DNS中毒是一种诱使DNS服务器认为实际上已经接收到真实信息的技术。这会导致在DNS级别上替换错误的IP地址，在该级别上，网站地址会转换为数字IP地址。它允许攻击者使用服务器控件的IP地址替换给定DNS服务器上目标站点的IP地址条目。攻击者可以为服务器创建伪造的DNS条目，其中可能包含具有相同名称的恶意内容。

例如，用户键入www.google.com，但该用户被发送到另一个欺诈站点，而不是被定向到Google的服务器。据我们了解，DNS中毒用于将用户重定向到由攻击者管理的伪造页面。

DNS中毒-练习

让我们使用相同的工具Ettercap进行DNS中毒练习。

DNS中毒与ARP中毒非常相似。要启动DNS中毒，必须先从ARP中毒开始，这已经在上一章中进行了讨论。我们将使用Ettercap中已经存在的DNS欺骗插件。

步骤1-打开终端并输入“ nano etter.dns”。该文件包含DNS地址的所有条目，Ettercap使用这些条目来解析域名地址。在此文件中，我们将添加一个伪造的“ Facebook”条目。如果有人要打开Facebook，他将被重定向到另一个网站。

步骤2-现在在“将其重定向到www.linux.org”一词下插入条目。请参阅以下示例-

步骤3-现在保存此文件并通过保存文件退出。使用“ ctrl + x”保存文件。

步骤4-此后，开始ARP中毒的整个过程相同。启动ARP中毒后，在菜单栏中单击“插件”，然后选择“ dns_spoof”插件。

步骤5-激活DNS_spoof后，您将在结果中看到，只要有人在浏览器中键入facebook.com，便会开始将其欺骗为Google IP。

这意味着用户在其浏览器上获得的是Google页面而不是facebook.com。

在本练习中，我们看到了如何通过不同的工具和方法来嗅探网络流量。在这里，公司需要一名道德黑客来提供网络安全性，以阻止所有这些攻击。让我们看看有道德的黑客可以采取哪些措施来防止DNS中毒。

防御DNS中毒

作为一名道德黑客，您的工作很可能使您处于预防的位置，而不是进行笔测试。作为攻击者，您所知道的一切可以帮助您防止从外部使用自己的技术。

从笔测试者的角度来看，以下是针对我们刚刚涵盖的攻击的防御措施-

• 对网络中最敏感的部分使用硬件交换网络，以将流量隔离到单个网段或冲突域。

• 在交换机上实施IP DHCP侦听，以防止ARP中毒和欺骗攻击。

• 实施策略以防止网络适配器上的混杂模式。

• 知道无线网络上的所有流量都会受到嗅探，因此在部署无线访问点时要小心。

• 使用SSH或IPsec等加密协议对您的敏感流量进行加密。

• 交换机可以使用端口安全性，这些交换机可以进行编程以仅允许特定的MAC地址在每个端口上发送和接收数据。

• IPv6具有安全优势和IPv4所没有的选项。

• 用SSH替换FTP和Telnet等协议可以有效地防止嗅探。如果SSH不是可行的解决方案，请考虑使用IPsec保护较旧的旧协议。

• 虚拟专用网(VPN)由于其加密方面，可以提供有效的防嗅功能。

• SSL和IPsec一起是很好的防御。

概要

在本章中，我们讨论了攻击者如何通过在网络中放置数据包嗅探器来捕获和分析所有流量。通过一个实时示例，我们看到了从给定网络中获取受害者的凭据很容易。攻击者使用MAC攻击，ARP和DNS中毒攻击来嗅探网络流量并掌握敏感信息，例如电子邮件对话和密码。