道德黑客 – DNS 中毒

DNS 中毒是一种欺骗 DNS 服务器的技术，它相信它已经收到了真实的信息，而实际上它并没有。这会导致在 DNS 级别替换虚假 IP 地址，其中 Web 地址被转换为数字 IP 地址。它允许攻击者用服务器控件的 IP 地址替换给定 DNS 服务器上目标站点的 IP 地址条目。攻击者可以为服务器创建虚假的 DNS 条目，其中可能包含同名的恶意内容。

例如，用户键入 www.google.com，但该用户被转到另一个欺诈站点，而不是被定向到 Google 的服务器。据我们了解，DNS 中毒用于将用户重定向到由攻击者管理的虚假页面。

DNS 中毒 – 练习

让我们使用相同的工具Ettercap做一个关于 DNS 中毒的练习。

DNS 中毒与 ARP 中毒非常相似。要启动 DNS 中毒，您必须从 ARP 中毒开始，我们在前一章中已经讨论过。我们将使用Ettercap 中已有的DNS 欺骗插件。

步骤 1 – 打开终端并输入“nano etter.dns”。此文件包含 Ettercap 用于解析域名地址的 DNS 地址的所有条目。在这个文件中，我们将添加一个“Facebook”的假条目。如果有人想打开 Facebook，他将被重定向到另一个网站。

第 2 步– 现在在“将其重定向到 www.linux.org”一词下插入条目。请参阅以下示例 –

步骤 3 – 现在保存此文件并通过保存文件退出。使用“ctrl+x”保存文件。

步骤 4 – 在此之后，整个过程与启动 ARP 中毒的过程相同。启动ARP中毒后，点击菜单栏中的“插件”，选择“dns_spoof”插件。

第 5 步– 激活 DNS_spoof 后，您将在结果中看到，只要有人在浏览器中键入，facebook.com 就会开始欺骗 Google IP。

这意味着用户在他们的浏览器上获得了 Google 页面而不是 facebook.com。

在本练习中，我们看到了如何通过不同的工具和方法嗅探网络流量。在这里，一家公司需要一个道德黑客来提供网络安全来阻止所有这些攻击。让我们看看道德黑客可以做些什么来防止 DNS 中毒。

防御 DNS 中毒

作为一名道德黑客，您的工作很可能会让您处于预防而非渗透测试的位置。您所知道的攻击者可以帮助您阻止您从外部使用的技术。

以下是从渗透测试人员的角度针对我们刚刚介绍的攻击的防御措施 –

• 将硬件交换网络用于网络中最敏感的部分，以将流量隔离到单个网段或冲突域。

• 在交换机上实施IP DHCP Snooping，防止ARP中毒和欺骗攻击。

• 实施策略以防止网络适配器上的混杂模式。

• 部署无线接入点时要小心，知道无线网络上的所有流量都会受到嗅探。

• 使用加密协议（如 SSH 或 IPsec）加密您的敏感流量。

• 端口安全由能够被编程为仅允许特定 MAC 地址在每个端口上发送和接收数据的交换机使用。

• IPv6 具有 IPv4 没有的安全优势和选项。

• 将 FTP 和 Telnet 等协议替换为 SSH 可以有效地防御嗅探。如果 SSH 不是可行的解决方案，请考虑使用 IPsec 保护旧的旧协议。

• 虚拟专用网络 (VPN) 由于其加密方面的原因可以提供有效的嗅探防御。

• SSL 与 IPsec 一起是一个很好的防御。

概括

在本章中，我们讨论了攻击者如何通过在网络中放置数据包嗅探器来捕获和分析所有流量。通过一个实时示例，我们看到了从给定网络获取受害者的凭据是多么容易。攻击者使用 MAC 攻击、ARP 和 DNS 中毒攻击来嗅探网络流量并获取敏感信息，例如电子邮件对话和密码。