DNS欺騙的原理 DNS防御實戰(zhàn)演練

發(fā)布時間：2015-09-25 10:08:19 作者：佚名

DNS即Domain Name System的縮寫，域名系統(tǒng)以分布式數(shù)據(jù)庫的形式將域名和IP地址相互映射。DNS協(xié)議即域名解析協(xié)議，簡單的說：DNS是用來解析域名的。

1.1 域名系統(tǒng)(Domain Name System)

DNS即Domain Name System 的縮寫，域名系統(tǒng)以分布式數(shù)據(jù)庫的形式將域名和IP地址相互映射。DNS協(xié)議即域名解析協(xié)議，簡單的說：DNS是用來解析域名的。有了DNS我們就不用再記住煩人的IP地址，用相對好記的域名就可以對服務(wù)器進(jìn)行訪問，即使服務(wù)器更換了IP地址，我們依舊可以通過域名訪問該服務(wù)器，這樣能夠使我們更方便的訪問互聯(lián)網(wǎng)。

為了方便理解DNS的工作原理，我簡單做了一幅圖：

假如我們要訪問 www.baidu.com ，首先要向本地DNS服務(wù)器發(fā)出DNS請求，查詢 www.baidu.com 的IP地址，如果本地DNS服務(wù)器沒有在自己的DNS緩存表中發(fā)現(xiàn)該網(wǎng)址的記錄，就會向根服務(wù)器發(fā)起查詢，根服務(wù)器收到請求后，將com域服務(wù)器的地址返回給本地DNS服務(wù)器，本地DNS服務(wù)器則繼續(xù)向com域發(fā)出查詢請求，域服務(wù)器將 baidu.com 授權(quán)域名服務(wù)器的地址返回給本地DNS服務(wù)器，本地DNS服務(wù)器繼續(xù)向 baidu.com 發(fā)起查詢，得到 www.baidu.com 的IP地址。

本地DNS服務(wù)器得到 www.baidu.com 對應(yīng)的IP地址后以dns應(yīng)答包的方式傳遞給用戶，并且在本地建立DNS緩存表。

Windows下查看和刷清空DNS緩存表的命令： ipconfig /displaydns ipconfig /flushdns

1.2 DNS欺騙原理

盡管DNS在互聯(lián)網(wǎng)中扮演著如此重要的角色，但是在設(shè)計DNS協(xié)議時，設(shè)計者沒有考慮到一些安全問題，導(dǎo)致了DNS的安全隱患與缺陷。

DNS欺騙就是利用了DNS協(xié)議設(shè)計時的一個非常嚴(yán)重的安全缺陷。

首先欺騙者向目標(biāo)機器發(fā)送構(gòu)造好的ARP應(yīng)答數(shù)據(jù)包，ARP欺騙成功后，嗅探到對方發(fā)出的DNS請求數(shù)據(jù)包，分析數(shù)據(jù)包取得ID和端口號后，向目標(biāo)發(fā)送自己構(gòu)造好的一個DNS返回包，對方收到DNS應(yīng)答包后，發(fā)現(xiàn)ID和端口號全部正確，即把返回數(shù)據(jù)包中的域名和對應(yīng)的IP地址保存進(jìn)DNS緩存表中，而后來的當(dāng)真實的DNS應(yīng)答包返回時則被丟棄。

假設(shè)嗅探到目標(biāo)靶機發(fā)出的DNS請求包有以下內(nèi)容：

Source address : 192.168.1.57
Destination address : ns.baidu.com
Source port : 1234
Destination port : 53 (DNS port)
Data : www.baidu.com

我們偽造的DNS應(yīng)答包如下：

Source address : ns.baidu.com
Destination address : 192.168.1.57
Source port : 53 (DNS port)
Destination port : 1234
Data : www.baidu.com 192.168.1.59

目標(biāo)靶機收到應(yīng)答包后把域名以及對應(yīng)IP保存在了DNS緩存表中，這樣www.baidu.com的地址就被指向到了192.168.1.59上。

2.1 實戰(zhàn)DNS欺騙

同ARP欺騙一樣，DNS欺騙也可以被稱為DNS毒化，屬于中間人攻擊，我還是用虛擬機來模擬DNS欺騙攻擊

用到的工具是Ettercap

首先來看目標(biāo)靶機，