5.2.2 DNS欺骗实验3（Ettercap）

ゝ一纸荒年。 2022-03-15 12:58 509阅读 0赞

**实验步骤：**

1、打开ettercap的配置文件里（文件位置：/etc/ettercap/etter.dns）配置你要劫持的dns信息

root@kali:~# gedit /etc/ettercap/etter.dns  #图形化编辑
    root@kali:~# vi /etc/ettercap/etter.dns     #命令行编辑

注：DNS劫持规则格式 ： `域名 dns记录类型 IP`

注：何为dns记录类型：

<table style="width:500px;"> 
 <tbody> 
  <tr> 
   <td style="width:100px;">记录类型</td> 
   <td style="width:399px;">描述</td> 
  </tr> 
  <tr> 
   <td style="width:100px;">A</td> 
   <td style="width:399px;">A （Address）记录是用来指定主机名（或域名）对应的IPv4地址记录</td> 
  </tr> 
  <tr> 
   <td style="width:100px;">AAAA</td> 
   <td style="width:399px;">A （Address）记录是用来指定主机名（或域名）对应的IPv6地址记录</td> 
  </tr> 
  <tr> 
   <td style="width:100px;">MX</td> 
   <td style="width:399px;">是邮件交换记录，它指向一个邮件服务器，用于电子邮件系统发邮件时根据 收信人的地址后缀来定位邮件服务器</td> 
  </tr> 
  <tr> 
   <td style="width:100px;">NS</td> 
   <td style="width:399px;">解析服务器记录。用来表明由哪台服务器对该域名进行解析。</td> 
  </tr> 
  <tr> 
   <td style="width:100px;">CNAME</td> 
   <td style="width:399px;">也被称为规范名字。这种记录允许您将多个名字映射到同一台计算机。 通常用于同时提供WWW和MAIL服务的计算机</td> 
  </tr> 
 </tbody> 
</table>

![20190303102356653.png][]

![20190303102240225.png][]

注： \*  表示所有域名，即靶机无论输入什么域名，DNS请求信息都将会被虚假ip 172.16.8.6 劫持。这里也可以将攻击者自己的主机作为服务器劫持DNS请求报文，这样攻击者可以自定义返回的网页实现恶意攻击。

2、开启ettercap图形化工具

![20190303104412404.png][]

3、选择 sniff -> Unified sniffing 选择网卡进行配置

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3JvYmFjY28_size_16_color_FFFFFF_t_70][]

![20190303102734789.png][]

4、选择 Hosts -> Scan for hosts 扫描局域网主机，扫描结束后选择Hosts list 查看已扫描到的主机信息

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3JvYmFjY28_size_16_color_FFFFFF_t_70 1][]

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3JvYmFjY28_size_16_color_FFFFFF_t_70 2][]

5、添加靶机ip地址到Target 1，这里可以根据需要选择进行DNS欺骗攻击的一个或多个靶机，本次实验选择靶机192.168.57.129进行DNS欺骗攻击。接着选择网关添加到 Target 2进行配置，这里我的网关是192.168.57.2

![20190303102951689.png][]

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3JvYmFjY28_size_16_color_FFFFFF_t_70 3][]

6、配置好网关和主机后进行arp欺骗，选择Mitm-> ARP poisoning ，选择 sniff remote connections 嗅探远程连接，点击确定按钮开启arp欺骗。

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3JvYmFjY28_size_16_color_FFFFFF_t_70 4][]

![20190303103329406.png][] ![20190303103413389.png][]

7、选择 Plugins->Manage the plugins 管理插件，双击dns\_spoof激活DNS欺骗插件，接着选择start—> start sniffing 开始嗅探。

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3JvYmFjY28_size_16_color_FFFFFF_t_70 5][]

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3JvYmFjY28_size_16_color_FFFFFF_t_70 6][]

8、到此，已完成对靶机192.168.57.129的DNS欺骗攻击，现在我们模拟靶机，ping 任一一个域名，这里以www.baidu.com 为例，发现请求baidu.com域名时，响应的服务器ip是我们设置的虚假ip172.16.8.6，DNS欺骗成功，攻击过程的相关日志信息可以在ettercap中查看。

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3JvYmFjY28_size_16_color_FFFFFF_t_70 7][]

![20190303104314341.png][]

Ettercap实验完。。。。。。。。。。。

[20190303102356653.png]: /images/20220315/8ba6315e378e4317b9956e958b635d10.png
[20190303102240225.png]: /images/20220315/189a1caa202346a6bb5b20c73ffe3edd.png
[20190303104412404.png]: /images/20220315/6cc855fece4048698deea4dc0acf9794.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3JvYmFjY28_size_16_color_FFFFFF_t_70]: /images/20220315/fe9840064694487dac27e365869a285e.png
[20190303102734789.png]: /images/20220315/c090c1bb69b14ec5821b2a3d0ead2783.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3JvYmFjY28_size_16_color_FFFFFF_t_70 1]: /images/20220315/1dbba19d7732485b9c357f5893b07a89.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3JvYmFjY28_size_16_color_FFFFFF_t_70 2]: /images/20220315/4e899d20bab748c89fd0b67c70ff4ef0.png
[20190303102951689.png]: /images/20220315/2c47f68ed87247c49ab309b9d34cc17c.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3JvYmFjY28_size_16_color_FFFFFF_t_70 3]: /images/20220315/efdad71e147f42d9a5b60cb9ea27622b.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3JvYmFjY28_size_16_color_FFFFFF_t_70 4]: /images/20220315/f9fcbac580504106a264defca48940b1.png
[20190303103329406.png]: https://img-blog.csdnimg.cn/20190303103329406.png
[20190303103413389.png]: /images/20220315/693d9b2cce5545058301dd3e837afd9e.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3JvYmFjY28_size_16_color_FFFFFF_t_70 5]: /images/20220315/8fb905c1002f4e4a9717e2ee4de9414e.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3JvYmFjY28_size_16_color_FFFFFF_t_70 6]: /images/20220315/861886173d1046cea0936181042caf52.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3JvYmFjY28_size_16_color_FFFFFF_t_70 7]: /images/20220315/d071f707d3e84a64a607f36cb6022df4.png
[20190303104314341.png]: /images/20220315/5fc1cb9258694a2c8ed32e4f3c5cbb84.png