局域网 dns劫持

一、定义

局域网DNS劫持是指在局域网环境中，通过非法手段拦截域名解析请求，将特定的域名解析到错误的IP地址，从而使用户访问到假冒的网站或无法正常访问目标网站。

二、原理

1、域名解析过程：当用户在浏览器中输入一个网址时，计算机首先会查找本地的hosts文件，若找到对应的IP地址则直接访问；若未找到，则会向远程的DNS服务器发送请求以获取该域名对应的IP地址。

2、中间人劫持：攻击者通过控制网关（如使用ARP欺骗等手段），在用户发送域名解析请求时进行拦截，当用户请求解析某个域名时，攻击者返回一个伪造的IP地址，用户的浏览器就会将这个伪造的IP地址当作目标域名的真实地址进行访问，从而导向攻击者指定的服务器。

三、常见攻击方式及工具

1、ARP欺骗

原理：在局域网中，计算机通信基于MAC地址，当计算机A要与计算机B通信时，A会先发送ARP广播询问B的MAC地址，B回复后A就知道了B的MAC地址并记录下来用于后续通信，ARP欺骗就是攻击者C发送伪造的ARP应答，声称自己是B，让A误将C的MAC地址当作B的MAC地址，这样A发给B的数据包就会先发送到C这里。

工具：例如在Kali Linux系统中，可以使用arpspoof命令来进行ARP欺骗攻击。

2、使用ettercap工具进行DNS劫持

配置步骤

网络模式设置：确保攻击机和靶机处于同一局域网下，一般将虚拟机的网络模式设置为NAT模式。

地址扫描：利用netdiscover等工具探测同一网段下的存活主机，获取靶机的IP地址。

打开ettercap并设置：打开ettercap工具后，点击左上角的扫描按钮扫描局域网内的主机，然后点击“Hosts List”按钮显示扫描结果，将目标靶机的IP地址设置为target 1，将网关设置为target 2，接着打开右上角的mitm菜单，选择ARP Posioning，并勾选Sniff remote connections，设置为监听模式。

添加DNS记录：修改ettercap工具的配置文件/etc/ettercap/etter.dns，添加需要劫持的域名对应的IP地址记录，例如添加*.*.com A 192.168.179.129这条记录，意思是只要目标靶机访问.com结尾的网站，就会被解析到192.168.179.129这个IP地址当中去。

发起攻击：在菜单中选择Plugins>Manage Plugins，勾选上dns_spoof，然后开始攻击。

四、攻击者的目的

1、钓鱼攻击盗取密码：诱导用户进行填写登录表单的操作，将POST的地址改为自己的服务器地址，以获取受害者的用户名和密码，例如在一些需要登录的网站，攻击者可以制作与真实网站几乎一样的假冒页面，用户在假冒页面输入的用户名和密码会被攻击者获取。

2、钓鱼攻击劫持支付：在支付的界面进行劫持，使用户的支付宝、银行卡等支付操作指向攻击者的账户，导致用户的资金受损。

3、植入广告：一种是HTTP劫持，将拦截到的HTML文本中间加一个position为fixed的div，一般在右下角，显示出广告；另一种是DNS劫持，将域名劫持到一个含有广告的攻击者网站中，再用iframe的方式来引入用户要访问的网站。

五、防范措施

1、使用SSL（HTTPS）进行登录：攻击者可以得到公钥，但无法得到服务器的私钥，从而在一定程度上保证登录信息的安全。

2、谨慎对待浏览器证书提示：当浏览器提示出现证书问题时，要确定自己所在的网络环境是安全的，该网站是可信的再去访问，因为证书问题可能是服务器配置错误，也可能是遭遇了中间人劫持。

3、避免在公共网络随意登录：不要在连接公共wifi的时候随意进行登陆操作，以免遭受攻击。

六、相关问题与解答

问题1：如何判断自己是否遭遇了局域网DNS劫持？

答：如果浏览器出现证书错误提示，或者访问某些网站时被导向奇怪的、与预期不符的页面，尤其是一些需要登录或涉及支付的网站出现这种情况，就有可能遭遇了局域网DNS劫持，如果网络速度明显变慢且频繁出现访问异常的情况，也可能是受到了DNS劫持的影响。

问题2：企业如何防范局域网内的DNS劫持攻击？

答：企业可以采取以下措施来防范局域网内的DNS劫持攻击，一是部署入侵检测系统（IDS）和入侵防范系统（IPS），及时发现并阻止异常的网络流量和攻击行为，二是加强对员工网络安全意识的培训，让员工了解DNS劫持的危害和防范方法，避免员工在不经意间配合攻击者的行为，三是定期检查网络设备的配置和安全状态，包括路由器、交换机等设备的ARP表项和DNS设置等，确保设备没有被非法篡改，四是可以考虑使用专业的网络安全解决方案，如DNS安全防护产品等，对DNS流量进行加密和验证，防止DNS劫持攻击。

局域网DNS劫持是一种严重的网络安全威胁，它利用局域网中的漏洞和信任关系，通过非法手段篡改DNS解析结果，导致用户访问到错误的网站或无法正常访问目标网站，为了防范这种攻击，我们需要采取多种防御措施，包括使用安全的DNS协议、部署防火墙和入侵检测系统、定期更新软件和系统补丁等，提高网络安全意识，不轻易点击可疑链接或下载未知来源的软件，也是防范局域网DNS劫持的重要一环。