【KALI网络安全】DNS攻击（劫持和欺骗）与网络钓鱼的模拟和预防（2）

4、DNS欺骗（DNS Spoofing）

案例 2 ——中间人DNS攻击：

4.1.拓扑说明

正常情况下，用户使用浏览器打开天涯论坛登录，然后DNS服务器通过DNS访问到论坛的服务器，返回合法登录网页。

当攻击者进行DNS欺骗时，用户的DNS流量会自动转发给攻击者，攻击者可以通过相应工具回应用户的请求，将恶意网站的IP地址伪装成合法域名的地址返回给用户，用户在不知情的情况下，在恶意网站中输入了账户和密码，数据流量被转发到攻击者电脑中，从而泄漏个人信息。

4.2.实验环境

攻击者和普通用户在同一局域网中，两者的IP均是通过DHCP服务器获得。

4.3.具体步骤

4.3.1.DNS欺骗

在kali终端输入

┌──(kali㉿kali)-[~]
└─$ ettercap-pkexec -G  
#或
┌──(kali㉿kali)-[~]
└─$ sudo -E ettercap -G

（1）编辑etter.dns文件

在kali终端输入

┌──(kali㉿kali)-[~]
└─$ sudo vi /etc/ettercap/etter.dns

在文件中末尾输入如下所示内容

*.tianya.cn   A  192.168.83.11 80

该记录代表将用192.168.83.11这个IP地址替换tianya.cn域名的IP地址。

（2）打开GUI界面后，选择对应的网卡，点击√

（3）扫描和发现主机

Ettercap自动开启嗅探，此时参数还没有配置。选择【Ettercap Menu】(三个竖点)——>【Hosts】——>【Scan for hosts】和【Host List】

Ettercap会自动扫描网卡所在网段的所有主机，从主机列表中看到，发现目标主机PC2的IP地址和MAC地址。

（4）添加目标主机

选中192.168.83.39，点击【Add to Target 1】，在下方的显示框中可以看到，目标1已添加。

（5）发起DNS欺骗

选择【Ettercap Menu】——>【Plugins】——>【Manage Plugins】，双击【dns_spoof】。下方显示框会显示dns_spoof插件已经启动，同时Plugin列表中【dns_spoof】左边会有一个*，表示插件被激活。

（6）验证欺骗成功

1）受%害者主机（PC2）

在PC2上打开命令提示符，先输入：ipconfig/all查看默认DNS服务器，PC2中还是显示的DNS服务器为192.168.83.2。再输入：ping www.tianya.cn，可以正常通信。

2）攻击者主机（kali）

当PC2与tianya.cn通信时，在Ettercap的显示框中会有dns消息提示，如下图所示。可以看到PC2实际访问的是攻击者的主机。

4.3.2.伪造网站

在kali终端中输入

┌──(kali㉿kali)-[~]
└─$ sudo setoolkit         

分别输入1 2 3后，再输入2，默认响应IP地址，输入伪造站点网址：https://passport.tianya.cn/

4.3.3.测试

DNS欺骗和伪造网站已经完成。下面是测试环节。

在PC2的浏览器的URL栏中输入http://passport.tianya.cn/，点击回车。返回的是天涯社区的注册登录网页。这是一个使用kali伪造的网站，表面上和真实站点一模一样。

PC2的用户在不知情的情况下输入了用户名和密码，攻击者会获取到这些私人信息。

在伪站中输入

• 邮箱：hack@gmail.com
• 密码：hack45

点击回车。

我们回到kali中来查看获取的信息。首先先看Ettercap的显示信息，可以看到访问tianya.cn这个域名的所有三级域名均在Ettercap上有提示。

再查看setoolkit的后台显示信息，可以发现，PC2的用户输入的邮箱和密码，在这里都能获取到！

到此，利用DNS欺骗来获取个人信息的例子演示完成。接下来我们通过分析来总结个人用户如何预防DNS欺骗。