会话劫持/IP欺骗是否实时发生？

Question

我读了一本关于不同类型攻击的电子书，发现：

熟练的黑客可以拦截来自服务器的DNS答复，并将请求名称的IP地址替换为黑客控制的计算机地址，从而为正在进行的会话攻击提供一种简单的方法。

这是否意味着，一旦攻击者拦截了数据包，软件就会替换地址，或者攻击者必须手动执行。如果后者是真的，那么受害者是否能从延误中看出他们被劫持了呢？

Answer 1

这将是理想的自动完成。

我建议您查看一下DNS欺骗以供参考，然后您可以(在您自己的私人控制的网络上)使用类似于米特姆代理或德斯波夫的东西来尝试，这两种方法都可以在Kali Linux上使用，以拦截DNS请求并将它们重定向到您自己的DNS服务器，或者按照eBook中的建议更改响应。

DNS的问题在于它没有加密或签名，所以您不知道响应是否合法。

防止这种攻击的方法是使用类似于DNSSEC的东西，它是对原始DNS协议的扩展，本质上是通过签名响应添加身份验证，这样您就可以知道响应来自您要求的服务器。

Answer 2

这是否意味着，一旦攻击者拦截了数据包，软件就会替换这些地址，还是攻击者必须手动进行此操作？

我认为，最有可能的是，一些软件将取代地址后，DNS答复已被捕获。然而，该软件可能允许用户手动执行一些事情，正如您所建议的那样，这将减缓攻击过程。

至于受害者能够判断他们是否被劫持，如果DNS应答被更改和发送的速度特别慢，受害者可能会注意到加载网页的速度比平常慢。另外要注意的是，如果用于攻击受害者的软件不是很快的话，攻击也可能会被注意到。