DNS协议欺骗攻击技术的攻防知识

关键词： 可能 页面 欺骗 网站

DNS协议欺骗攻击技术的攻防知识（共2篇）

篇1：DNS协议欺骗攻击技术的攻防知识

你是否遭遇过这样的情况?当你在浏览器中输入正确的URL地址，但是打开的并不是你想要去的网站，它可能是114的查询页面，可能是一个广告页面，更可能是一个刷流量的页面，甚至是一个挂马的网站。如果你遇到了上述情况话，那么极有可能你遭遇了DNS欺骗，那么什么是DNS欺骗呢

你是否遭遇过这样的情况?当你在浏览器中输入正确的URL地址，但是打开的并不是你想要去的网站。它可能是114的查询页面，可能是一个广告页面，更可能是一个刷流量的页面，甚至是一个挂马的网站。如果你遇到了上述情况话，那么极有可能你遭遇了DNS欺骗，那么什么是DNS欺骗呢?下文将给你带来DNS欺骗的原理和防范方法。 一 什么是DNS： DNS 是域名系统 (Domain Name System) 的缩写，该系统用于命名组织到域层次结构中的计算机和网络服务。在Internet上域名与IP地址之间是一一对应的，域名虽然便于人们记忆，但机器之间只能互相认识IP地址，它们之间的转换工作称为域名解析，域名解析需要由专门的域名解析服务器来完成，DNS就是进行域名解析的服务器。 二 DNS的工作原理： DNS 命名用于 Internet 等 TCP/IP 网络中，通过用户友好的名称查找计算机和服务。当用户在应用程序中输入 DNS 名称时，DNS 服务可以将此名称解析为与之相关的其他信息，如 IP 地址。因为，你在上网时输入的网址，是通过域名解析系解析找到相对应的IP地址，这样才能上网。其实，域名的最终指向是IP。 在IPV4中IP是由32位二进制数组成的，将这32位二进制数分成4组每组8个二进制数，将这8个二进制数转化成十进制数，就是我们看到的IP地址，其范围是在0～255之间。因为，8个二进制数转化为十进制数的最大范围就是0～255。现在已开始试运行、将来必将代替IPV6中，将以128位二进制数表示一个IP地址。 大家都知道，当我们在上网的时候，通常输入的是如：www.sina.com.cn 这样子的网址，其实这就是一个域名，而我们计算机网络上的计算机彼此之间只能用IP地址才能相互识别。再如，我们去一WEB服务器中请求一WEB页面，我们可以在浏览器中输入网址或者是相应的IP地址，例如我们要上新浪网，我们可以在IE的地址栏中输入：www.sina.com.cn 也可输入这样子 218.30.66.101 的IP地址，但是这样子的IP地址我们记不住或说是很难记住，所以有了域名的说法，这样的域名会让我们容易的记住， DNS：Domain Name System 域名管理系统 域名是由圆点分开一串单词或缩写组成的，每一个域名都对应一个惟一的IP地址，这一命名的方法或这样管理域名的系统叫做域名管理系统。 DNS：Domain Name Server 域名服务器 域名虽然便于人们记忆，但网络中的计算机之间只能互相认识IP地址，它们之间的转换工作称为域名解析(如上面的www.sina.com.cn 与 218.30.66.101 之间的转换)，域名解析需要由专门的域名解析服务器来完成，DNS就是进行域名解析的服务器。 三 DNS欺骗攻击： DNS欺骗即域名信息欺骗是最常见的DNS安全问题。当一个DNS服务器掉入陷阱，使用了来自一个恶意DNS服务器的错误信息，那么该DNS服务器就被欺骗了。DNS欺骗会使那些易受攻击的DNS服务器产生许多安全问题，例如：将用户引导到错误的互联网站点，或者发送一个电子邮件到一个未经授权的邮件服务器。网络攻击者通常通过以下几种方法进行DNS欺骗。 1、缓存感染： 会熟练的使用DNS请求，将数据放入一个没有设防的DNS服务器的缓存当中。这些缓存信息会在客户进行DNS访问时返回给客户，从而将客户引导到入侵者所设置的运行木马的Web服务器或邮件服务器上，然后 从这些服务器上获取用户信息。 2、DNS信息劫持： 入侵者通过监听客户端和DNS服务器的对话，通过猜测服务器响应给客户端的DNS查询ID。每个DNS报文包括一个相关联的16位ID号，DNS服务器根据这个ID号获取请求源位置。 在DNS服务器之前将虚假的响应交给用户，从而欺骗客户端去访问恶意的网站。 3、DNS重定向 攻击者能够将DNS名称查询重定向到恶意DNS服务器。这样攻击者可以获得DNS服务器的写权限。 四 DNS的防范方法： 防范方法其实很简单，总结来说就只有两条。(1) 直接用IP访问重要的服务，这样至少可以避开DNS欺骗攻击。但这需要你记住要访问的IP地址。(2) 加密所有对外的数据流，对服务器来说就是尽量使用SSH之类的有加密支持的协议，对一般用户应该用PGP之类的软件加密所有发到网络上的数据。只要能做到这些，基本上就可以避免DNS欺骗攻击了。

