企业级与个人级 DNS 劫持简谈

来源：互联网发布：如何注册淘宝卖家编辑：程序博客网时间：2024/06/05 12:00

0x01 概述

DNS劫持常被入侵者用来进一步提升权限，或大批量进行控制等，可以达到监听流量，中间人攻击，甚至拿到用户根权限等恶劣情况。

0x02 个人级

首先po一张拓扑图

国内大多使用家用路由器拨号上网, 下接设备1, 设备2, 设备3 …. 并且使用 DHCP 模式.

而这就给了攻击者提供了很大的方便. 只要修改DNS, 那么普通用户就难逃魔掌.

攻击原理

正常情况下, 用户访问正常的DNS (8.8.8.8) 查询 dnsname.com (123.125.114.114) 得到IP然后访问.

在被攻击的情况下, 则会被定向到 Hack 的DNS (10.1.1.150) 然后 DNS 返回了一个错误的服务器地址(10.1.1.161).

这个 (10.1.1.161) 服务器上则被 HACK 布置了一个陷阱.

所以, 当用户访问被 HACK ‘污染’ 了的 dnsname.com (10.1.1.161) 之后, 就会被攻陷.

环境搭建

DNS服务器 X1 /* 如图 10.1.1.150

攻击实施服务器 X1 /* 如图 10.1.1.161

MSF + Win7 + IE9

/* 实验过程跟拓扑有一定出入,不要在意细节 */

攻击流程

攻击实施过程

正常的 dnsname.com ( 69.172.201.208 ) 和被 ‘污染’ 过的 dnsname.com (10.1.1.161)

污染用户 DNS

家用路由器的 DHCP 选项修改下发的自动获取 DNS 服务器地址

攻击行为完成

用户访问被 ‘污染’ 的 dnsname.com ( 10.1.1.161 ) 便被攻陷

详细攻击过程

MSF 配置好了一个 '陷阱' 也就是 http://10.1.1.161/admin 这个 WEB 地址.

当用户使用了一个存在漏洞的浏览器中输入 http://www.dnsname.com/admin 时.

此时浏览器的操作是:

‍‍‍① 浏览器向 hACk 的 DNS 服务器 10.1.1.160 发出查询请求‍‍

② HaCk 返回了一个被 '污染' 过的 dnsname.com 的 IP, 也就是 10.1.1.161.

③ 浏览器与 dnsname.com (10.1.1.161) 建立连接, 也就是访问http://www.dnsname.com/admin

④ '陷阱' 服务器向用户主机发出包含恶意代码的页面

⑤ 用户主机被攻陷

机智的小伙伴应该发现少了一个载荷配置的过程.

安装配置什么的我相信诸位大牛肯定都会的. 由于不在本文讨论内就不啰嗦了.

.161 陷阱服务器采用 BT5R3, MSF 是最新的. 攻击用载荷是 CVE-2014-6332

0X03 那么企业级呢？

还是po一张拓扑图先让大家了解通常的目标网络状况

上图就是一个简单的企业网内部网络，如果攻击者为被黑客攻陷的计算机，那么一旦攻陷黑客就可以攻击企业网内部任意的机器，攻击手法也多样，比如中间人攻击、DHCP攻击、arp劫、DNS劫持等等很多种，今天就来讲讲DNS劫持，要说到DNS劫持就不得不说说企业内网如何在多层交换上搭建一个DHCP服务器，下面贴出命令和代码进行一下讲解。

ip dhcp pool net

network 192.168.1.0 255.255.255.0

default-router 192.168.1.1

dns-server 192.168.1.1

咱们来解释一下这个命令，第一条呢就是说设置一个DHCP服务名字叫net，

第二条呢就是发布这个内网的网段，第三条是设置网关，最后一条就是DNS服务器地址，

入侵者如果进入内网以后，突破了内网多层交换机，远程修改交换机的相关配置就可以达到DNS劫持下面看截图，