kali dns劫持

一、概念介绍

1、DNS劫持定义：DNS劫持又称域名服务器劫持，是一种在劫持的网络范围内拦截域名解析请求的攻击手段，攻击者通过分析请求的域名，将审查范围以外的请求放行，否则返回假的IP地址或使请求失去响应，其效果就是对特定的网络不能访问或访问的是假网址。

2、常见类型

本地DNS劫持：攻击者在用户计算机上安装特洛伊木马等恶意软件，更改本地DNS设置，将用户重定向到恶意站点。

路由器DNS劫持：许多路由器存在默认密码或固件漏洞，攻击者可利用这些漏洞接管路由器并修改DNS设置，从而影响连接到该路由器的所有用户。

中间人DNS攻击：攻击者拦截用户与DNS服务器之间的通信，并提供指向恶意站点的IP地址。

恶意DNS服务器：攻击者入侵DNS服务器，更改DNS记录，使DNS请求重定向到恶意站点。

二、攻击原理

1、ARP欺骗原理：以常见的局域网环境为例，攻击者可通过ARP欺骗伪造IP地址和Mac地址实现ARP欺骗，正常情况下，主机根据IP地址通过ARP协议获取通信目标的Mac地址，确保数据正确传输到目标主机，而攻击者持续发出伪造的ARP响应包，更改目标主机ARP缓存中的IPMac条目，使目标主机误将攻击者主机当作网关，进而将访问的域名指向攻击者指定的IP地址。

2、DNS协议漏洞利用：部分情况下，攻击者会利用DNS协议本身的漏洞或配置错误进行劫持，未正确配置DNS服务器的安全设置，如未进行身份验证、加密通信等，攻击者可能更容易篡改DNS信息。

三、攻击演示步骤

1、环境搭建：准备两台虚拟机主机，分别安装Kali Linux系统作为攻击机和Windows 7系统作为受害机，两者使用NAT模式形成可互相连通的小局域网。

2、编辑配置文件：在Kali攻击机终端窗口输入命令“vim /etc/ettercap/etter.dns”来编辑Ettercap工具的DNS配置文件，增加一条新的A纪录，将需要劫持的网站域名解析指向攻击者主机IP地址。

3、启动相关服务：执行命令“service apache2 start”启动Kali虚拟机内置的Apache服务，以便让靶机能够访问到被攻击机DNS劫持后的页面。

4、Ettercap操作：输入命令“ettercap v”查看版本信息，再执行“ettercap G”打开可视化界面，在Sniff菜单栏选择嗅探所有unified sniffing，接着先扫描内网存活的主机IP，将要攻击的Win 7主机设置为target 1，网关设置为target 2，最后选择插件“dns_spoof”，此时攻击机开始DNS劫持。

5、查看劫持效果：在靶机上查看DNS解析状态，若成功，则靶机的域名访问请求会被重定向到攻击者指定的网页。

四、防范措施

1、用户层面

提高安全意识：谨慎点击来源不明的链接，避免访问不可信的网站，不随意在陌生网站输入个人信息，如账号、密码等。

检查网络配置：定期检查电脑或移动设备的网络设置，包括DNS服务器地址是否被篡改，若发现异常，应及时修改为正确的DNS服务器地址。

使用安全软件：安装正规的杀毒软件、防火墙等安全防护软件，并及时更新病毒库和系统补丁，可有效防止恶意软件入侵和检测网络异常行为。

2、企业层面

部署防护设备：企业可在网络边界部署专业的防火墙、入侵检测/预防系统等安全设备，对网络流量进行实时监控和分析，及时发现并阻止DNS劫持等恶意攻击。

加强员工培训：对企业员工进行网络安全培训，提高员工对网络安全的认识和防范能力，规范员工的网络行为，避免因员工的疏忽导致企业网络遭受攻击。

定期安全审计：定期对企业的网络系统进行安全审计，检查网络设备、服务器、应用程序等是否存在安全漏洞，及时发现并修复潜在的安全隐患。

3、ISP层面

优化网络架构：合理规划和设计网络架构，采用冗余设计和分布式部署等方式，提高网络的可靠性和抗攻击能力，设置多个DNS服务器，当一个DNS服务器出现故障或被劫持时，其他DNS服务器仍能正常工作。

加强监测预警：建立完善的网络监测预警机制，实时监测网络流量、系统日志等信息，及时发现异常情况并发出预警，一旦检测到DNS劫持攻击，能够迅速采取措施进行处理，减少损失。

与安全机构合作：积极与网络安全机构、其他ISP等合作，共享网络安全信息和技术资源，共同应对网络安全威胁，参与行业组织的活动，及时了解最新的网络安全动态和攻击趋势，制定相应的防范策略。

五、相关问题与解答

1、问题：如何判断自己的DNS是否被劫持？

解答：可以通过以下几种方法来判断DNS是否被劫持，一是观察浏览器访问网站时的行为，如果经常被自动跳转到陌生的网站，或者访问的网站与预期不符，可能是DNS被劫持了，二是在命令提示符或终端中输入“nslookup [域名]”，查看返回的IP地址是否正确，如果返回的IP地址与正常网站的IP地址不一致，也可能是DNS被劫持了，还可以通过网络抓包工具分析网络流量，查看是否有异常的DNS查询和响应。

2、问题：DNS劫持会造成哪些危害？

解答：DNS劫持会造成多方面的危害，对个人用户来说，可能会导致个人信息泄露，如账号、密码、身份证号码等被窃取，造成财产损失，还可能会被引导至钓鱼网站，下载恶意软件，进一步危害用户的设备安全和个人隐私，对企业而言，可能会导致业务中断，影响企业的正常运营，企业的敏感信息也可能被泄露，给企业带来巨大的经济损失和声誉损害，大规模的DNS劫持还可能导致局部甚至更大范围的网络瘫痪，影响社会的正常秩序和稳定。