Kali Linux之ARP欺骗和DNS劫持

前言

什么是ARP协议？

ARP协议是Address Resolution Protocol(地址解析协议)的缩写。在局域网中，网络中实际传输的是“帧”，帧里面是有目标主机的MAC地址的。在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址。获得目标的MAC地址是通过地址解析协议获得的，所谓“地址解析”就是主机在发送帧前将目标IP换成目标MAC地址的过程。

ARP欺骗也是中间人攻击的一种，将自己的MAC地址分别发送给主机A和主机B，然后，欺骗主机A和B，让它们以为已经连接到对方实际上则是连接到中间人攻击者主机C上了。然后两者之间的通信都经过主机C。

ARP欺骗的原理

ARP欺骗的原理就是把自己的MAC地址伪造成网关地址来欺骗其他主机。
其他的很好理解。看了相关博客，也都很详细，就不多说了。

前置工具

kali中的arpspoof
直接安装dsniff

//root用户使用
apt-get install dsniff
//普通用户使用
sudo apt-get install dsniff

dsniff中含有arpspoof，urlsnarf

本地靶机实现

实验一

目的：让目标主机断网或限速
首先要知道目标主机的IP地址和网关，这里以win7作为受害者机器，
了解两个基本命令

arp -a
//获取查看当前主机的ARP缓存表
arp -d
//删除ARP缓存表里的信息

前提：已知目标主机的IP地址和网关

然后在kali中进行操作(kali应满足能上网，可以与外界ping通)
然后使用arpspoof

arpspoof -i eth0 -t <受害者IP> <网关>
arpspoof -i eth0 -t 192.168.2.129 192.168.2.2

就开始攻击，在win7中访问百度，已经无法连接了。

DNS欺骗

DNS劫持的原理：DNS劫持就是通过劫持了DNS服务器，通过某些手段取得某域名的解析记录控制权，进而修改此域名的解析结果，导致对该域名的访问由原IP地址转入到修改后的指定IP，其结果就是对特定的网址不能访问或访问的是假网址，从而实现窃取资料或者破坏原有正常服务的目的。
原理不再赘述，总而言之，言而总之。就是针对某一个用户(IP)，使得其访问的网站均为黑客提前设置好的vps上的web页面。
下面开始进行实验、
准备工作：
实验环境：

kali2.0——IP（192.168.137.129）
win7——IP（192.168.137.130）默认网关（192.168.137.2）
欲劫持的页面——我们学校官网(www.xxxx.edu.cn)

首先，编辑/var/www/html/index.html

vim /var/www/html/index.html<h1>hello,this is SLsec</h1><h2>hack by m0re!</h2>

在虚拟机中进行实验的。请勿随意使用。
然后编辑/etc/ettercap/etter.dns

学校官网==
然后命令行使用图形化ettercap工具
ettercap -G

选择默认就好，直接进入

先扫描，再列出局域网存活主机

然后将要欺骗的主机的默认网关add to target1
将主机的IP地址add to target2
按照上图顺序即可
然后激活dns_spoof模块

然后 manage plugins——>dns_spoof
双击，然后出现*即可

然后开始攻击

直接默认即可
然后win7就被劫持了。再访问学校官网就看到的是我提前设置好的了。

最后说一下实验后的总结

劫持的必须是支持http协议的网站，如果是https的，那么就无法劫持到我们想要得到的界面。就会显示拒绝连接，这个是困扰我一段时间的问题，因为劫持百度的就无法成功，还以为是操作问题或者实验环境的问题。
补充：关于百度劫持不成功的原因在下面会有解释，这里再啰嗦一句就是，劫持成功后受害者访问，如果是访问https://www.baidu.com，那么不会被劫持则会显示拒绝连接。如果是以http协议访问就可以成功。
其次，劫持过的网站，即使停止劫持，工具那边停止攻击之后，靶机再次访问之前被劫持的网站，仍然是被劫持时的界面。
主要是运营商以节省跨省流量结算费用为目标进行DNS劫持。当运营商系统发现HTTP访问的域名时会在区域内的服务器中缓存一份资源，后续用户再请求的时候其域名解析会被解析到运营商的服务器上去由运营商的服务器直接返回内容。

其应对方法只有使用HTTPS，但并不仅仅是在原有的域名HTTP的基础上切换HTTPS那么简单，还需要保障这个域名不支持HTTP访问并且没有被大范围使用HTTP访问过，如果不这样做的话会出现一个问题，运营商在DNS解析的时候并不知道这个域名是用什么协议访问的，当之前已经记录过这个域名支持HTTP访问后，不管后续是否是HTTPS访问，都会进行DNS劫持，这是如果使用的是HTTPS访问，会因为运营商的缓存服务器没有对应的SSL证书而导致请求无法建立链接，这时就会遇到请求失败的问题。

DNS欺骗攻击，与钓鱼技术结合使用会获得不错的效果。
钓鱼结合使用参考
https://www.cnblogs.com/hkleak/p/5186523.html
GitHub项目地址https://github.com/evait-security/weeman
文章中的那个原项目已被删除。