中间人攻击之DNS欺骗.docVIP

在前面的文章 （中间人攻击 -ARP毒化）中，我们讨论了黑客危险的攻击和实用的 ARP中毒原理。 在本文中， 我将首先探讨检测和防止 ARP中毒（或 ARP欺骗）攻击，然后我将回顾其他的中间人攻击 -DNS欺骗。 ARP缓存攻击是一项非常危险的攻击，重要的是在用户中创建安全的意识和分析有效的工具和策略。如果 你操作的是小型网络，那么就很容易维护 ARP。但是在大型的网络，维护 ARP是很困难和费事的。在前一 篇文章的最后我们讨论了工具和技术，能够被用来检测 ARP缓存中毒攻击。让我们来回顾下每一步 : 静态  ARP 你可以在网络 ARP表中手动的添加一些信息，一旦信息插入，你就有了静态 是非常简单，在你的终端 /CMS中，只需输入：“ arp -s ”  ARP映射。输入数据的过程也 例子： 你现在的  ARP表： root@bt:~# arp Address HWtype HWaddress Flags Mask Iface ether 00:22:93:cf:eb:6d C eth0 让我们假设一下，我想添加一个新的主机在我的 ARP缓存表中，我输入如下命令： arp -s IP MAC root@bt:~# arp -s 00:50:FC:A8:36:F5 root@bt:~# arp Address HWtype HWaddress Flags Mask Iface ether 00:50:fc:a8:36:f5 CM eth0 ether 00:22:93:cf:eb:6d C eth0 root@bt:~# 需要注意的是，手动添加 ARP表只适用于当前的会话。当你重新启动计算机，将更新表。如果你想要使用 这种方法，那么你可以创建一个批处理文件 /BASH文件，并将它们添加到启动项。 ARPwatch (ps ：监听 ARP记录 ) 这是一个不错的实用程序，已经被用来监测 ARP网络，它能够探测并记录发生更改的网络，同时还发送邮 箱详细说明各自的变化。安装过程也是非常简单的。 对于  Ubuntu  用户： # apt-get install arpwatch root@bt:~# arpwatch -h Version usage: arpwatch [-dN] sendmail_path] [-p]  [-f datafile] [-a] [-m addr]  [-i interface] [-u username]  [-n net[/width]] [-R seconds ]  [-Q]  [-r file] [-z  [-s ignorenet/ignoremask] 如果需要快速检测就用下面这个命令： arpwatch -i interface root@bt:~# arpwatch -i eth0 检查程序是否在运行： root@bt:~# ps -ef | grep arpwatch arpwatch 1041 1 0 14:05 ? 00:00:00 /usr/sbin/arpwatch -u arpwatch -N root 2191 2165 0 14:54 pts/0 00:00:00 grep – color=auto arpwatch  -p 接下来的步骤就是 ARPwatch 记录日志，这也非常简单，你只需要做得是确定目录，然后读取文件。 root@bt:~# cd /var/lib/arpwatch root@bt:/var/lib/arpwatch# ls root@bt:/var/lib/arpwatch# cat 00:50:fc:a8:36:f5 76 eth0 00:27:0e:21:a6:1e 23 eth0 所以如果你是网络管理员，那么你应该实施一些策略来监视 ARP表并且保护主机免受 ARP中毒攻击。 当然我们要注意，中间人攻击并不局限于一个 ARP欺骗攻击。正如前面提到的，还有许多其他的技术能够 执行一个中间人攻击。一个主要的例子就是 DNS欺骗，我们将分析它。 DNS欺骗攻击 DNS欺骗攻击是一种非常危险的中间人攻击，它容易被攻击者利用并且窃取用户的机密信息。虽然这篇文 章可以提供一些新的见解，但重要的是  DNS欺骗是一个一般概念，有无数种方法可以实现一个  DNS欺骗攻 击。 在一个 DNS欺骗攻击中，攻击者可以利用一个漏洞来伪造网络流量。因此，要理解解 DNS是怎样工作的。  DNS欺骗攻击，必须理 DNS(域名系统  ) 在互联网中是一个非常重要的协议。它属于  TCP/IP ，是一个分层结构的分布式模块，它包 含域名的相关信息。它负责在网络上映射域名到他们各自的 IP 上。 DNS定位主机 / 服务器通过查看友好域