设为首页收藏本站

 找回密码
 注册论坛

QQ登录

只需一步,快速开始

用百度帐号登录

只需两步,快速登录

新浪微博账号登陆

只需一步,快速开始

搜索
查看: 1021|回复: 1

转:DNS欺骗系列教程之——Cain on Windows ARP局域网域名劫持攻击,虚假IP返回

[复制链接]

签到天数: 2210 天

[LV.Master]伴坛终老

 成长值: 20790
发表于 2015/4/9 20:12 | 显示全部楼层 |阅读模式 |Google Chrome 40.0.2214.111|Windows 7
天涯海角搜一下: 百度 谷歌 360 搜狗 有道 雅虎 必应 即刻

今天先介绍在windows环境下使用Cain这个著名的工具进行DNS Spoof(即DNS欺骗),该篇教程主要针对新手,因此每一个步骤都详细截了图,并做了解释,希望能做到简单易懂,让新手能学到东西。

废话多了,正文开始:

首先说下测试环境:两台虚拟机,XP系统,为了模拟真实局域网环境,都是使用用桥接方式(如果还不明白VMware各种网络接入方式的,请自己Google或者留言提问)

攻击者:192.168.1.211

受害者:192.168.1.212

网关(TPLink路由器):192.168.1.1

我们先看怎么使用工具,再来说原理。

安装Cain的步骤不再阐述,无非就是一直点下一步,确认测试环境正常后,打开cain.

1.png


先点击第一个图标选好网卡,一般只有一个啦~~~~

在Configure中的Arp选项可以规定使用伪造的IP地址(必须是未使用的IP),这个选不选无所谓。

2.png


然后切换到Sniffer选项卡,点击那个蓝色十字扫描局域网中存活主机,这里可以自定义范围(有些时候有些主机扫不出来可以自己缩小下范围再扫

3.png


看扫出来的结果,其中192.168.1.212是要欺骗的XP主机,192.168.1.1是网关

4.png


然后再底下切换到ARP选项卡,先点击一下空白的列表,然后照例点击蓝色十字添加欺骗主机。左边选中网关(如果不知道网关IP,使用ipconfig看其中的Default Getway一项 ),右边选择要欺骗的主机,可以按住shift多选。

5.png



确定以后可以看到欺骗条目已经被添加进去了,状态为Idle(闲置),因为我们准备工作还未完成,暂时不开始欺骗。

6.png


左边列表切换到ARP DNS一项,蓝色十字添加DNS欺骗规则。上面是要欺骗的域名,比如这里填写baidu.com,下面是要欺骗到的IP,Resolve按钮可以根据域名PING出相应IP,这里我们用g.cn的IP演示。

也就是说如果欺骗生效,192.168.1.212这台机子访问baidu.com时会解析到google的服务器。

7.png


完成准备以后我们就可以点击那个黄色图标开始欺骗啦~~~

8.png


现在我们来到受害主机192.168.1.212中ping一下baidu.com

9.png


和欺骗之前的结果一做比较,你就发现欺骗成功了。

01.png


再回到cain中ARP DNS那里可以看到数据包访问数记录。

02.png


同样在浏览器中浏览baidu.com,自动跳到google,哈哈

03.png



04.png



工具会用了,但是原理你懂么?如果能把每一个工具的原理都弄懂,你也会得到不错的进步。

为了防止新手头晕,我这里只简单说下原理。首先你要了解局域网的基本通信原理。

局域网是通过MAC地址寻找指定主机,arp表的作用就是规定了IP地址与MAC地址的对应关系。我们向受害主机发送Arp数据包时,受害主机就会把其中的对应关系记录到自己的arp表中,这时如果我们把自己的MAC地址告诉受害主机,并欺骗他这是网关192.168.1.1的MAC地址,这是受害主机向网关发送的数据包就全部到我们机子上来了XD。当受害机器请求baidu.com时,我们就假装自己是网关返回一个假的IP给它,他就会上当去访问google的服务器。

如果把欺骗的IP地址换成是一个挂好马的地址呢???

Arp欺骗的详细原理可以参考这里:http://www.xjwb.com.cn/onews.asp?id=188

这个是欺骗前后的arp表对照

05.png


06.png


下面说下一些可能出现的问题:

①我想把baidu.com欺骗到听潮社区的IP(216.34.181.96),但是为什么欺骗后浏览器没有跳转到听潮社区,而是出现一个英文错误页面?

——因为请求216.34.181.96的时候是报文中的Host字段规定了要访问的网站,而你访问时host值是baidu.com,这个ip上不存在这个域名,所以就出错啦。而像文中演示的g.cn是使用独立IP的,所以正常。

②为什么我停止了欺骗并关掉了Cain,但受害主机访问baidu.com时还是会跳转到google?

——如果出现这种情况,我个人认为是Cain没有处理好,因为测试Ettercap时就不会出现这种情况(见下一篇教程)。这时请手动清空受害机器的本地DNS缓存:ipconfig /flushdns

③欢迎广大基友前来提问,小弟尽力作答,这篇教程到这里就结束了,如果大牛发现小弟有不妥或遗漏之处,请不吝赐教。




原文来自:http://www.l0s4r.com/post/1cb92fed_5317879
欢迎光临IT技术交流论坛:http://bbs.itzmx.com/
回复

使用道具 举报

居高领下 该用户已被删除
发表于 2015/4/9 21:13 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
欢迎光临IT技术交流论坛:http://bbs.itzmx.com/
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 注册论坛 用百度帐号登录新浪微博账号登陆

本版积分规则

手机版|Archiver|Mail me|网站地图|IT技术交流论坛 ( 闽ICP备13013206号-7 )

GMT+8, 2018/1/21 20:40 , Processed in 0.296899 second(s), 40 queries , Gzip On, Apc On.

Powered by itzmx!

© 2011-2013 sakura

快速回复 返回顶部 返回列表