域名系统决定我们的域名将被解析到哪个地址的记录。这是一个基于UDP的应用层协议。
此攻击的前提是攻击者控制您的网关(可以是路由器、交换机或操作员)。一般来说,在无线局域网下,ARP劫持可以达到这种效果。
在您访问网站期间,您经历了以下阶段: 以访问freebuf主页为例 在地址栏中输入freebuf.com 访问该机器的主机文件,找到对应于freebuf.com的IP,如果找到,访问该IP 如果找不到,则继续执行此步骤,在(远程)域名系统服务器上查找freebuf.com的IP,并访问该IP
通过Wireshark的抓举来看看这个过程。
这是发送到Baidu.com的域名系统请求 这是域名系统服务器返回的内容:中介劫持发生在第三步:当恶意攻击者控制你的网关时,当你发送一个寻找freebuf.com的请求时,中介截获并返回你一个恶意网址的网址,你的浏览器将使用这个网址作为你想访问的域名的网址!这个IP是攻击者建立的一个接口,它模仿目标网站的前端接口。当您在此界面输入用户名、密码或支付操作时,您将被点击。
因为面向域名系统劫持的接口的网址是完全正确的,因此 这种攻击通常极难区分!
攻击者可以完善网页的前端!几乎与原始网页完全一样,各种链接指向正确的地方,只有这个登录框有问题,一旦输入用户名和密码,它们就会被攻击者接受。
0×02预防@一般来说,很难阻止这种攻击!因为网址和网页是正常的,对网络技术没有深刻理解的人根本无法开始(如果攻击者的网页恢复足够真实,但是我们仍然有一些方法来阻止它。
使用SSL(HTTPS)登录,攻击者可以获得公钥,但不能获得服务器的私钥 当浏览器提示证书问题时,要小心,小心!在访问之前,请确保您的网络环境是安全的,网站是可信的。 连接到公共wifi时不要随意登录如果出现如上图所示的提示,有两种可能。
一是服务器的HTTPS证书配置不正确。 另一个是您可能被中间人劫持,数字证书无法通过浏览器身份验证@一般来说,只有一些公司和学校的内部网、一些个人站和(12306)会遇到证书配置问题。其他普通的大规模网站,尤其是我们经常使用的一些网站,不会有这样的问题,而正是这些网站需要登录并且经常遇到网络钓鱼。因此,当遇到这种情况时,我们不能轻易填写用户名和密码。
这种攻击的影响通常很小,而且仅限于内部网的范围。一般来说,没有必要太担心。当然,如果这是一个运营商劫持,那是另一回事。然而,运营商劫持通常只是插入广告,以这种方式直接实施钓鱼攻击并不大胆。
函数提交(){
var数据={
name: $("#username ")。val(),
password: $("#password ")。val(),
};
$("#submit ")。attr(“禁用”、“禁用”);
$。post("/xxx.php ",数据,函数(文本){
$("#success ")。文本(文本);
如果(text==="信息不完整,请重新输入!"){
$ ("# submit ")。removeattr ('disabled')
}否则{
}
})
}
一般来说,这样的提交函数应该在单击按钮后执行,但是攻击者可以在用户输入每个操作后使用on事件来执行该函数,这可以使用户无需单击即可发送该函数。
支付界面中的劫持使用户支付支付宝或银行卡,以这种方式向攻击者的账户支付
域名系统劫持通常是运营商的大规模劫持
(如上图右下角所示,它类似于对运营商的广告劫持。当然,这可能是该网站自己的广告,并且无法找到劫持运营商的图像。拿这张图片来演示)
有两种方式
HTTP劫持 在截取的超文本标记语言文本中间添加一个固定位置的div,广告将显示在右下角。 域名系统劫持 域名被劫持到攻击者的网站,该网站包含广告,然后使用iframe来介绍用户想要访问的网站。 0×04攻击的重现 我们可以复制这种攻击方法, 对于路由器下的多台机器,一台用于劫持,另一台用于模拟受害者进行测试 准备工作 劫机机器: Kali linux是最好的选择。 “HTTP服务器”作为网络钓鱼网站安装在本地或远程,以伪装目标网站。 最好安装一个大功率无线网卡。 安装劫持工具ettercap (kali附带) 测试机器安装了浏览器(胡说,每台计算机都有浏览器,lynx可以用于纯命令行linux) 两台计算机连接到同一个无线路由器或集线器(最好不要使用交换机,因为交换机本身需要控制,而路由器只需要作弊) 操作指南首先,在ettercap的配置文件中配置要劫持的域名系统 带有ettercap dnS配置文件的木质库位于/etc /etc/ettercap/etter.dns中 打开这个文件,我们可以看到作者已经创建了一些示例 作者顽皮地分析了微软的主页microsoft.com到linux.org的ip。开源万岁!Linux是巨大的! 回到主题,我们可以参考这些例子来编写我们自己的劫持规则格式,即域名dns记录类型IP。 dns记录类型是什么?
记录类型 形容 A (地址)记录是用于指定主机名(或域名)的IPv4地址记录 AAAA (地址)记录是用于指定主机名(或域名)的IPv6地址记录 CNAME 也被称为规范名称。该记录允许您将多个名称映射到同一台计算机。通常用于同时提供万维网和邮件服务的计算机。 MX 是指向邮件服务器的邮件交换记录,用于在电子邮件系统发送邮件时根据收件人的地址后缀定位邮件服务器。 NS 解析服务器记录。用于指示哪个服务器将解析域名。关于更详细的描述,请参考维基百科域名解析记录-维基百科
一般来说,当进行域名劫持时,我们使用一个记录。例如,如果我们想劫持百度到必应(考虑到一些朋友不支持这堵墙),我们首先使用ping/traceroute/whois和其他东西来获得bing.com的ip13.107.21.200。当我们在这个文件中添加劫持规则
来进行域名劫持时,我们需要劫持它到我们自己的服务器上。使用ifconfig (* nix)和ipconfig(窗口)查看此计算机的IP地址。一般来说,局域网地址是192.168.XXX.XXX,10。XXX.XXX.xx,172。下一步是使用apache或nginx或其他网络服务器来“挑选”我们自己的服务器。也可以使用灯或类似物。有很多在线教程,这里不再重复。
然后双击插件管理插件中的dne coip来激活插件。
并单击Mitm-ARP Posing
然后双击插件管理插件中的dne coip来激活插件。
当然,这种攻击很有可能失败,这是由中间人攻击的原理、网卡问题、网关限制、DNS缓存等多种因素造成的。因此,劫持失败也很有可能。
首先选择嗅探-统一嗅探 然后打开主机-主机列表 选择所有主机,然后单击“添加到目标1”
如果你想了解更多这方面的知识,你可以先复习一下你的计算机网络知识,了解一些应用层协议HTTPS、超文本传输协议和域名系统的细节。对于数据链路层和传输层的ARP协议,也有必要对
选中第一个复选框嗅探远程连接此时,目标已经处于被劫持状态 使用测试机的浏览器访问你劫持的网站,你可以看到你自己的“服务器页面”。我没有在这里改变它。了解有关
kali linux有更深的了解。无线领域有许多有用的工具,如air crack ng、ettercap、ARP欺骗、sslsstrip等。你可以使用它们并向kali文档学习。
