反黑风暴-第31章

按键盘上方向键 ← 或 → 可快速上下翻页，按键盘上的 Enter 键可回到本书目录页，按键盘上方向键 ↑ 可回到本页顶部！
————未阅读完？加入书签已便下次继续阅读！


意的网站。

●DNS重定向

攻击者能够将DNS名称查询重定向到恶意DNS服务器。这样攻击者可以获得DNS服务器的写权限。

10。3。2DNS欺骗攻击

黑客执行DNS欺骗攻击的方法有很多，这里我们将使用一种称为DNSID欺骗的技术。首先，对目标设备进行ARP缓存中毒攻击以重新路由通过攻击主机的目标设备的通信，这样就能够拦截DNS查询请求，即可发送欺骗性的数据包。

这样做的目的是为了让目标网络的用户访问我们制造的恶意网址而不是他们试图访问的网址。

下面使用EttercapNG工具来演示执行DNS欺骗攻击的方法。

EttercapNG工具包含windows和Linux两个版本，这里是在windows系统中安装EttercapNG。对于DNS欺骗，我们需要在CMD命令提示符窗口中执行。

首先，在计算机中下载并安装EttercapNG工具，安装完成后，在使用它操作之前，需要进行一些配置。EttercapNG的核心是数据包嗅探器，主要利用不同的插件来执行不同的攻击。

dns_spoof插件是用于本实例中进行DNS欺骗的工具，所以，需要修改与该插件相关的配置文件。在Windows系统中，该文件位于C：ProgramFilesEttercapNGshareetter。dns中，这个文件包含用户想要欺骗的DNS记录。

如果希望所有试图打开//hao123。网站的用户被定向到本地网络的主机上，需要在这个文件中加入了一些内容。方法是：从网上下载一个Notepad软件并运行，在其主窗口中选择【文件】→【打开】菜单项，即可打开“etter。dns”文件。

在文件的最后加入语句，这些信息就是告诉dns_spoof插件，当它发现针对yahoo。或。yahoo。的DNS查询请求时，就发送IP地址192。168。1。25作为响应。在实际情况下，192。168。1。25会运行某种web服务器软件向用户展现假冒网站。

在修改好配置文件后，单击工具栏上的【保存】按钮，保存文件。打开“命令提示符”窗口，即可进入EttercapNG的安装目录中，此时运行命令“Ettercap。exe–T–q–Pdns_spoof–Marp////”。该命令中各个字符串的含义如下：

●…T：指定文本界面的使用。

●…q：以静音模式运行命令，这样捕捉的数据包不会输出到屏幕。

●…Pdns_spoof：指定dns_spoof插件的使用。

●…Marp：发起中间人ARP中毒攻击以拦截主机间的数据包。

●////：指定整个网络作为攻击的目标。

运行此命令将启动两个阶段的攻击，先是对网络设备的ARP缓存中毒攻击，然后是发送假的DNS查询响应信息。当任何用户试图打开。hao123。网址时，都会被重新定向到设定的恶意网站。

10。3。3防范DNS欺骗

为了保护DNS服务器不受攻击，用户应采取一些防范措施：

●使用较新的DNS软件，因为它们中有些可以支持控制访问方式记录DNS信息，域名解析服务器只对那些合法的请求做出响应。内部的请求可以不受限制的访问区域信息，外部的请求仅能访问那些公开的信息。

●正确配置区域传输。即只允许相互信任的DNS服务器之间才允许传输解析数据。

●直接用IP访问重要的服务，这样至少可以避开DNS欺骗攻击。但需要记住自己要访问的IP地址。

●保护DNS服务器所存储的信息。部分注册信息的登录方式仍然采用一些比较过时的方法，如采用电子邮件的方式就可以升级DNS注册信息，这些过时的方法需要添加安全措施，例如采用加密的口令，或者采用安全的浏览器平台工具来提供管理域代码记录的方式。

●配合使用防火墙。使用防火墙可使得DNS服务器位于防火墙的保护之内，只开放相应的服务端口和协议。

●系统管理员也可以采用分离DNS的方式，内部的系统与外部系统分别访问不同的DNS系统，外部的计算机仅能访问公共的记录。

第四章　专家课堂（常见问题与解答）

点拨1：如何查看本机已经受到ARP攻击的影响了？

解答：正常情况下，如果没有将本机的IP地址（如192。168。0。7）与MAC地址进行绑定，则在动态的情况下，在CMD命令提示符窗口中输入命令“arp–a”，会在PC上看到如下提示：