篇2：DNS协议欺骗攻击技术的攻防知识

一、DNS SERVER的服务工作过程

DNS是一种实现Domain Name和IP Address之间转换的系统，它的工作原理就是在两者间进行相互映射，相当于起到翻译作用，所以称为域名解析系统。DNS System分为Server和Client两部分，Server的通用Port是53。当Client向Server发出解析请求时，Local DNS Server第一步查询自身的Database是否存在需要的内容，如果有则发送应答数据包并给出相应的结果;否则它将向上一层DNS Server查询。如此不断查询，最终直至找到相应的结果或者将查询失败的信息反馈给客户机。如果Local DNS Server查到信息,则先将其保存在本机的高速缓存中，然后再向客户发出应答。日常我们上网是通过Browser方式来申请从Domain Name到IP Address的解析，即Client向DNS Server提交域名翻译申请，希望得到对应的IP Address。这里以笔者所在院校为例,说明DNS的工作原理。

例如Client的Address为10.252.2.16，学校DNS Server为218.30.19.40，从此客户机来访问西安财经学院网站。在地址栏键入学校网站的www.xaufe.edu.cn，通过DNS Server查找其对应的IP Address。这个申请从10.252.2.16的一个随机PORT发送出去，由218.30.19.40的53绑定端口接收到此申请并进行翻译，首先在218.30.19.40的高速缓存中查找www.xaufe.edu.cn的IP Address，若存在对应的映射关系,就直接将IP Address发送给客户机，若缓存中没有，则218.30.19.40会向上层DNS SERVER查询，最后将查询到的结果先发送到218.30.19.40，最后由218.30.19.40将西安财经学院的IP Address(281.195.32.1)返回给Client 10.252.2.16。这样10.252.2.16就可以和西安财经学院站点建立连接并访问了。

二、DNS欺骗攻击原理

2.1 欺骗原理

Client的DNS查询请求和DNS Server的应答数据包是依靠DNS报文的ID标识来相互对应的。在进行域名解析时，Client首先用特定的ID号向DNS Server发送域名解析数据包，这个ID是随机产生的。DNS Server找到结果后使用此ID给Client发送应答数据包。Client接收到应答包后，将接收到的ID与请求包的ID对比，如果相同则说明接收到的数据包是自己所需要的，如果不同就丢弃此应答包。根据攻击者的查询和应答原理，可使用不同方法实现攻击，如：

(1)因为DNS Message仅使用一个简单的认证码来实施真实性验证，认证码是由Client程序产生并由DNS Server返回结果的，客户机只是使用这个认证码来辨别应答与申请查询是否匹配，这就使得针对ID认证码的攻击威胁成为可能。

(2)在DNS Request Message中可以增加信息，这些信息可以与客户机所申请查询的内容没有必然联系，因此攻击者就能在Request Message中根据自己的目的增加某些虚假的信息，比如增加其它Domain Server的Domain Name及其IP Address。此时Client在受到攻击的Domain Server上的查询申请均被转向此前攻击者在Request Message中增加的虚假Domain Server，由此DNS欺骗得以产生并对网络构成威胁。

(3)当DNS Server接收到Domain Name和IP Address相互映射的数据时，就将其保存在本地的Cache中，

若再有Client请求查询此Domain Name对应的IP Address，Domain Server就会从Cache中将映射信息回复给Client，而无需在Database中再次查询。如果 将DNS Request Message的存在周期设定较长时间，就可进行长期欺骗。

2.2 DNS欺骗攻击的方式

DNS欺骗技术常见的有内应攻击和序列号攻击两种。内应攻击即 在掌控一台DNS Server后,对其Domain Database内容进行更改，将虚假IP Address指定给特定的Domain Name，当Client请求查询这个特定域名的IP时，将得到伪造的IP。

