前言

網絡劫持是一種網絡攻擊技術，攻擊者通過攔截、篡改或重定向數(shù)據(jù)流量，控制用戶的網絡通信路徑，干擾正常的網絡服務。其方式可能包括DNS劫持、ARP欺騙和HTTP劫持等。通過這些手段，攻擊者可以竊取敏感信息如個人身份數(shù)據(jù)和財務信息，導致身份盜用和金融詐騙；還可能通過傳播惡意軟件或病毒，感染用戶系統(tǒng)，引發(fā)安全漏洞和數(shù)據(jù)損毀。網絡劫持還可能使合法網站被偽造或重定向至惡意網站，進行釣魚攻擊；服務中斷可能影響企業(yè)業(yè)務的正常運作和客戶體驗。最終，這些行為會損害企業(yè)信譽、造成經濟損失，并在嚴重的情況下威脅到國家安全。防御措施包括使用加密協(xié)議保護數(shù)據(jù)傳輸、部署網絡監(jiān)控系統(tǒng)、定期更新系統(tǒng)補丁，以及提升用戶的網絡安全意識。

ARP欺騙

Ettercap簡介：
Ettercap是一個開源網絡安全工具，主要用于執(zhí)行中間人攻擊（MITM）和網絡嗅探。它可以截獲、修改和注入網絡流量，支持多種網絡協(xié)議，如TCP和UDP。Ettercap提供了圖形用戶界面（GUI）和命令行界面（CLI），使其在網絡監(jiān)控和安全測試中非常靈活。它常用于網絡分析、嗅探網絡數(shù)據(jù)包、進行ARP欺騙攻擊，以及捕獲和解密通信數(shù)據(jù)。盡管它的功能強大，但應當負責任地使用，遵循相關法律法規(guī)進行合法的網絡安全測試。

啟動Ettercap：
ettercap -G

搜索存活IP信息：
Scan for hosts Target1設置為網關IP， Target2設置為目標IP

選擇ARP poisoning ->Sniff remote connections，進行ARP欺騙

選擇View->Connections，即可嗅探目標IP流量通信數(shù)據(jù)包

雙擊即可查看流量通信具體信息

其本質上就是Kali的MAC地址（00:XX:XX:XX:XX:XX:14）聲明為網關的MAC，致使我們的目標IP認為Kali的MAC地址就是網關的MAC地址進而將通信流量發(fā)送到Kali造成ARP欺騙

DNS欺騙

在原ARP欺騙的基礎上實施DNS欺騙

定義DNS欺騙規(guī)則，所有域名解析成192.168.10.8：
vim /etc/ettercap/etter.dns

在Ettercap中選擇：Plugins->Manage plugins->dns_spoof，進行DNS欺騙攻擊

雖然ping能夠指定我們的惡意IP地址，但由于百度強制使用HTTPS協(xié)議，在瀏覽器訪問時仍為原百度地址

訪問http://www.taobao.com時，訪問到我們的惡意IP開啟的Apache網站

查看Wireshark也可以看出DNS欺騙成功，將所有域名解析成我們的惡意IP：192.168.10.8

關閉DNS欺騙后，主機dns緩存仍為惡意IP地址：
ipconfig /displaydns

清除緩存即可：
ipconfig /flushdns

注：DNS欺騙和DNS劫持是有一定區(qū)別的：
DNS欺騙（DNS Spoofing）：攻擊者偽造DNS響應，欺騙目標計算機使其相信虛假的DNS記錄，從而將流量引導到惡意網站。例如，攻擊者向受害者的DNS緩存中注入虛假的IP地址。
DNS劫持（DNS Hijacking）：攻擊者改變DNS設置或篡改DNS請求，直接控制受害者的DNS解析過程。這樣可以將用戶的DNS請求重定向到惡意服務器或篡改DNS響應。