سایبریت

اجرای حمله DNS Spoofing با Ettercap

حمله DNS Spoofing که گاهی با عنوان DNS Cache Poisoning نیز شناخته می شود حمله ای است که باعث می‌شود هاست بدون هیچ اختیاری DNSها (Domain Name Server) و کلیه درخواست های آن را هدایت کند. این اساساً به این معنی است که یک نفوذگر می تواند تمام درخواست های DNS و در نتیجه کلیه ترافیک را به سمت دستگاه خود هدایت کند و داده هایی را که از طریق سیستم او عبور می کند سرقت کند. این یکی از خطرناکترین حملات در هک وای فای است زیرا تشخیص آن بسیار دشوار است، در اینجا من به شما نشان خواهم داد که چگونه آن را انجام دهید.

دیاگرام - اجرای حمله DNS Spoofing با Ettercap

1- اتصال به شبکه هدف

ابتدا باید به اینترنت شبکه هدف متصل شوید. این حمله را می‌توانیم در شبکه LAN و WLAN پیاده کنیم و در تمام سیستم عامل این حمله تاثیر گذار است.

سپس دستور زیر را برای فعال کردن IP forwarding اجرا کنید. این دستور برای حفظ اتصال دستگاه قربانی در حمله DNS Spoofing اجباری است. اما این دستور دائمی نخواهد بود و هر بار که کالی را مجدداً راه اندازی می کنید و بخواهید حمله MITM دیگری انجام دهید، باید آن را وارد کنید.

echo 1 > /proc/sys/net/ipv4/ip_forward

2- کانفیگ Ettercap

ما باید فایل کانفیگ Ettercap که در مسیر etc/ettercap/etter.conf  قرار دارد را ویرایش کنیم. در زیر خط [privs] مقادیر uid و gid را 0 قرار دهید.

mousepad /etc/ettercap/etter.conf

کانفیگ ettercap - اجرای حمله DNS Spoofing با Ettercap

در ادامه به پایین اسکرول کنید تا تیتر Linux را پیدا کنید. سپس علامت # را از ابتدای هر دو خط زیر قسمت “if you use iptables” حذف کنید و فایل را ذخیره کنید.

فعال کردن iptable - اجرای حمله DNS Spoofing با Ettercap

3- اجرای Ettercap

حالا بیایید Ettercap را درحالت گرافیکی اجرا کنیم.

ettercap -G

در ادامه می خواهیم اینترفیس شبکه خود را برای شنود انتخاب کنیم. در بخش “Setup” و در قسمت “Primary Interface” اینترفیسی که با آن به شبکه هدف متصل هستید را انتخاب کنید و در آخر روی تیک “✓” کلیک کنید. در اینجا اینترفیس من wlan0 است، شما با دستور ifconfig می‌توانید اینترفیس خود را مشاهده کنید.

انتخاب اینترفیس - اجرای حمله DNS Spoofing با Ettercap

سپس روی Stop sniffing کلیک کنید، زیرا ما نمی خواهیم به طور خودکار شنود اجرا شود.

توقف شنود - اجرای حمله DNS Spoofing با Ettercap

اکنون می خواهیم اهداف موجود در شبکه را اسکن کنیم و یکی را به عنوان هدف انتخاب کنیم. برای این کار، به منو Hosts و سپس Scan for hosts بروید و منتظر بمانید تا اسکن انجام شود. سپس به Hosts برگردید و Host list را انتخاب کنید تا تمام اهدافی را که Ettercap پیدا کرده است ببینید.

اسکن هاست ها - اجرای حمله DNS Spoofing با Ettercap

اکنون کاری که می خواهیم انجام دهیم اضافه کردن gateway شبکه به عنوان Target 1 و دستگاه قربانی به عنوان Target 2 است. اما ابتدا باید IP آدرس آنها را بدانیم. برای اینکه IP آدرس gateway (روتر) را پیدا کنید، می توانید ترمینال را باز کرده و دستور route -n را اجرا کنید تا IP آدرس gateway شبکه را ببینید، همچنین می توانید با دستور ifconfig و توجه به قسمت broadcast رنج ip شبکه را تشخیص دهید. حالا از قسمت host list روی IP gateway خود کلیک و Add to Target 1 را انتخاب کنید.

