道德黑客 - DNS 中毒


DNS 中毒是一种欺骗 DNS 服务器使其相信自己收到了真实信息的技术,而实际上它并未收到真实信息。它会导致在 DNS 级别替换虚假 IP 地址,其中 Web 地址将转换为数字 IP 地址。它允许攻击者用服务器控件的 IP 地址替换给定 DNS 服务器上目标站点的 IP 地址条目。攻击者可以为服务器创建虚假的 DNS 条目,其中可能包含同名的恶意内容。

例如,用户输入 www.google.com,但用户会被发送到另一个欺诈网站,而不是被定向到 Google 的服务器。据我们了解,DNS 中毒用于将用户重定向到攻击者管理的虚假页面。

DNS 中毒 - 练习

让我们使用相同的工具Ettercap来做一个关于 DNS 中毒的练习。

DNS 中毒与 ARP 中毒非常相似。要发起DNS中毒,就必须从ARP中毒开始,这一点我们在上一章已经讨论过。我们将使用Ettercap 中已有的DNS 欺骗插件。

步骤 1 - 打开终端并输入“nano etter.dns”。该文件包含 Ettercap 用于解析域名地址的 DNS 地址的所有条目。在此文件中,我们将添加一个“Facebook”的假条目。如果有人想打开 Facebook,他会被重定向到另一个网站。

终端

步骤 2 - 现在在“Redirect it to www.linux.org”一词下插入条目。请参阅以下示例 -

重定向

步骤 3 - 现在保存此文件并通过保存文件退出。使用“ctrl+x”保存文件。

步骤 4 - 此后,整个过程与启动 ARP 中毒相同。启动ARP中毒后,点击菜单栏中的“插件”,选择“dns_spoof”插件。

插件

步骤 5 - 激活 DNS_spoof 后,您将在结果中看到,每当有人在浏览器中输入 facebook.com 时,它就会开始欺骗到 Google IP。

激活

这意味着用户在浏览器上看到的是 Google 页面而不是 facebook.com。

在本练习中,我们了解了如何通过不同的工具和方法嗅探网络流量。在这里,公司需要有道德的黑客来提供网络安全以阻止所有这些攻击。让我们看看道德黑客可以采取哪些措施来防止 DNS 中毒。

防御 DNS 中毒

作为一名道德黑客,您的工作很可能使您处于预防而非笔测试的位置。作为攻击者,您所了解的知识可以帮助您阻止您从外部使用的技术。

以下是我们刚刚从渗透测试人员的角度介绍的针对攻击的防御措施 -

  • 对网络中最敏感的部分使用硬件交换网络,以将流量隔离到单个网段或冲突域。

  • 在交换机上实施IP DHCP Snooping,防止ARP中毒和欺骗攻击。

  • 实施策略以防止网络适配器上的混杂模式。

  • 部署无线接入点时要小心,要知道无线网络上的所有流量都会受到嗅探。

  • 使用 SSH 或 IPsec 等加密协议加密您的敏感流量。

  • 端口安全性由能够编程为仅允许特定 MAC 地址在每个端口上发送和接收数据的交换机使用。

  • IPv6 具有 IPv4 所没有的安全优势和选项。

  • 用 SSH 替换 FTP 和 Telnet 等协议是对嗅探的有效防御。如果 SSH 不是可行的解决方案,请考虑使用 IPsec 保护较旧的遗留协议。

  • 由于其加密特性,虚拟专用网络 (VPN) 可以有效防御嗅探。

  • SSL 和 IPsec 一样都是很好的防御措施。

概括

在本章中,我们讨论了攻击者如何通过在网络中放置数据包嗅探器来捕获和分析所有流量。通过一个实时示例,我们看到了从给定网络获取受害者的凭据是多么容易。攻击者使用 MAC 攻击、ARP 和 DNS 投毒攻击来嗅探网络流量并获取电子邮件对话和密码等敏感信息。