原理介绍：

DNS 欺骗是攻击者冒充域名服务器的一种欺骗行为，是一种很危险的中间人攻击。当客户在浏览器中输入网址，会向 DNS 服务器（存储域名和 IP 地址映射的数据库）发送一个 DNS 请求报文，从而获取对应的 IP 地址。每个报文会包含一个 16 位的 ID 号用于查询响应。攻击者首先向靶机发送虚假的 ARP 应答数据包，通过 ARP 欺骗，嗅探到对方的 DNS 请求数据包，拿到 ID 号和端口号，并向对方发送自己的 DNS 响应包。对方发现 ID 和端口正确，便会将数据包中的域名和 IP 地址保存到 DNS 缓存表中，从而访问攻击者的网站。

操作步骤演示

环境准备

攻击机：kali 2019.4 ip: 192.168.245.128

**靶机：**win7 ip:192.168.245.129

**网关：ip: **192.168.245.2

工具：kali 自带的 ettercap (一个基于 ARP 地址欺骗方式的网络嗅探工具)，metasploit

操作步骤

1. 修改 ettercap 的 DNS 配置文件, 添加自己的 ip /etc/ettercap/etter.dns
2. 打开 enttercap 嗅探工具 网卡接口默认 eth0
3. 扫描同一局域网下的主机[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传
4. 将网卡：192.168.245.2 设置为 Target 1 , 靶机：192.168.245.129 设置为 Target 2
5. 在 MITM（中间人）中选择 ARP poisoning 选择 Sniff remote connections.
6. 在 Plugins/Manage plugins 中选择 dns_spoof 插件双击运行
7. 我们在 win7 ping 一下 baidu.com ,可以发现 回复的 ip 是攻击者的 kali
8. 成功完成欺骗，可以获取用户的上网信息，抓取图片，也可以窃取明文账号及密码。我想演示一下利用 MS11_003 漏洞，简单实现下用户在 dns 劫持的情况下，输入任意 的网址，都会被攻击者获取 shell。
9. 先开启apache 服务器
   
10. 在 /var/www/html/ 中编辑 index.html url 是 metasploit 利用 MS11_003 漏洞生成的木马链接，过程请百度
11. 在 win7 的 IE 浏览器中输入任意网址，会发现自动跳转，url 发生变化 这里局限于 IE 浏览器
12. 攻击者成功拿到 shell

总结

1.DNS 欺骗攻击危害很大，也很难防御，只有受害者受到攻击，当浏览页面产生变化时才会察觉。甚至有的人缺乏安全意识，看都不看，这样是很危险的。

2.DNS 欺骗基于 ARP 欺骗，通过静态绑定以及入侵检测软件都可以有效防御

文章仅供学习交流，请勿非法使用哦！