DNS Spoofing

Apa DNS Spoofing?

DNS Spoofing (kadang-kadang disebut sebagai DNS Cache Poisoning) adalah serangan dimana host tanpa otoritas yang mengarahkan Nama Domain Server (DNS) dan semua permintaan tersebut. Ini pada dasarnya bahwa seorang penyerang bisa mengarahkan semua permintaan DNS dengan semua mesin lalu lintas, memanipulasi dengan cara berbahaya dan mungkin mencuri data seluruh yang melewati. Ini salah satu serangan lebih berbahaya karena sangat sulit untuk dideteksi, tapi hari ini saya akan menunjukkan kepada Anda bagaimana untuk mendeteksi apa yang sedang dilakukan oleh orang lain pada jaringan Anda.

Langkah 1: Persiapan

Mari kita mulai dengan boot up Kali Linux, apakah itu Virtual Machine (VM), boot asli, atau dual boot. Jika Anda tidak punya Kali Anda harus pergi mendapatkannya di website resmi.

Pastikan Anda memiliki koneksi internet sebelum Anda melanjutkan dan pastikan bahwa Anda berada di jaringan yang sama dengan target Anda. Ini adalah menyerang LAN (WLAN) sehingga kedua penyerang dan korban harus memiliki gateway jaringan yang sama. Biarkan saya menunjukkan sebelumnya bahwa korban dapat menjalankan sistem operasi.

Langkah 2: Konfigurasi

Kita sekarang perlu mengedit file konfigurasi Ettercap karena aplikasi pilihan untuk hari ini. Mari kita arahkan ke /etc/ettercap/etter.conf dan membuka file dengan editor teks seperti gedit dan mengedit file. Kita dapat menggunakan Terminal untuk itu.

Jadi sekarang kita ingin mengedit nilai uid dan gid di bagian atas untuk membuat mereka mengatakan 0 jadi lanjutkan dan melakukan itu.

Sekarang gulir ke bawah sampai Anda menemukan judul yang mengatakan Linux dan di bawah yang menghapus baik # tanda-tanda di bawah ini di mana dikatakan "jika Anda menggunakan iptables". Kita sudah selesai dengan konfigurasi.

Langkah 3: Ettercap

Sekarang mari kita jalankan acara ini dengan membuka Ettercap. Anda dapat melakukannya dengan cara melalui launchpad atau cara keren menggunakan Terminal. Saya akan mengajarkan Anda cara keren. Pergi ke depan dan membuka Terminal dan ketik:

Apa yang kita inginkan berikutnya adalah memilih antarmuka mengendus kami. Mari tampilannya melalui langkah-langkah cepat.

• Pertama pilih Sniff> Bersatu mengendus ...> (Pilih interface yang terhubung ke internet)> OK (Anda dapat mengetahui antarmuka terhubung ke internet dengan mengetikkan ifconfig Terminal dan melihat mana antarmuka memberikan alamat IP).

• Lalu dengan cepat jangan Mulai> Berhenti mengendus karena secara otomatis mulai mengendus setelah kita tekan OK dan kita tidak menginginkan hal itu.

• Sekarang kita ingin memindai target di jaringan kami dan memilih salah satu. Untuk melakukan hal ini, pergi ke Host> Pindai host dan menunggu sampai hal itu scan. Hanya harus mengambil beberapa detik tergantung pada ukuran jaringan Anda (yang saya asumsikan tidak terlalu besar).

Jadi kita sudah berurusan dengan scanning tapi bagaimana kita melihat target kita? Nah, kembali ke Host dan pilih daftar Host untuk melihat semua target yang Ettercap telah ditemukan.

Sekarang apa yang ingin kita lakukan adalah menambahkan mesin korban kami untuk Target 1 dan gateway jaringan kami untuk Target 2 tapi pertama kita perlu tahu kedua alamat IP mereka. Untuk mengetahui alamat IP korban kita, pertama kita perlu tahu siapa kita menyerang, dan kami dapat melakukannya dengan menggunakan nmap untuk menemukan informasi yang kita butuhkan pada mesin target. Setelah Anda yakin yang korban Anda, pilih alamat IP mereka dari daftar host di Ettercap dan pilih Add untuk Target 1. Sekarang Anda perlu mencari alamat IP gateway (router Anda). Untuk melakukan hal ini, buka Terminal dan jenis ifconfig dan melihat di mana dikatakan Bcast: dan yang akan memberitahu Anda alamat IP dari gateway. Atau, Anda juga bisa menggunakan rute -n perintah. Sekarang pilih IP gateway dari daftar host dan pilih Add ke Target 2.

Langkah 4: Action

Sekarang bahwa kita memiliki kedua Sasaran ditetapkan untuk korban dan gateway, kita dapat melanjutkan untuk serangan.

Buka tab MITM dan pilih keracunan ARP, pilih Sniff sambungan jarak jauh dan tekan OK. Sekarang pergi ke Plugins> Mengelola plugin dan klik dua kali dns_spoof untuk mengaktifkan plugin.

Kita sekarang perlu mengedit file lain dalam folder Ettercap.