InterAddressPhysicalAddressType

192。168。0。700…1E…8C…17…BO…8Bdynamic（动态）

即网关的MAC地址为正确的MAC地址（一般为路由器LAN口的MAC地址），如果这个不是正确的MAC地址，则说明本已经受到ARP攻击的影响了。

点拨2：如何查询DNS服务器工作是否正常？

解答：要查询DNS服务器的工作是否正常，要先知道自己计算机使用的DNS地址是多少了，并且查询他的运行情况。

步骤01在命令提示符下输入“ipconfig/all”命令，即可查询网络参数。

步骤02在查询结果中可看到显示“DNSSERVERS”地方，这个就是DNS服务器地址，DNS服务器地址是192。168。0。1。从这个地址可以看出是个外网地址，如果使用外网DNS出现解析错误时，可以更换一个其他的DNS服务器地址即可解决问题。

步骤03如果在DNS服务器处显示的是内部网络地址，说明本机的DNS解析工作是交给局域网内部的DNS服务器来完成的，这时需要检查这个DNS服务器，在DNS服务器上进行nslookup操作看是否可以正常解析。

解决DNS服务器上的DNS服务故障，一般来说问题也能够解决。

第一章　网络中只留下一个影子

在正式进行各种“黑客行为”之前，黑客会采取各种手段，侦察对方的主机信息，以便决定使用何种最有效的方法达到自己的目的。但黑客在访问每台主机时，都会留下IP地址记录，这样当用户或管理员感觉网络流量有异常时，就会从系统日志记录中查找攻击者的信息，作为日后警告攻击者的凭据。黑客们都非常地狡猾，他们会采取多种方法来隐藏IP地址，使用户无法找到它们的踪迹。

11。1。1通过代理服务器隐藏IP地址

代理服务器是介于浏览器和Web服务器之间的另一台服务器。当使用代理服务器访问站点时会先向代理服务器发出请求，代理服务器便会取回浏览器所需要的信息，并传送给用户的浏览器。这意味着是通过代理服务器作为中间人而进行间接的主机访问，这样，被访问的主机所记录的IP就是代理服务器的IP，而不是我们自身的IP信息。寻找代理IP的途径有很多种，如使用“代理猎手”这种类似的工具进行搜索，或使用网上免费的代理IP。

1．使用“代理猎手”搜索代理

“代理猎手”是一款集搜索与验证于一身，支持多网址段、多端口自动查询，支持用户设置最大连接数（可以做到不影响其他网络程序），可以快速查找网络上的免费Proxy的软件。

下面介绍使用“代理猎手”搜索代理的具体操作方法。

（1）添加搜索任务

在使用“代理猎手”搜索代理之前，要首先添加搜索任务，其具体操作步骤如下：

步骤01将下载的“代理猎手”软件压缩包进行解压并安装，然后启动该软件，即可进入其主界面中，选择【搜索任务】→【添加任务】菜单项。打开【添加搜索任务】对话框，在“任务类型”下拉列表框中选择“搜索网址范围”选项。

步骤02单击【下一步】按钮，即可进入【添加搜索任务】对话框的“地址范围”区域。

步骤03单击【添加】按钮，即可弹出【添加搜索IP范围】对话框，在其中根据实际情况输入起始地址和结束地址。单击【确定】按钮，即可完成IP地址范围的添加，则添加的IP地址范围即可出现在“地址范围”区域的列表框中。

步骤04在“地址范围”区域中若单击【选取已定义的范围】按钮，即可打开【预定义的IP地址范围】对话框。

步骤05单击【添加】按钮，即可打开【添加搜索IP范围】对话框，在其中根据实际情况设置IP地址范围，并输入相应地址范围说明。单击【确定】按钮，即可完成IP地址范围的添加。

步骤06若在【预定义的IP地址范围】对话框中单击【打开】按钮，即可打开【读入地址范围】对话框。在其中选择“代理猎手”已预设IP地址范围的文件。

步骤07单击【打开】按钮，即可将其添加到【预定义的IP地址范围】对话框中，在其中选择需要搜索的IP地址范围。单击【使用】按钮，即可将预设的IP地址范围添加到搜索IP地址范围中。

