本文已参与「新人创作礼」活动，一起开启掘金创作之路。

前言

• 靶机：seedubuntu 12.01，IP：192.168.199.138
• 攻击机：Kali-2020.4，IP：192.168.199.129
• 工具：ettercap

原理

DNS（DomainNameSystem，域名系统），因特网上作为域名和IP地址相互映射的一个分布式数据库，能够使用户更方便的访问互联网，而不用记住IP地址。DNS协议运行在UDP协议之上，使用端口号53，DNS并不包含任何认证机制，因此第三方可以对DNS数据包进行伪造。

DNS欺骗攻击

Kali利用ettercap对seed进行dns欺骗攻击并观察结果，然后尝试静态绑定IP/DNS后再观察结果。在kali中编辑ettercap的配置文件,将所有.com的域名都解析到kali的ip：

vim /etc/ettercap/etter.dns

*.com A 192.168.199.129

在kali桌面上起一个服务器、配置index.html

python3 -m http.server 80

现在seedubuntu访问网页是正常的

接下来，在kali上启动ettercap工具利用arp中间人攻击实现dns欺骗，进入图形化界面

ettercap -G

Target 1设置攻击目标,Target 2设置网关

在mitm选项中，选择arp欺骗中间人攻击，选择嗅探远程连接(Sniff remote connections)

启用dns_spoof插件

配置完成后，左上角开始攻击

此时再在seedubuntu上访问网站，发现访问到了我们刚才设置的kali页面上

查看dns解析，com被解析到了攻击机

nslookup www.baidu.com

对DNS欺骗攻击的防御

静态绑定DNS/IP映射可以有效防止DNS欺骗

seedubuntu中重启网络服务或重启系统清除dns缓存，然后再绑定IP/DNS映射关系，把baidu绑定到真实IP或CDN地址，即可正常访问

/etc/init.d/networking restart
vim /etc/hosts
110.242.68.3 www.baidu.com

目前互联网中主流方法是采用DNSSec，其基于公钥体制的签名验证机制可实现DNS消息身份认证和完整性保护

完