برای دانستن IP آدرس قربانی، ابتدا باید بدانیم که به چه کسی حمله می کنیم، ما می توانیم با استفاده از nmap اطلاعات بیشتری (مانند سیستم عامل، پورت های باز و غیره) را از دستگاه مورد نظر پیدا کنیم. هنگامی که مطمئن شدیم قربانی ما کیست، IP آدرس او را از قسمت host list انتخاب و روی Add to Target 2 کلیک می‌کنیم.

انتخاب هدف - اجرای حمله DNS Spoofing با Ettercap

4- اجرای حمله

ما هر دو Target را به عنوان قربانی و gateway خود قرار داده ایم، اکنون می توانیم حمله را اجرا کنیم. به منو MITM بروید و ARP poisoning را انتخاب کنید، سپس Sniff remote connections را انتخاب و OK کنید. از منو Plugins به Manage plugins بروید و روی dns_spoof را دوبار کلیک کنید تا آن پلاگین فعال شود.

مطالعه کنید
پیدا کردن فایل ها در لینوکس

پلاگین dns spoof - اجرای حمله DNS Spoofing با Ettercap

اکنون باید فایل کانفیگ etter.dns در دایرکتوری Ettercap را ویرایش کنیم.

mousepad /etc/ettercap/etter.dns

فایل etter.dns یک فایل hosts است که مسئول هدایت درخواست های DNS مشخصی است. اگر هدف وارد facebook.com شود، او به وب سایت فیسبوک هدایت می شود، اما این فایل می تواند مسیر این آدرس را تغییر دهد. اینجاست که حمله DNS Spoofing اتفاق می افتد.

ابتدا بگذارید توضیح دهم که چه کاری می توان با فایل hosts انجام داد. در یک سناریو واقعی، یک نفوذگر از این فرصت برای هدایت ترافیک به دستگاه خود برای شنود اطلاعات استفاده می کند. این کار با راه اندازی یک سرور Apache در ماشین کالی و تغییر صفحه پیش فرض آن به یک کلون از آن وبسایت انجام می شود. برای مثال ما یک کلون از صفحه facebook.com یا هر سایت دیگری را در مسیر Apache قرار می‌دهیم، بنابراین وقتی قربانی از آن آدرس بازدید کند، پس از هدایت شدن به ماشین نفوذگر، آن صفحه را مشاهده می کند. اتفاقی که می‌افتد این است که کاربر اطلاعات لاگین خود را در جایی که نباید وارد می‌کند.

خب بیایید شروع کنیم. آدرس هر وب سایتی را که می خواهید به دستگاه کالی خود هدایت کنید، در زیر خط microsoft.com و دقیقا مشابه آن اضافه کنید. دراینجا من آدرس facebook.com را به همراه IP آدرس داخلی اینترفیس خودم قرار می‌دهم.

کانفیگ dns - اجرای حمله DNS Spoofing با Ettercap

اکنون باید سرویس Apache را اجرا کنیم. برای مشاهده صفحه لوکال هاست خود در مرورگر به آدرس 127.0.0.1 بروید.

service apache2 start

به دایرکتوری apache در مسیر ‎/var/www/html بروید، این همان صفحه است که قرار است قربانی ببیند. در اینجا من یک صفحه کلون شده از فیسبوک (به اصطلاح فیک پیج) قرار می‌دهم تا هنگامی که قربانی آدرس facebook.com را وارد کرد، صفحه فیسبوک را ببیند و اطلاعات لاگین خود را وارد کند.

صفحه جعلی - اجرای حمله DNS Spoofing با Ettercap

برای دانلود مخزن Phisher-pack و قرار دادن آن در مسیر apache دستورات زیر را وارد کنید:

wget https://github.com/cybrit/Phisher-pack/archive/master.zip
rm -rf /var/www/html/*
unzip Phisher-pack-master.zip -d /var/www/html/

زمانی که قربانی نام کاربری و پسورد خود را وارد کند، می‌توانید در فایل pass.txt اطلاعات او را ببینید.

نکته: امروزه روش های دومرحله ای Two-factor authentication برای امنیت بیشتر اکانت ها اضافه شده است، همچنین برای سایتهای دارای پروتکل  SSL/HTTPS/HSTS نیز باید کارهای بیشتری انجام بدهیم. اما اینها موضوعات پیشرفته تری هستند که فراتر از این مقاله است.

