据,提高对ettercap、Wireshark的熟练度,同时也对中间人攻击有更加深入的认识。
ARP欺骗DNS劫持以及Wireshark分析_arp劫持
2501_90257007的博客
01-17 986
同一网段下的主机网关的ip地址相同,MAC地址也相同,本实验网关的ip地址为192.168.63.2,网关的MAC地址为00-50-56-ff-58-48,不论在XP中查看还是Kali中查看,网关的ip地址MAC地址都相同。:攻击者不仅向目标发送伪造的ARP响应包,还向网关发送伪造的ARP请求包,将网关的IP地址MAC地址对应关系改为攻击者的MAC地址。靶机XP的MAC地址:00-0c-29-21-43-27(在本实验中无作用,写出方便与网关的MAC地址作辨析)
2024年ARP欺骗DNS劫持以及Wireshark分析_arp劫持(1),别再说自己不会了
2401_84264662的博客
05-10 1479
同一网段下的主机网关的ip地址相同,MAC地址也相同,本实验网关的ip地址为192.168.63.2,网关的MAC地址为00-50-56-ff-58-48,不论在XP中查看还是Kali中查看,网关的ip地址MAC地址都相同。如果在使用ping命令时,输入的是域名而不是ip地址,在执行时会先进行DNS解析,将域名解析成对应的ip地址,然后才能进行ping测试,所以此时ping百度的域名会发出DNS请求。现网关的MAC地址(在ARP欺骗下已变更为Kali的MAC地址):00-0c-29-c8-3f-d6。
Kali Linux之ARP欺骗DNS劫持
m0_60571990的博客
11-06 1246
Kali Linux之ARP欺骗DNS劫持
网络安全—Kali Linux之ARP欺骗DNS劫持
Jay
03-08 1271
其应对方法只有使用HTTPS,但并不仅仅是在原有的域名HTTP的基础上切换HTTPS那么简单,还需要保障这个域名不支持HTTP访问并且没有被大范围使用HTTP访问过,如果不这样做的话会出现一个问题,运营商在DNS解析的时候并不知道这个域名是用什么协议访问的,当之前已经记录过这个域名支持HTTP访问后,不管后续是否是HTTPS访问,都会进行DNS劫持,这是如果使用的是HTTPS访问,会因为运营商的缓存服务器没有对应的SSL证书而导致请求无法建立链接,这时就会遇到请求失败的问题。(地址解析协议)的缩写。
ARP欺骗&DNS劫持
Johnathan的博客
02-03 911
ping ip //ping主机是否连通 fping -aqg ip/掩码 nmap -sP 192.168.0.1/2 //获得主机列表,192.168.0.1/24”表示扫描"192.168.0.1-192.168.0.254"这个网段内所有的主机。 route -n //查看网关 ifconfig //查看网卡接口 arpspoof -i eth0 -t 192.168.0.129 -r 192.168.0.2 //arp欺骗 -i 表示网卡接口,-t 表示目标地址,-r 表示网关 ...
【KALI网络安全】DNS攻击劫持欺骗)与网络钓鱼的模拟预防(1)
VMware, Windows, Linux, Cisco, Container, Kubernetes, Kali
03-20 5292
1、DNS概述 关于DNS的定义,作用,分类以及工作原理,我已经在【Windows Server 2019】DNS服务器的配置与管理——理论】这篇博客中陈述过。 要预防DNS劫持,必须了解它的攻击原理过程 声明 本博客不是在向大家展示这些攻击的方法,而是让大家尽可能的了解DNS攻击的手段以及如何采取必要的预防措施,来确保更安全地上网。 2、DSN劫持DNS Hijacking)概述 2.1.什么是DNS劫持 DNS劫持全称为域名服务器劫持,又称DNS重定向(DNS redirection)。它是一种
局域网内 ARP欺骗+DNS劫持
最新发布
qq_62159060的博客
04-16 246
arp欺骗+内网主机存活探测(Windows需要先安装npcap程序)此代码并完全不是本人写的,在网上查阅资料拼凑而来。
ARP欺骗DNS劫持实验详解
weixin_67832625的博客
07-30 604
ARP攻击就是通过伪造IP地址MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量,攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,造成网络中断或中间人攻击
Kali利用Ettercap实现中间人攻击DNS劫持DNS欺骗
m0_46745664的博客
08-11 5462
局域网内进行DNS劫持DNS欺骗
内网安全-arp欺骗dns劫持钓鱼
weixin_58782362的博客
11-05 1128
攻击机一直发送伪造的数据包,欺骗网关自己是靶机,欺骗靶机自己是网关,同时开启路由转发功能,就可以让靶机在正常上网的情况下截获网络数据包,所有数据都会经过攻击机再转发给靶机。攻击机伪造数据包后本应该传输给靶机的数据错误的传输给攻击机,使靶机得不到服务器的响应数据,甚至根本无法将数据包发送出局域网。在设置的规则中,记住选择有可能解析的域名,将三级域名解析成二级域名。arpspoof -i enth -t 目标 -r 网卡。dns劫持,在arp欺骗的基础上面进行劫持。使用ettercap kali自带。
ARP欺骗+DNS欺骗
热门推荐
嘻嘻哈哈
01-24 1万+
一、共享网络与交换网络的区别 1、共享网络 在共享网络中,由于HUB属于一层设备,对于到达本身的数据报文,HUB会对报文进行广播(除了收到报文的那个接口),因此接在同HUB的所有PC都能收到该报文。前提PC开启了混杂模式 注: 通常情况下,网卡都是工作在非混杂模式,也就是说即使收到数据报文,网卡会判断目的MAC是否自己的一样,不一样的话代表数据包不是给自己的,因此会丢弃,只
网络攻防实验:ARPDNS欺骗攻击
啵啵卜卜贝
10-08 5246
一、实验目的 通过本实验,读者重点掌握以下知识: (1) 常见的ARP欺骗DNS欺骗原理及实现过程。 (2) 结合具体应用,分析ARP欺骗DNS欺骗产生的原因。 (3) ARP欺骗DNS欺骗的防范方法。 二、实验内容、步骤、结果 (如操作环境、系统配置、操作步骤、程序源代码、测试数据、测试结果、截屏等。) (1)操作环境:Windows Server 2003 (2)系统配置:安装配置Cain软件 (3)操作步骤: 步骤1:在Windows服务器上安装Cain或Sniffer等软件,本实验中使用的是
arp欺骗 DNS欺骗 会话劫持
Manny的博客
09-20 1744
【1】局域网中嗅探钓鱼 攻击arp欺骗 DNS欺骗 会话劫持 (1)arp欺骗–ettercap 相关文章http://www.91ri.org/4408.html kali linux: 1.修改 vim /etc/NetworkManager/NetworkManager.conf managed=true 重启网卡 service network-mannager restart ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值