序列号攻击是指伪装的DNS Server在真实的DNS Server之前向客户端发送应答数据报文，该报文中含有的序列号ID与客户端向真实的DNS Server发出请求数据包中含有的ID相同，因此客户端会接收该虚假报文，而丢弃晚到的真实报文，这样DNS ID序列号欺骗成功。客户机得到的虚假报文中提供的域名的IP是攻击者设定的IP，这个IP将把客户带到攻击者指定的站点。

2.3 DNS 序列号欺骗攻击原理

DNS 序列号(ID)欺骗以侦测ID和Port为基础。在Switch构建的网络中，攻击方首先向目标实施ARP欺骗。当Client、攻击者和DNS Server同在一个网络时，攻击流程如下：①攻击方向目标反复发送伪造的ARP Request Message，修改目标机的ARP 缓存内容，同时依靠IP续传使Data经过攻击方再流向目的地;攻击方用Sniffer软件侦测DNS请求包，获取ID序列号和Potr;②攻击方一旦获得ID和Potr，即刻向客户机发送虚假的DNS Request Message，Client接收后验证ID和Potr正确，认为接收了合法的DNS应答;而Client得到的IP可能被转向攻击方诱导的非法站点，从而使Client信息安全受到威胁;③Client再接收DNS Server的Request Message，因落后于虚假的DNS响应，故被Client丢弃。当Client访问攻击者指向的虚假IP时，一次DNS ID欺骗随即完成

三、DNS欺骗检测和防范思路

3.1 检测思路

发生DNS欺骗时，Client最少会接收到两个以上的应答数据报文，报文中都含有相同的ID序列号，一个是合法的，另一个是伪装的。据此特点，有以下两种检测办法：

(1)被动监听检测。即监听、检测所有DNS的请求和应答报文。通常DNS Server对一个请求查询仅仅发送一个应答数据报文(即使一个域名和多个IP有映射关系，此时多个关系在一个报文中回答)。因此在限定的时间段内一个请求如果会收到两个或以上的响应数据报文，则被怀疑遭受了DNS欺骗。

(2)主动试探检测。即主动发送验证包去检查是否有DNS欺骗存在。通常发送验证数据包接收不到应答，然而 为了在合法应答包抵达客户机之前就将欺骗信息发送给客户，所以不会对DNS Server的IP合法性校验，继续实施欺骗。若收到应答包，则说明受到了欺骗攻击。

3.2 防范思路

在侦测到网络中可能有DNS欺骗攻击后，防范措施有：①在客户端直接使用IP Address访问重要的站点，从而避免DNS欺骗; ②对DNS Server和Client的数据流进行加密，Server端可以使用SSH加密协议，Client端使用PGP软件实施数据加密。

对于常见的ID序列号欺骗攻击，采用专业软件在网络中进行监听检查，在较短时间内，客户端如果接收到两个以上的应答数据包，则说明可能存在DNS欺骗攻击，将后到的合法包发送到DNS Server并对DNS数据进行修改，这样下次查询申请时就会得到正确结果

四、DNS防护方案

4.1 进行IP地址和MAC地址的绑定

(1)预防ARP欺骗攻击。因为DNS攻击的欺骗行为要以ARP欺骗作为开端，所以如果能有效防范或避免ARP欺骗，也就使得DNS ID欺骗攻击无从下手。例如可以通过将Gateway Router 的Ip Address和MAC Address静态绑定在一起，就可以防范ARP攻击欺骗。

(2)DNS信息绑定。DNS欺骗攻击是利用变更或者伪装成DNS Server的IP Address，因此也可以使用MAC Address和IP Address静态绑定来防御DNS欺骗的发生。由于每个Network Card的MAC Address具有唯一性质，所以可以把DNS Server的MAC Address与其IP Address绑定，然后此绑定信息存储在客户机网卡的Eprom中。当客户机每次向DNS Server发出查询申请后，就会检测DNS Server响应的应答数据包中的MAC Address是否与Eprom存储器中的MAC Address相同，要是不同，则很有可能该网络中的DNS Server受到DNS欺骗攻击。这种方法有一定的不足，因为如果局域网内部的客户主机也保存了DNS Server的MAC Address，仍然可以利用MAC Address进行伪装欺骗攻击。

★ 杜绝网络运营商干扰DNS

★ 学DNS系列（十一）DNS服务器属性之高级服务器选项

★ Linux操作系统下配置DNS服务器的方法介绍DNS服务器

★ 在Win下实现动态DNS的安全考虑DNS服务器

★ 巧改DNS设置 提高局域网内开机速度DNS服务器