Ở phần trước, mình đã giới thiệu sơ lược cũng như giúp các bạn hiểu thêm được chút kiến thức về cách hoạt động của ARP Poisoning. Trong phần này, mình sẽ tiếp tục áp dụng ARP Poisoning vào một kỹ thuật tấn công khác, đó là giả mạo DNS hay DNS Spoofing.
Giới thiệu về DNS Spoofing
DNS Spoofing, cũng được gọi là DNS cache poisoning, là một hình thức tấn công mạng máy tính mà nó làm cho dữ liệu hệ thống tên miền bị gián đoạn khi được đưa vào bộ nhớ của DNS cache resolver, khiến máy chủ tên trả về một địa chỉ IP không chính xác. Kết quả đường truyền này sẽ được chuyển hướng đến máy tính của kẻ tấn công (hoặc bất kỳ máy tính khác).
Công cụ Ettercap
Công cụ Ettercap đã được mình giới thiệu ở phần [Lab] Giao thức an toàn mạng - 05 Kỹ thuật Sniffer, trong phần này mình sẽ giới thiệu thêm 1 chức năng khác mà công cụ Ettercap hỗ trợ rất mạnh mẽ đó là DNS Spoofing.
Đầu tiên, cần cấu hình lại địa chỉ IP và tên miền cần chuyển hướng trong file etter.dns của Ettercap. File này có thể nằm trong thư mục /usr/share/ettercap hoặc /etc/ettercap tùy theo hệ điều hành bạn đang sử dụng.
$ cat /etc/ettercap/etter.dns
at10e.org A 192.168.58.101
*.at10e.org A 192.168.58.101
www.at10e.org PTR 192.168.58.101
Command 2.1: Cấu hình lại etter.dns.
$ ettercap -T -Q -i vboxnet2 -P dns_spoof -w dnsspoof.pcap -M ARP:remote /192.168.58.102/
/ /192.168.58.1//
ettercap 0.8.2 copyright 2001-2015 Ettercap Development Team
Listening on:
vboxnet2 -> 0A:00:27:00:00:02
192.168.58.101/255.255.255.0
fe80::800:27ff:fe00:2/64
SSL dissection needs a valid 'redir_command_on' script in the etter.conf file
Privileges dropped to EUID 65534 EGID 65534...
33 plugins
42 protocol dissectors
57 ports monitored
20388 mac vendor fingerprint
1766 tcp OS fingerprint
2182 known services
Scanning for merged targets (2 hosts)...
* |==================================================>| 100.00 %
2 hosts added to the hosts list...
ARP poisoning victims:
GROUP 1 : 192.168.58.102 08:00:27:10:4C:91
GROUP 2 : 192.168.58.1 08:00:27:38:7E:5E
Starting Unified sniffing...
Text only Interface activated...
Hit 'h' for inline help
Activating dns_spoof plugin...
dns_spoof: A [at10e.org] spoofed to [192.168.58.101]
dns_spoof: A [ at10e.org ] spoofed to [ 192.168.58.101 ]
-P dns_spoof: Chọn cách thức tấn công là DNS Spoofing.
Command 2.2: Sử dụng Ettercap để tiến hành DNS Spoofing.
Có thể thấy, máy nạn nhân với địa chỉ IP 192.168.58.102 đang bị lừa khi truy cập trang web at10e.org giả mạo với địa chỉ IP là 192.168.58.101 thay vì 192.168.58.1 của máy chủ DNS.
Hình 2.1: Ping vào domain at10e.org nhưng IP là giả.
Công cụ Cain & Abel
Cũng giống như Ettercap, công cụ Cain & Abel đã được mình giới thiệu ở phần trước nên trong phần này, mình chỉ hướng dẫn thêm các bước để tiến hành thực hiện kỹ thuật DNS Spoofing dựa trên ARP Poisoning.
ARP-DNS:
- Bước 1: Sau khi chọn tab 
, chọn mục ARP-DNS ở menu bên trái.
- Bước 2: Chọn File->Add to list.
- Bước 3: Chọn Resolve để thiết lập bảng DNS Spoofing.
- Bước 4: Sửa địa chỉ IP lại thành máy của hacker và nhấn OK.
- Bước 5: Nhấp 
để tiến hành spoofing.
Hình 3.1: DNS Spoofing bằng Cain & Abel.
Phân tích gói tin
Sử dụng Wireshark mở file dnsspoof.dns đã capture bằng Ettercap để phân tích.
Hình 4.1: ARP Poisoning.
Có thể thấy theo những gói tin ban đầu thì Ettercap đang tiến hành đầu độc ARP như mình đã giới thiệu ở phần [Lab] Giao thức an toàn mạng - 05 Kỹ thuật Sniffer.
Hình 4.2: Gửi truy vấn lên DNS với địa chỉ MAC giả.
Sau khi nhận được yêu cầu truy vấn từ máy nạn nhân, Ettercap sẽ forward toàn bộ thông tin là câu truy vấn lên DNS để lấy truy vấn trả về từ DNS, lúc này địa chỉ IP vẫn được gán với địa chỉ MAC của máy hacker.
Hình 4.2: Gửi truy vấn trả về IP nạn nhân với địa chỉ MAC giả.
Sau khi nhận được gói tin trả về từ DNS, Ettercap sẽ tiếp tục forward thông tin về cho máy nạn nhân. Nhưng lúc này , gói tin đã bị Ettercap thay đổi là truy vấn domain name ứng với địa chỉ IP không phải là của DNS mà là địa chỉ IP của hacker.
Hình 4.3: Máy nạn nhân truy cập trang web giả mạo.
Sau khi nhận được sự tin cậy từ máy nạn nhân, máy của hacker sẽ trở thành 1 DNS giả mạo đánh lừa các truy cập trang web từ máy nạn nhân. Lúc này, máy nạn nhân cho dù truy cập đúng với domain name nhưng địa chỉ IP đã bị thay đổi mà không hay biết.