آخرین کاری که باید انجام شود اجرای حمله است. به Ettercap برگردید و روی Start sniffing کلیک کنید. اکنون هر بار که قربانی از آدرسی که در فایل etter.dns قرار دادید (دراینجا facebook.com) بازدید کند، به صفحه فیک پیج شما ریدایرکت می شود. این کار می تواند بسیار مخرب تر نیز باشد، زیرا نفوذگر می تواند اسکریپتی بنویسد که هر صفحه درخواست شده توسط قربانی بلافاصله در فایل etter.dns را ذخیره شود و برای شنود اطلاعات کاربری او آماده شود.

مطالعه کنید
مشاهده فایل در لینوکس

جلوگیری از حمله

چگونه می توانیم از خود در برابر حمله DNS Spoofing و حمله ARP Spoofing محافظت کنیم:

  1. استفاده از نرم افزارهای تشخیص ARP poisoning
  2. بررسی arp بصورت دستی و بطور منظم
  3. وارد کردن ARP بصورت استاتیک

1. برنامه های شناسایی ARP کمی وجود دارند که رایگان هستند. علاوه بر این، استفاده از این برنامه ها در ویندوز نیاز به نصب درایورهای ویژه برای کارت های وایرلس دارد. پیشنهاد من این است که از آنها استفاده نکنید.

XArp

یک نرم افزار پیشرفته شناسایی ARP spoofing با رابط کاربری گرافیکی است و روی سیستم عاملهای ویندوز و لینوکس کار می کند.

Snort

شاید تا به حال نام Snort را در زمینه IDS شنیده باشید، این ابزار ARP spoofing را بخوبی تشخیص می دهد.

ArpON

این ابزار یک سرویس برای جلوگیری از حمله ARP spoofing ایجاد می‌کند. ابزارهای دیگری مانند Arpwatch ،Antidote و ArpAlert وجود دارند.

2. بررسی ARP poisoning بصورت دستی کمی مشکل و دردسرساز است، زیرا شما نیاز دارید که مک آدرس gateway روتر را بخاطر بسپارید و آن را در کش ARP بررسی کنید. برای بررسی کش ARP، به ترمینال بروید و دستور arp -a را تایپ کنید. چندین ورودی مانند زیر مشاهده خواهید کرد:

دستور arp - اجرای حمله DNS Spoofing با Ettercap

شما 6 حرف اول یا آخر مک آدرس gateway خود را به خاطر بسپارید و به طور مداوم با arp -a آن را بررسی کنید و آن را مطابقت دهید.

3. ورودی های ARP استاتیک: این روش بهترین نتیجه را دارد. شما فقط یک دستور ساده را تایپ می کنید و سیستم شما “Unarpable” می شود. هنگامی که یک نفوذگر حمله ARP را انجام دهد، سیستم او یک بسته ARP را به دستگاه قربانی می فرستد و به او می گوید مک آدرس او مک روتر است. دستگاه قربانی گول می خورد و شروع به ارسال اطلاعات خود برای نفوذگر می کند. هنگامی که یک ورودی ARP استاتیک وارد کنید، به سیستم خود می گویید که مک آدرس روتر دائمی است و تغییر نخواهد کرد. بنابراین، سیستم شما بسته های جعلی ARP ارسال شده توسط نفوذگر را نادیده می گیرد.

arp -s [ip router] [MAC router]
arp -s 192.168.1.1 64-64-b3-be-be-07

در نتیجه

اکنون باید قدرت و اهمیت حمله DNS Spoofing را در تست نفوذ وایرلس درک کرده باشید. بنابراین به هر شبکه ای متصل نشوید و همچنین در به اشتراک گذاشتن شبکه خود با افراد غیر قابل اعتماد احتیاط کنید. و از همه مهمتر می توانید خود را در برابر آن محافظت کنید.

دانلود PDF مقاله

دیدگاه‌ها (0)

  • بخش دیدگاه محیط تعامل میان ما و شما است
  • سوالات، پیشنهادات و انتقادات خود را با ما در میان بگذارید
  • شما در بیان نظر خود آزاد هستید و تمامی کامنت ها منتشر می‌شوند، به جز کامنت های تکراری!

*
*