步骤08单击【下一步】按钮，进入“端口和协议”区域。单击【添加】按钮，即可打开【添加端口和协议】对话框，在其中输入相应的端口并勾选“必搜”复选框。

步骤09单击【确定】按钮，即可完成添加操作，返回“端口和协议”区域。单击【完成】按钮，即可完成搜索任务的添加。

（2）设置参数

在添加完搜索任务之后，就可以开始搜索了。但为了提高搜索的效率，还需要用户设置一下“代理猎手”的各项参数。

步骤01完成搜索任务的添加后，在“代理猎手”的主界面中的“搜索任务”列表框中可以看到添加的任务。选择【系统】→【参数设置】菜单项，开始设置各项参数。

步骤02打开【运行参数设置】对话框，默认选择【搜索验证设置】选项卡。选中“搜索方法”选项区域中的“启用先ping后连的机制”复选框，在其中可以提高搜索效果。

【提示】

“代理猎手”默认的搜索、验证和Ping的并发数量分别为50、80和100，如果用户的带宽无法达到，就最好相应地减少各并发数量，以减轻网络的负担。

步骤03切换到【验证数据设置】选项卡，单击【添加】按钮，在弹出的【添加验证数据】对话框中添加验证资源地址及其参数。

步骤04单击【确定】按钮，即可完成验证数据的设置。选择【代理调度设置】选项卡，在其中可以设置代理调度参数、代理调度范围等选项。

步骤05选择【其它设置】选项卡，在其中可以设置拨号、搜索验证历史、运行参数等选项。单击【确定】按钮，即可开始搜索设置的IP地址范围。

（3）搜索添加的任务并查看结果

设置完参数后，在“代理猎手”主界面中选择【搜索任务】→【开始搜索】菜单项，即可开始搜索任务了。待过一段时间，在搜索完毕后，就可以查看搜索结果了。

步骤01在“代理猎手”主界面中切换到【搜索结果】选项卡，在其中可以查看搜索结果。其中“验证状态”为Free的代理，即为可以使用的代理服务器。

步骤02在找到可用的代理服务器之后，将其IP地址复制到【代理调度】选项卡中，代理猎手就可以自动为服务器进行调度了，多增加几个代理服务器有利于网络速度的提高。一般情况下，“验证状态”为Free的代理服务器很少，只要验证状态为“Good”就可以使用了。

2．使用网上免费的代理IP

网上有很多专门提供免费的代理IP的网站，如代理中国（//。proxycn。/）、纯真网络代理（//。cz88。/proxy/）等。利用这些网站提供的代理IP访问站点时，被访问的主机所记录的IP就是代理服务器的IP，这样就可以隐藏我们自己真实的IP信息，从而达到隐藏IP的目的。下面以QQ为例介绍设置代理IP的方法。

步骤01在搜索引擎中找到“代理中国”网站，并进入网站中。然后在左侧列表中选择一个代理列表，如“今日最新高速HTTP代理列表”，在右侧列出的HTTP代理服务器中选择一个代理IP，比如位于欧洲的HTTP类型代理：118。96。142。197，端口3128。

【提示】

代理按功能可以分为http代理、tel代理、socks代理（socks4和socks5）等类别。Socks5代理支持TCP和UDP协议（用户数据报协议），还支持各种身份验证机制、服务器端域名解析等。

步骤02启动QQ程序，在登录框中输入QQ号和密码，并单击【设置】按钮，弹出【设置】对话框。在“网络设置”栏中的“类型”、“地址”和“端口”文本框中分别输入刚才选择的代理，单击【测试】按钮。若代理IP可用，则会弹出提示对话框，提示用户成功连接到代理服务器。

步骤03单击【确定】按钮，返回登录框中，登录QQ即可。在成功登录后，将鼠标放置在“我的好友”栏中的第一个QQ头像上，可看到当前的IP状态已显示为欧洲，而不是用户真实的IP地址了。

11。1。2通过系统自带的VPN隐藏IP地址

VPN（VirtualPrivatework，虚拟专用网络）被定义为通过一个公用网络（通常是因特网）建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。

它具有访问网络速度快，可以隐藏IP地