【网络协议】网络劫持 - ARP_DNS欺骗篇

前言

网络劫持是一种网络攻击技术，攻击者通过拦截、篡改或重定向数据流量，控制用户的网络通信路径，干扰正常的网络服务。其方式可能包括DNS劫持、ARP欺骗和HTTP劫持等。通过这些手段，攻击者可以窃取敏感信息如个人身份数据和财务信息，导致身份盗用和金融诈骗；还可能通过传播恶意软件或病毒，感染用户系统，引发安全漏洞和数据损毁。网络劫持还可能使合法网站被伪造或重定向至恶意网站，进行钓鱼攻击；服务中断可能影响企业业务的正常运作和客户体验。最终，这些行为会损害企业信誉、造成经济损失，并在严重的情况下威胁到国家安全。防御措施包括使用加密协议保护数据传输、部署网络监控系统、定期更新系统补丁，以及提升用户的网络安全意识。

ARP欺骗

Ettercap简介：
Ettercap是一个开源网络安全工具，主要用于执行中间人攻击（MITM）和网络嗅探。它可以截获、修改和注入网络流量，支持多种网络协议，如TCP和UDP。Ettercap提供了图形用户界面（GUI）和命令行界面（CLI），使其在网络监控和安全测试中非常灵活。它常用于网络分析、嗅探网络数据包、进行ARP欺骗攻击，以及捕获和解密通信数据。尽管它的功能强大，但应当负责任地使用，遵循相关法律法规进行合法的网络安全测试。

启动Ettercap：
ettercap -G

搜索存活IP信息：
Scan for hosts Target1设置为网关IP， Target2设置为目标IP

选择ARP poisoning ->Sniff remote connections，进行ARP欺骗

选择View->Connections，即可嗅探目标IP流量通信数据包

双击即可查看流量通信具体信息

其本质上就是Kali的MAC地址（00:XX:XX:XX:XX:XX:14）声明为网关的MAC，致使我们的目标IP认为Kali的MAC地址就是网关的MAC地址进而将通信流量发送到Kali造成ARP欺骗

DNS欺骗

在原ARP欺骗的基础上实施DNS欺骗

定义DNS欺骗规则，所有域名解析成192.168.10.8：
vim /etc/ettercap/etter.dns

在Ettercap中选择：Plugins->Manage plugins->dns_spoof，进行DNS欺骗攻击

虽然ping能够指定我们的恶意IP地址，但由于百度强制使用HTTPS协议，在浏览器访问时仍为原百度地址

访问http://www.taobao.com时，访问到我们的恶意IP开启的Apache网站

查看Wireshark也可以看出DNS欺骗成功，将所有域名解析成我们的恶意IP：192.168.10.8

关闭DNS欺骗后，主机dns缓存仍为恶意IP地址：
ipconfig /displaydns

清除缓存即可：
ipconfig /flushdns

注：DNS欺骗和DNS劫持是有一定区别的：
DNS欺骗（DNS Spoofing）：攻击者伪造DNS响应，欺骗目标计算机使其相信虚假的DNS记录，从而将流量引导到恶意网站。例如，攻击者向受害者的DNS缓存中注入虚假的IP地址。
DNS劫持（DNS Hijacking）：攻击者改变DNS设置或篡改DNS请求，直接控制受害者的DNS解析过程。这样可以将用户的DNS请求重定向到恶意服务器或篡改DNS响应。