CAIN的DNS欺骗讲解

{
Fisco授权
PopSky 'S Blog首发
Www.PopSky.Org
}

学习目标：学会安装和使用Cain嗅探工具并进行局域网中的DNS欺骗
使用工具：Cain4.8en
教学难度：简单基础

Cain是Windows环境下非常好用的嗅探和密码破解密码读取工具，在国内被大量应用于黑客入侵目标系统后进行内网的嗅探和密码的破解。
Cain的安装非常简单，我们直接从网站上下载英文版的Cain(之所以选择英文版是因为汉化版本的Cain在英文操作系统下显示的是乱码)解压有一路安装就可以了。这里需要说明一点的是：高版本的Cain可能对WinPcap的驱动有特殊要求，可能需要卸载较低版本的WinPcap安装新版本的方可使用。安装后双击桌面中的Cain快捷方式就可以打开程序的主界面，如下图所示：

由于这款工具的功能十分强大，本节课程只讲解基本的欺骗功能和DNS欺骗功能。
首先我们需要选择机器中的网卡，单击菜单中的“Configure”菜单就会弹出要求我们选择网卡的界面，如下图所示：
此选项卡用于选择多网卡主机中，用于进行监控信息流量的网卡。如果您的机器是含有多块网卡，则应当根据情况进行选择。一般选择监听网址段为内网的那块网卡，则可以嗅探整个内网中的数据包。这里我们选择第一快网卡。[提示：如果两个网卡都有红色的叉号显示，则说明当前网卡设备不可用，可以检查是否安装WinPcap驱动，或者从新卸载WinPcap驱动安装新版本的驱动程序，一般便可解决]选择好网卡后，我们并不需要进行过多设置，保留默认设置直接点击确定按钮就可以了。
然后我们点击快速工具栏中的图标来启动嗅探功能。接着切换到“Sniffer”选项

卡上，在下面空白处点击鼠标右键，选择第一项“Scan Mac Address”则Cain会扫描同一交换机下的所有机器的IP地址，得到的结果如下图所示：

我们可以看到局域网中有两台机器，其中第一是网关，第二个地址就是我们要进行欺骗的对象了。其IP地址是192.168.0.20。我们将下面的选项卡切换至“ARP”。鼠标左键点击空白区域，然后点击上面的图标，会弹出以下提示框：
     请在左边选择您要进行欺骗的主机IP地址，则这里我们选择192.168.0.20，右边选择我们的网关地址，则这里为192.168.0.1。选择完毕点击OK确定。
    接着我们再切换到左边的“ARP-DNS”选项中，鼠标右键添加一条欺骗记录。

在弹出的添加提示框中，我们在上面的DNS返回名称中输入预欺骗的网址，这里也就是为被欺骗对象在IE地址栏中输入后被重定向的域名地址，例如www.baidu.com 。再下面的IP地址填写上我们架设好的欺骗网站的地址，例如本次试验我们用本地IIS页面进行欺骗。如下图所示：

全部设置完毕后，我们只需要点击上面快速启动工具栏中的启动ARP欺骗就可以了。省下的工作就是等待我们的主机在访问www.baidu.com 网址的时候被自动重定向到我们预先设置好的IP地址上了。

总结：DNS欺骗攻击是目前比较流行的一种局域网攻击方式。巧妙的使用DNS欺骗可以结合网络钓鱼，网页挂马等技术手段实现局域网中大面积的得到攻击者想要得到的信息资源。同时由于DNS欺骗本身带有隐蔽性，所以被攻击者往往在毫不之情的情况下访问了被欺骗的网站，这也给防范带来了比较高的难度。目前比较有效的解决方法是解决网关和IP地址的静态绑定或者使用局域端口隔离功能的路由器。如果不具备以上条件，我们也可以在客户机上安装相应的ARP防火墙来防止类似的攻击。

 

                                                                     Author:fisco