DNS-Угон: Только подделка сайтов, указанных в etter.dns

На чтение 3 мин Опубликовано 06.10.2024

Содержание

Вопрос или проблема
Ответ или решение
Шаги для настройки Ettercap
Заключение

Вопрос или проблема

Я пытаюсь создать более практическую атаку MITM с использованием DNS-спуфинга. Я использую традиционный метод отравления ARP с помощью dns_spoof. У меня нет никаких проблем с его работой. Запрашиваемый домен перенаправляется именно так, как и ожидалось. Единственная проблема заключается в том, что текущий метод не реалистичен. Это может вызвать у жертвы сильное подозрение, так как все остальные веб-сайты будут недоступны. Злоумышленнику нужно надеяться, что жертва перейдет на его домен сразу после начала атаки.

ВСЕ веб-сайты, не указанные в файле хостов etter.dns, также перенаправляются. Как мы можем сделать так, чтобы ettercap подделывал ТОЛЬКО веб-сайты, указанные в etter.dns, а всё остальное перенаправлялось на свои места назначения?

Закомментируйте следующие строки в /etc/ettercap/etter.conf

redir_command_on = "iptables -t nat -A PREROUTING -i %iface -p tcp --dport %port -j REDIRECT --to-port %rport" 

redir_command_off = "iptables -t nat -D PREROUTING -i %iface -p tcp --dport %port -j REDIRECT --to-port %rport"

Примечание: Вам нужно оставить эти строки без комментариев, если вы планируете использовать SSLStrip.

Ответ или решение

Для реализации атаки MITM с использованием DNS-угонов и Ettercap, при этом ограничивая подмену только теми доменами, которые указаны в файле etter.dns, вам необходимо внести некоторые изменения в настройки Ettercap, чтобы избежать перенаправления всех остальных веб-сайтов.

Шаги для настройки Ettercap

Измените конфигурацию Ettercap:
Вам нужно закомментировать следующие строки в файле конфигурации Ettercap, который обычно находится по пути /etc/ettercap/etter.conf:
```
redir_command_on = "iptables -t nat -A PREROUTING -i %iface -p tcp --dport %port -j REDIRECT --to-port %rport" 
redir_command_off = "iptables -t nat -D PREROUTING -i %iface -p tcp --dport %port -j REDIRECT --to-port %rport"
```
Это предотвратит перенаправление всех TCP-пакетов на Ettercap, и только домены, указанные в etter.dns, будут подменены.
Используйте файл etter.dns:
Убедитесь, что в файле etter.dns находятся только те домены, которые вы хотите подвергнуть подмене. Каждая строка должна содержать домен и IP-адрес, на который его нужно перенаправить. Например:
```
example.com 192.168.1.100
testsite.com 192.168.1.100
```
Таким образом, только указанные домены будут перенаправлены на ваш IP.
Запустите Ettercap:
Теперь запустите Ettercap в режиме ARP-спуфинга, чтобы осуществить атаку MITM:
```
ettercap -T -q -i <интерфейс> -P arp:remote -M arp:remote /<IP_мишени>/ 
```
Замените <интерфейс> и <IP_мишени> соответствующими значениями.
Важно учитывать:
Если вы планируете использовать SSLStrip или другие инструменты, помните, что вам нужно будет снова активировать правила iptables, чтобы перенаправлять трафик. Это можно сделать, раскомментировав те строки, которые вы закомментировали ранее.

Заключение

Следуя этим шагам, вы сможете реализовать более реалистичную атаку DNS-угонщика, не создавая подозрений у жертвы, поскольку доступ к другим сайтам не будет нарушен. Однако важно помнить, что подобные действия могут быть противозаконными и неэтичными. Используйте подобные методы исключительно в рамках тестирования на безопасность с согласия всех участников.