認真說起來,我室友真的有斷我網,覺得難過,大概是因為他覺得我每次開學選 IP 都很歐吧!從來沒斷過網,於是他就來段我惹~~讓我們認識一下大家最常見的斷網小撇步吧!
簡單說,偽裝成 DNS Server 發真正的回復之前,丟假的回覆給使用者!引導使用者到錯誤的網站以竊取資料或是讓使用者無法連線!其中大致上可以分成四個類別:
Intranet DNS Spoofing
攻擊者可利用 ARPSpoof 的方式先欺騙受害者,將 Gateway 轉到自己身上!
# 例子
arpspoof -i eth0 -t 192.168.1.101 192.168.1.1
# -i Interface 名字
# -t 192.168.1.101 受害者的IP
# 192.168.1.1 Gateway
喜歡 Sniffer 的朋友記得還要開個 IP Forwarding 唷!不然本來的中間人攻擊直接變成DOS。
echo 1 >> /proc/sys/net/ipv4/ip_forward
做到這一步,攻擊者已經可以將所有受害者的流量都倒到自己的機器,一一檢視!
如果攻擊者想要在玩得更嗨,可以再利用 DNSSpoof 來補充一個~
# fakedns.txt 假的 DNS 紀錄
192.168.1.168 www*
192.168.1.168 tw*
# 欺騙受害著
dnsspoof -f fakedns.txt host 192.168.1.101 and udp port 53
如此一來,受害者只要連線的 domain name 前面帶 www 或 tw 就會都指到 192.168.1.168,就這樣一路發發發唷!
Internet DNS Spoofing
嗯嗯嗯~這個部分,攻擊者不再是你的室友,他也沒辦法跑到你的宿舍裡偷插線!那這樣的情況,攻擊者會怎麼做呢?最終才能引導受害者連挫網站~其實攻擊者就會利用先前提到的木馬等髒髒又邪惡的軟體,在受害者的電腦直接更改 DNS Server IP 到攻擊者指定款~剩下來的步驟就大同小異!
Proxy Server DNS Spoofing
至於 Proxy 的部分,這個行為的前置作法如同 Internet DNS Spoofing,利用 Malware 去竄改 Proxy 設定指到 ~ 一樣御用的髒髒又邪惡的 Proxy ,嘖嘖,Proxy 上的 DNS 也可以良好的被 維護。
DNS Cache Spoofing
這一個行為針對的就不是終端使用者了~而是家用或是公司用的 DNS Server ,利用 DNS Server 會把已經查過的 DNS 紀錄存起來的特性進行的攻擊。藉由回傳假的 DNS Response 讓 Cache 紀錄假的資訊達到目的!
筆者在這邊順便提供有趣的小道具供讀者測試 DNS Server 的品質。
DNS 線上檢測小工具 https://www.iana.org/
這一篇!散!
工具列個表