DNS欺骗系列教程之——Cain on Windows

　　今天先介绍在windows环境下使用Cain这个著名的工具进行DNS Spoof（即DNS欺骗），该篇教程主要针对新手，因此每一个步骤都详细截了图，并做了解释，希望能做到简单易懂，让新手能学到东西。
　　废话多了，正文开始：
　　首先说下测试环境：两台虚拟机，XP系统，为了模拟真实局域网环境，都是使用用桥接方式（如果还不明白VMware各种网络接入方式的，请自己Google或者留言提问）
　　攻击者：192.168.1.211
　　受害者：192.168.1.212
　　网关(TPLink路由器)：192.168.1.1
　　我们先看怎么使用工具，再来说原理。
　　安装Cain的步骤不再阐述，无非就是一直点下一步，确认测试环境正常后，打开cain.

　　先点击第一个图标选好网卡，一般只有一个啦~~~~
　　在Configure中的Arp选项可以规定使用伪造的IP地址(必须是未使用的IP)，这个选不选无所谓。

　　然后切换到Sniffer选项卡，点击那个蓝色十字扫描局域网中存活主机，这里可以自定义范围(有些时候有些主机扫不出来可以自己缩小下范围再扫

　　看扫出来的结果，其中192.168.1.212是要欺骗的XP主机，192.168.1.1是网关

　　然后再底下切换到ARP选项卡，先点击一下空白的列表，然后照例点击蓝色十字添加欺骗主机。左边选中网关(如果不知道网关IP，使用ipconfig看其中的Default Getway一项 )，右边选择要欺骗的主机，可以按住shift多选。

　　确定以后可以看到欺骗条目已经被添加进去了，状态为Idle(闲置)，因为我们准备工作还未完成，暂时不开始欺骗。

　　左边列表切换到ARP DNS一项，蓝色十字添加DNS欺骗规则。上面是要欺骗的域名，比如这里填写baidu.com，下面是要欺骗到的IP，Resolve按钮可以根据域名PING出相应IP，这里我们用g.cn的IP演示。
　　也就是说如果欺骗生效，192.168.1.212这台机子访问baidu.com时会解析到google的服务器。

　　现在我们来到受害主机192.168.1.212中ping一下baidu.com

　　工具会用了，但是原理你懂么？如果能把每一个工具的原理都弄懂，你也会得到不错的进步。
　　为了防止新手头晕，我这里只简单说下原理。首先你要了解局域网的基本通信原理。
　　局域网是通过MAC地址寻找指定主机，arp表的作用就是规定了IP地址与MAC地址的对应关系。我们向受害主机发送Arp数据包时，受害主机就会把其中的对应关系记录到自己的arp表中，这时如果我们把自己的MAC地址告诉受害主机，并欺骗他这是网关192.168.1.1的MAC地址，这是受害主机向网关发送的数据包就全部到我们机子上来了XD。当受害机器请求baidu.com时，我们就假装自己是网关返回一个假的IP给它，他就会上当去访问google的服务器。
　　如果把欺骗的IP地址换成是一个挂好马的地址呢？？？
　　Arp欺骗的详细原理可以参考这里：arp双向和单向欺骗原理解析http://www.xipick.com/forum.php? ... 75898&fromuid=1


　　这个是欺骗前后的arp表对照

　　下面说下一些可能出现的问题：
　　①我想把baidu.com欺骗到听潮社区的IP（216.34.181.96），但是为什么欺骗后浏览器没有跳转到听潮社区，而是出现一个英文错误页面？
　　因为请求216.34.181.96的时候是报文中的Host字段规定了要访问的网站，而你访问时host值是baidu.com，这个ip上不存在这个域名，所以就出错啦。而像文中演示的g.cn是使用独立IP的，所以正常。
　　②为什么我停止了欺骗并关掉了Cain，但受害主机访问baidu.com时还是会跳转到google？
　　如果出现这种情况，我个人认为是Cain没有处理好，因为测试Ettercap时就不会出现这种情况（见下一篇教程）。这时请手动清空受害机器的本地DNS缓存：ipconfig /flushdns