DNS 域名欺騙，相信許多朋友都聽(tīng)說(shuō)過(guò)了吧，也經(jīng)常會(huì)聽(tīng)到一些某某大站遭到DNS 欺騙攻擊，而導(dǎo)致網(wǎng)站不能被用戶所正常瀏覽，那么難道某某大站真的被入侵了嗎? 其實(shí)情況并不是這樣的，他們的網(wǎng)站并沒(méi)有真正的

DNS 域名欺騙，相信許多朋友都聽(tīng)說(shuō)過(guò)了吧，也經(jīng)常會(huì)聽(tīng)到一些某某大站遭到DNS 欺騙攻擊，而導(dǎo)致網(wǎng)站不能被用戶所正常瀏覽，那么難道某某大站真的被入侵了嗎? 其實(shí)情況并不是這樣的，他們的網(wǎng)站并沒(méi)有真正的被入侵，而是他們的域名被所黑客劫持，當(dāng)用戶瀏覽他們的網(wǎng)站時(shí)，發(fā)現(xiàn)主頁(yè)怎么變成其他的內(nèi)容了。其實(shí)DNS 欺騙并非只能在廣域網(wǎng)里實(shí)現(xiàn)，而在局域網(wǎng)里也能夠?qū)崿F(xiàn)，并且更加容易些。下面我們來(lái)看看局域網(wǎng)中是如何進(jìn)行DNS 域名欺騙的。

一、DNS 欺騙原理

下面我將對(duì)IP 地址為192.168.0.100主機(jī)進(jìn)行DNS 欺騙，首先來(lái)看一下我們本地的IP 配置情況，如圖1，

注：圖1失效，已找不到原圖。

如果局域網(wǎng)里192.168.0.100主機(jī)向當(dāng)前網(wǎng)關(guān)192.168.0.1詢問(wèn)www.google.com 的IP 地址是多少時(shí)，我們將冒充網(wǎng)關(guān)192.168.0.1返回給他一個(gè)為我們特定的含有木馬IP ，所以當(dāng)192.168.0.100主機(jī)每次上網(wǎng)瀏覽一此我們特定好的網(wǎng)站都會(huì)打開(kāi)我們指定的網(wǎng)頁(yè)。這樣就實(shí)現(xiàn)了DNS 域名欺騙了，好了，理論講完了，看實(shí)際操作吧。

二、配置PcShare 和MS06014網(wǎng)馬

打開(kāi)PcShare 客戶端，點(diǎn)擊“創(chuàng)建客戶”輸入控制端IP 地址：192.168.0.92，端口：81，點(diǎn)擊“生成”，我就保存名為 123.exe到桌面了，如圖2，好了，PcShare 的服務(wù)端配置完成了，再來(lái)配置一下網(wǎng)頁(yè)木馬MS06014吧(在X 前幾期的文章里曾多次介紹過(guò)了) 。

圖2

打開(kāi)MS06014生成器，輸入網(wǎng)址http://192.168.0.92/123.exe ，點(diǎn)擊“生成”保存名xtaflf.htm 也到桌面，如圖3。(注：我一會(huì)在本地開(kāi)WEB 服務(wù)器的，不過(guò)為了安全些，大家最好將網(wǎng)馬和服務(wù)端上傳到自己的空間上去) 。

圖3

運(yùn)行“HTTP 傻瓜服務(wù)器”架設(shè)本地服務(wù)器，將目錄指定在F:xtaflf文件夾，如圖4，再將網(wǎng)馬和PcShare 的服務(wù)端COPY 過(guò)去。再將圖5中代碼插入到自己的主頁(yè)中去。

圖

4

圖5三、進(jìn)行DNS 欺騙

經(jīng)過(guò)前面的準(zhǔn)備，終于到了要進(jìn)行DNS 欺騙了，如果沒(méi)有這一步，前面的所作的都是白搭，拿出工具“cain2.8工具”，運(yùn)行“cain ”如圖6

圖6

點(diǎn)擊“嗅探”，再點(diǎn)擊上面的那個(gè)網(wǎng)卡圖標(biāo)“開(kāi)始嗅探”，再點(diǎn)擊那個(gè)黑色的十字，在彈出的對(duì)話框中目標(biāo)網(wǎng)絡(luò)里，選擇“子網(wǎng)中的所有計(jì)算機(jī)”也你可以選自定義范圍，大家可以根據(jù)自身的情況來(lái)選。確定。軟件會(huì)自動(dòng)掃描出網(wǎng)里的所有電腦。如圖7。

圖7好了，再點(diǎn)擊下面的那個(gè)“ARP ”，再點(diǎn)擊上面的那個(gè)黑色十字，在彈出的“新建ARP 欺騙”的對(duì)話框，左邊選你要欺騙的IP 地址：192.168.0.100，右邊選被欺騙IP 的目標(biāo)網(wǎng)

關(guān)192.168.0.1，最后確定。如圖8

圖8

再點(diǎn)擊“DNS 欺騙”，然后依然點(diǎn)擊那個(gè)黑色的十字，如圖9，彈出一個(gè)DNS 欺騙的對(duì)話框。

圖9

在請(qǐng)求DNS 域名欄中填入192.168.0.100正常要訪問(wèn)的網(wǎng)站，如www.google.com ，然后在“用來(lái)改寫(xiě)響應(yīng)包的IP 地址”欄中填入IP ：192.168.0.92，意思是說(shuō)，當(dāng)主機(jī)192.1

68.0.100訪問(wèn)www.google.com 時(shí)要跳到我們所給出的IP 地址 192.168.0.92，再確定。最后點(diǎn)擊“開(kāi)始/停止ARP 欺騙”，DNS 欺騙工作正式開(kāi)始了。如圖

10

圖10只要他打開(kāi)GOOGLE 都會(huì)瀏覽192.168.0.92的主頁(yè)下載并執(zhí)行木馬程序了，好了，馬

兒上鉤了哦，打開(kāi)PcShare 的控制端，如圖11，

圖11

現(xiàn)在來(lái)抓個(gè)屏吧，看看對(duì)方主機(jī)的當(dāng)前屏幕情況吧，如圖12，GOOGLE 變成192.168.0. 92的主頁(yè)了哦!!

圖12

總結(jié)

雖然利用cain2.8工具，可以成功地進(jìn)行局域網(wǎng)中的域名欺騙，但是用這個(gè)方法去掛馬，還是比較容易被對(duì)方所察覺(jué)，如果你在上網(wǎng)的時(shí)候，打開(kāi) GOOGLE網(wǎng)站都變成了其他頁(yè)面。難道GOOGLE 被黑了嗎?(不過(guò)弄一個(gè)假的GOOGLE 主頁(yè)，估計(jì)他一時(shí)也看不出來(lái)，嘿嘿。。。) 那顯然不太可能，那么此時(shí)誰(shuí)都會(huì)想到是不是自己的機(jī)器中病毒了或是被人家攻擊了，所以在用cain2.8工具進(jìn)行DNS 欺騙的時(shí)候，最好速戰(zhàn)速?zèng)Q，不宜長(zhǎng)時(shí)間的欺騙。這個(gè)軟件是一個(gè)非常強(qiáng)的工具，它不僅僅局限于DNS 欺騙，還有其他許多的功能，有興趣的朋友慢慢研究吧。此方法在路由器網(wǎng)絡(luò)模式中運(yùn)用成功。