File etter.dns ini adalah file host dan bertanggung jawab untuk mengarahkan permintaan DNS tertentu. Pada dasarnya, jika target masuk facebook.com mereka akan diarahkan ke situs Facebook, tapi file ini dapat mengubah semua itu. Di sinilah keajaiban terjadi, jadi mari kita mengeditnya.

Pertama, bagaimanapun saya jelaskan apa yang bisa dan harus dilakukan dengan file host. Jadi dalam skenario kehidupan nyata, seorang penyerang akan menggunakan kesempatan ini untuk mengarahkan lalu lintas ke mesin sendiri untuk data sniffing. Hal ini dilakukan dengan memulai server Apache pada mesin Kali dan mengubah homepage default tiruan dari, katakanlah facebook.com atau chase.com sehingga ketika korban mengunjungi situs-situs, setelah diarahkan ke mesin penyerang mereka akan melihat klon dari situs tersebut. Ini mungkin akan menipu pengguna yang tidak curiga untuk memasuki identitasnya di mana mereka benar-benar tidak seharusnya.

Mengarahkan lalu lintas dari situs web apapun yang Anda ingin mesin Kali Anda. Untuk itu, pergi ke mana dikatakan "microsoft menyebalkan;)" dan menambahkan baris lain seperti yang di bawah itu, tapi sekarang menggunakan situs apa pun yang Anda inginkan. Juga, jangan lupa untuk mengubah alamat IP ke alamat IP Anda.

Sekarang kita harus mulai Apache untuk menerima lalu lintas masuk.

Mari kita ke kepala folder halaman html default. Itu adalah di mana kita dapat mengontrol apa korban melihat ketika mereka bisa diarahkan. Lokasi / var /www / html di mana Anda akan menemukan halaman index.html. Anda dapat mengubah dokumen dengan kebutuhan Anda dan, setelah Anda berpikir Anda telah melakukan membodohi cukup untuk korban Anda, Anda dapat menyimpan halaman dan perubahan akan berlaku langsung. Mari kita lihat di sini ...

Hal terakhir yang tersisa untuk dilakukan di sini adalah untuk memulai serangan. Kembali ke Ettercap dan pilih Start> Mulai mengendus yang harus melakukannya.

Sekarang setiap kali korban mengunjungi halaman web Anda ditunjukkan dalam file etter.dns (facebook.com) mereka akan diarahkan ke halaman mewah dan mencolok di atas. Anda dapat melihat bagaimana ini bisa sangat berbahaya, karena penyerang bisa menulis naskah yang mengambil halaman yang diminta segera dan set up file etter.dns dan mendengarkan dalam pada login, semua otomatis. Ini harus benar-benar mengingatkan Anda bahwa itu adalah benar-benar sederhana untuk melakukan serangan Spoofing DNS dengan sangat sedikit sumber daya.

Deteksi

Ada beberapa cara menggunakan perangkat lunak yang dibangun untuk ARP keracunan deteksi atau memeriksa perintah arp manual secara teratur (sakit). Mari kita lihat software pertama, ada beberapa yang akan saya sebutkan:

1. XArp

Sebuah GUI maju deteksi ARP spoofing dan aktif software menyelidik. Hal ini dirancang untuk jenis pekerjaan dan bekerja pada kedua Windows dan Linux (dikonfigurasi untuk OS X juga).

2. Mendengus

Anda kemungkinan besar Snort untuk amazingness IDS, tetapi saya yakin Anda belum pernah mendengar bahwa hal itu juga mendeteksi ARP spoofing (Anda mungkin memiliki).

3. Arpon

Ini adalah handler daemon portabel untuk mengamankan ARP spoofing terhadap keracunan dan cache.

Ada beberapa orang lain seperti arpwatch, Antidote dan ArpAlert tetapi Anda hanya bisa Google mereka.

Sekarang bagaimana memeriksa panduan? Nah, yang satu ini sedikit rumit karena Anda memerlukan sesuatu terlebih dahulu. Apa yang Anda bisa lakukan adalah mengingat alamat MAC (atau bagian dari itu yang akan membantu Anda mengenali ketika Anda melihatnya) dari default gateway (yaitu router Anda) dan tetap memeriksa di cache ARP.

Untuk memeriksa cache ARP, pergi ke Terminal dan ketik arp -a dan Anda akan melihat beberapa entri seperti ini:

(dihapus BSSID (MAC address) entri untuk alasan 'keamanan' (tidak benar-benar))

Jika Anda dapat mengingat sesuatu seperti pertama atau terakhir 6 karakter gateway alamat MAC dan terus-menerus memeriksa arp -a untuk melihat apakah itu cocok, maka Anda telah mendapatkan cara untuk mendeteksi keracunan ARP tanpa perlu perangkat lunak pihak ke-3. Tidak terlalu bagus?

Kesimpulan

Sekarang Anda tahu bagaimana DNS spoofing bekerja dan yang paling penting bagaimana melindungi diri. Saya harap Anda menikmati tutorial hari ini dan mudah-mudahan Anda belajar sesuatu dari itu. Selamat mencoba!