DNS中毒是一种技术,它使DNS服务器相信它已经收到了真实的信息,而实际上却没有.它导致在DNS级别替换虚假IP地址,其中Web地址被转换为数字IP地址.它允许攻击者使用服务器控件的IP地址替换给定DNS服务器上的目标站点的IP地址条目.攻击者可以为服务器创建虚假的DNS条目,其中可能包含同名的恶意内容.
例如,用户键入www.google.com,但用户被发送到另一个欺诈网站,而不是直接指向谷歌的服务器.据我们了解,DNS中毒用于将用户重定向到由攻击者管理的虚假页面.
让我们做使用相同工具进行DNS中毒练习 Ettercap .
DNS中毒与ARP中毒非常相似.要启动DNS中毒,您必须从ARP中毒开始,我们已在前一章中讨论过.我们将使用 DNS欺骗插件,该插件已存在于Ettercap中.
第1步 : 打开终端并输入"nano etter.dns".此文件包含DNS地址的所有条目,Ettercap使用这些条目来解析域名地址.在这个文件中,我们将添加一个虚假的"Facebook"条目.如果有人想打开Facebook,他将被重定向到另一个网站.
第2步 : 现在插入条目"将其重定向到www.linux.org".请参阅以下示例 :
第3步 : 现在保存此文件并通过保存文件退出.使用"ctrl + x"保存文件.
步骤4 : 在此之后,整个过程与启动ARP中毒相同.启动ARP中毒后,单击菜单栏中的"插件"并选择"dns_spoof"插件.
第5步 : 激活DNS_spoof后,您会在结果中看到,只要有人在浏览器中输入,就会开始欺骗Google.com.
这意味着用户在浏览器上获取Google页面而不是facebook.com.
在本练习中,我们看到了如何通过不同的工具和方法来嗅探网络流量.在这里,公司需要道德黑客提供网络安全来阻止所有这些攻击.让我们看看道德黑客可以做些什么来防止DNS中毒.
作为道德黑客,你的工作很可能会你处于预防而不是笔测试的位置.你所知道的攻击者可以帮助你阻止你从外部使用的技术.
以下是针对我们刚刚从笔测试者的观点所涵盖的攻击的防御 :
将硬件交换网络用于网络中最敏感的部分,以便将流量隔离到单个网段或冲突域.
在交换机上实施IP DHCP Snooping,以防止ARP中毒和欺骗攻击.
实施策略以防止网络适配器上的混杂模式.
部署无线接入点时要小心,因为知道无线网络上的所有流量都需要嗅探./p>
使用加密协议(如SSH或IPsec)加密敏感流量.
端口安全性由能够被编程为仅允许特定MAC地址发送和接收数据的交换机使用每个端口.
IPv6具有IPv4没有的安全优势和选项.
用SSH替换FTP和Telnet等协议是防止嗅探的有效方法.如果SSH不是一个可行的解决方案,请考虑使用IPsec保护较旧的旧协议.
虚拟专用网络(VPN)可以有效防御嗅探加密方面.
SSL与IPsec一起是一个很好的防御.
在本章中,我们讨论了攻击者如何通过在网络中放置数据包嗅探器来捕获和分析所有流量.通过实时示例,我们看到从给定网络获取受害者凭据是多么容易.攻击者使用MAC攻击,ARP和DNS中毒攻击来嗅探网络流量,并获取电子邮件对话和密码等敏感信息.
