ARP欺骗和DNS劫持以及Wireshark分析

一、实验目的

利用ettercap进行中间人攻击之ARP欺骗和DNS劫持用Wireshark分析相关特征数据提高对ettercap、Wireshark的熟练度同时也对中间人攻击有更加深入的认识。

二、实验原理

常见的ARP欺骗方式有两种单向ARP欺骗、双向ARP欺骗

单向ARP欺骗攻击者只向目标主机发送伪造的ARP响应包将目标主机的IP地址和MAC地址对应关系改为攻击者的MAC地址。这样目标主机将网络流量发送到攻击者的MAC地址攻击者就能够获取到网络流量。

双向ARP欺骗本实验进行双向ARP欺骗攻击者不仅向目标发送伪造的ARP响应包还向网关发送伪造的ARP请求包将网关的IP地址和MAC地址对应关系改为攻击者的MAC地址。这样目标将网络流量发送到攻击者的MAC地址攻击者将网络流量转发到网关实现中间人攻击。

DNS劫持攻击者通过篡改本地DNS缓存或在中间节点欺骗网络中其他设备的DNS请求将用户的合法DNS查询请求重定向到攻击者控制的恶意网站或服务器上。这样攻击者就可以获取用户的敏感信息包括账户名、密码等等。例如当用户在浏览器中输入一个网站的URL时浏览器会向本地DNS服务器发出DNS查询请求查询网站的IP地址。如果攻击者劫持了这个请求就会返回一个虚假的IP地址将用户重定向到一个假冒网站从而达到劫持的目的。

三、实验环境

工具软件VMware、ettercap、Wireshark

实验准备虚拟机Kali Linux 2022.2、虚拟机Windows XP

注意本实验中Kali为攻击机XP为靶机

四、实验内容实验步骤、测试数据等

第一部分使用ettercap图形化界面进行ARP欺骗

启动Kali虚拟机和XP虚拟机保证处于网络联通状态

进入Kali攻击机sudo -i 进入root权限ifconfig 查看ip地址和MAC地址

攻击机Kali的ip地址Kali简写为inet地址全称Internet Protocol地址192.168.63.132

攻击机Kali的MAC地址Kali简写为ether地址全称Ethernet地址也叫MAC地址00:0c:29:c8:3f:d6

攻击机Kali截图

打开XPipconfig -all 查看ip地址

靶机XP的ip地址192.168.63.139

网关的ip地址192.168.63.2

靶机XP的MAC地址00-0c-29-21-43-27在本实验中无作用写出方便与网关的MAC地址作辨析

arp -a 查看arp缓存表

网关的物理地址MAC地址00-50-56-ff-58-48

注意这里网关的MAC地址并不是XP的MAC地址。同一网段下的主机网关的ip地址相同MAC地址也相同本实验网关的ip地址为192.168.63.2网关的MAC地址为00-50-56-ff-58-48不论在XP中查看还是Kali中查看网关的ip地址和MAC地址都相同

靶机XP截图

Kali中打开终端输入ettercap -G打开ettercap图形化界面

scan for hosts扫描发现网段中有4个主机存活其中192.168.63.139是靶机的ip地址192.168.63.2是网关的ip地址

将靶机XP的ip地址add为target 1网关的ip地址add为target 2如图

右上角选择ARP poisoning

单击后开始arp欺骗窗口弹出如下信息

GROUP1:靶机XP的ip地址  靶机XP的MAC地址

GROUP2:网关的ip地址  网关的MAC地址

进入靶机XParp-a 查看arp缓存表

原网关的MAC地址变成了攻击机Kali的MAC地址ARP欺骗成功

原网关的MAC地址00-50-56-ff-58-48

现网关的MAC地址在ARP欺骗下已变更为Kali的MAC地址00-0c-29-c8-3f-d6

本部分实验可能用到的命令

1. Sniff -> unified sniffing

2. Hosts -> scan for hosts -> hosts list

3. Add 网关地址  to  target1

4. Add 靶机地址  to  target2

5. Mitm -> arp poisoning勾选sniff remote connections

6. Start sniffing

第二部分练习使用ettercap进行DNS劫持开启Apache服务让目标主机访问任何网站都劫持到kali系统主页。

ARP欺骗成功后进行DNS劫持

在Kali的root权限下

cd /home/kali

vi /etc/ettercap/etter.dns

将攻击机Kali的ip地址192.168.63.132添加到如下位置使得靶机XP的网络访问转移到攻击机Kali上

输入service apache2 start启动阿帕奇服务器

访问Kali中火狐浏览器127.0.0.1的回环地址显示为Apache服务器的默认欢迎页面如下图

下面开始DNS劫持

打开ettercap右上角Plugins

双击选中dns_spoof选中会在前面加一个星号

在靶机XP上ping百度发现回传响应的是攻击机Kali的ip地址192.168.63.132而非靶机XP的 ip 地址192.168.63.139其实已经说明DNS劫持成功了

接下来看一下DNS劫持成功后的特征

在靶机XP上打开浏览器访问 www.baidu.com显示的不是百度页面而是攻击机Kali的Apache服务器的默认欢迎页面如下图

第三部分利用Wireshark抓包分析ARP欺骗和DNS劫持的特征数据进行分析并截图

在主机Kali左上角找到并启动Wireshark

选择eth0

在靶机XP的终端中输入ping www.baidu.com

如果在使用ping命令时输入的是域名而不是ip地址在执行时会先进行DNS解析将域名解析成对应的ip地址然后才能进行ping测试所以此时ping百度的域名会发出DNS请求

在攻击机Kali的Wireshark中过滤DNS

抓取到靶机XP ping 百度域名的包如下图

五、实验体会

用虚拟机环境实操了一次ARP欺骗和DNS劫持受益匪浅。