dnsspoof актуален?

Discussion in 'Беспроводные технологии/Wi-Fi/Wardriving' started by carartem02, 10 Jul 2017.

  1. carartem02

    carartem02 Active Member

    Joined:
    8 Nov 2015
    Messages:
    322
    Likes Received:
    131
    Reputations:
    3
    Запускал так:
    dnsspoof -f myhosts
    и
    dnsspoof -i eth0 -f myhosts host 192.168.1.212 (192.168.1.212 - виртуалка)

    Файл myhosts:
    192.168.1.165 google.com

    Но при запуске "nslookup google.com" всё равно выдаёт реальный IP адрес
    Как-то оставил пк на час, ввожу "nslookup google.com" ещё раз и на удивление появился
    IP адрес 192.168.1.165, решил проверить в браузере - открывает оригинал. Ввёл команду nslookup'a ещё раз и теперь пишет реальный IP адрес
    Что за магия?
    ps на 192.168.1.165 стоит kali с последними обновами, а на 192.168.1.212 ubuntu 8.10
    Некоторые пишут, что надо ещё arpspoofer запустить, а другие про это не говорят (статьях).
     
    #1 carartem02, 10 Jul 2017
    Last edited: 10 Jul 2017
  2. binarymaster

    binarymaster Elder - Старейшина

    Joined:
    11 Dec 2010
    Messages:
    4,422
    Likes Received:
    9,129
    Reputations:
    115
    Дамп сетевых пакетов расскажет.
    Исходники dnsspoof'а расскажут, делает ли он ARP Poison или нет (а также дамп сетевых пакетов).
     
  3. Kevin Shindel

    Kevin Shindel Well-Known Member

    Joined:
    24 May 2015
    Messages:
    974
    Likes Received:
    1,143
    Reputations:
    58
    binarymaster как всегда прав!
    Я кажется разгадал загадку...

    Всё дело в том что хост кэширует частые DNS запросы тем самым ускоряя доступ к страницам....
    (действительно зачем гонять ДНС-сервак если комп часто обращается к одному и тому же сайту\ипу)

    Проверить очень просто... Я запустил эттеркап с плагином днс-спуф и указал в конфиге сайт на который с компа не заходил.
    редирект на линух состоялся.
    далее я указал редирект с античата, комп зашел на ачатик.... (т.к. айпишник у него был в кэше). Причём очистка истории браузера ничего не даст. Кэш находится у винды.

    Есть также второй способ, запустить акулу и посмотреть летят ли пакеты на 53 порт. если пакетов нет а идёт прямая наводка на ип сайта... тогда точно кэш.

    Тем самым проверил что еттеркап (точнее плагин днс_спуфф) работает корректно.
    Завтра проверю остальные тулзы.

    Мысли пока только приходят одни... так как доступ к сайту идёт через 80 или 443 порт, нужно также редиректить ... айпишники... (пока что мысли в слух)
     
  4. binarymaster

    binarymaster Elder - Старейшина

    Joined:
    11 Dec 2010
    Messages:
    4,422
    Likes Received:
    9,129
    Reputations:
    115
    Очищается после перезагрузки, переподключения адаптера, а также вручную командой:

    ipconfig /flushdns
     
    Triton_Mgn and Kevin Shindel like this.
  5. Kevin Shindel

    Kevin Shindel Well-Known Member

    Joined:
    24 May 2015
    Messages:
    974
    Likes Received:
    1,143
    Reputations:
    58
    Я так же думал что так и работает...

    делаем арп-спуф с днс-спуфом, делаем деутентификацию. и пробуем еще раз редиректить....
     
  6. carartem02

    carartem02 Active Member

    Joined:
    8 Nov 2015
    Messages:
    322
    Likes Received:
    131
    Reputations:
    3
    Обещал в 22 написать, а написал в 23. Опоздал на час :D
    Пс проверим
     
  7. Toroid

    Toroid Member

    Joined:
    9 Oct 2016
    Messages:
    85
    Likes Received:
    56
    Reputations:
    1
    Подтверждаю догадку, сталкивался с этим. Win7 x64. Причем не важно, какой адрес резолвится - внешний или из локальной сети. Все равно кэшируется. Я лечил тупо перезагрузкой, так как юзеру тяжело объяснить ipconfig /flushdns
     
  8. altblitz

    altblitz Elder - Старейшина

    Joined:
    5 Jun 2009
    Messages:
    3,254
    Likes Received:
    2,688
    Reputations:
    230
    Знакомься, с разницей между IPv4 и IPv6.

    Диагноз: у твоей - роутер без спроса переключается на IPv6 DNS server провайдера.
     
    carartem02 likes this.
  9. Kevin Shindel

    Kevin Shindel Well-Known Member

    Joined:
    24 May 2015
    Messages:
    974
    Likes Received:
    1,143
    Reputations:
    58
    кажется dnsspoof - с багом...
    https://www.cybrary.it/forums/topic...-dnsspoof-and-ettercap-attack-on-this-course/

    Я попробовал установить эту библиотеку, но нарушил зависимости.. теперь заново накатывать линух ((((

    Вобщем из рабочего я так понял пока что EtterCap и советуют пробовать dnsmasq.
    первое пробовал работает, второе не успел поставить.
     
    Triton_Mgn and carartem02 like this.
  10. Kevin Shindel

    Kevin Shindel Well-Known Member

    Joined:
    24 May 2015
    Messages:
    974
    Likes Received:
    1,143
    Reputations:
    58
    dnsmasq работает, перекидывает мнгновенно.
    Правда изначально требует небольшого тюнинга.
     
    carartem02 and Triton_Mgn like this.