DNS劫持

1、    目的

1.1          通过分析DNS域名解析过程,分析域名劫持的相关情况;

2、    内容概要

2.1          HOST文件

2.2          DNS请求流程

2.3          DNS缓存入侵的结果和影响

2.4          电信HTTP劫持

2.5          DNS劫持的方法及预防

3、     内容详情

3.1          HOST文件

3.1.1   其实hosts就是一个解析文件,在WINDOWS和UNIX类系统里都有。他的主要内容就是一个域名和IP的对应表,相当于在本机DNS域名解析功能,在系统对DNS服务发行请求前会查询HOST文件。

3.1.2   这也是一个DNS劫持的一个节点。

3.2           DNS请求流程

3.2.1   第一步:客户机提出域名解析请求,并将该请求发送给本地的域名服务器。

3.2.2   第二步:当本地的域名服务器收到请求后,就先查询本地的缓存,如果有该纪录项,则本地的域名服务器就直接把查询的结果返回。

3.2.3   第三步:如果本地的缓存中没有该纪录,则本地域名服务器就直接把请求发给根域名服务器,然后根域名服务器再返回给本地域名服务器一个所查询域(根的子域)的主域名服务器的地址。

3.2.4   第四步:本地服务器再向上一步返回的域名服务器发送请求,然后接受请求的服务器查询自己的缓存,如果没有该纪录,则返回相关的下级的域名服务器的地址。

3.2.5   第五步:重复第四步,直到找到正确的纪录。

3.2.6   第六步:本地域名服务器把返回的结果保存到缓存,以备下一次使用,同时还将结果返回给客户机。

3.2.7   第七步:找到A记录,开始通信

3.2.8   DNS解析流程图

3.3         DNS缓存入侵的结果和影响

3.3.1   DNS缓存入侵又叫DNS缓存投毒,即给DNS缓存服务器注入非法网络域名地址,如果服务器接受这个非法地址,那说明其缓存就被攻击了,而且以后响应的域名请求将会受黑客所控。当这些非法地址进入服务器缓存,用户的浏览器或者邮件服务器就会自动跳转到DNS指定的地址

3.3.2   DNS缓存入侵攻击归类为域欺骗攻击(pharming attack),由此它会导致出现很多严重问题。首先,用户往往会以为登陆的是自己熟悉的网站,而它们却并不是。与钓鱼攻击采用非法URL不同的是,这种攻击使用的是合法的URL地址;另外一个问题是,成百上千的用户会被植入缓存中毒攻击的服务器重定向,引导至黑客设立的圈套站点上。这种问题的严重性,会与使用域名请求的用户多少相关。在这样的情况下,即使没有丰富技术的黑客也可以造成很大的麻烦,让用户稀里糊涂的就把自己网银帐号密码,网游帐号密码告诉给他人。

3.3.3   DNS缓存入侵是DNS被动产生的

3.4         电信HTTP劫持(DNS劫持)

3.4.1   是指在劫持的网络范围内拦截域名解析的请求,分析请求的域名,把审查范围以外的请求放行,否则返回假的IP地址或者什么都不做使请求失去响应,其效果就是对特定的网络不能反应或访问的是假网址。

3.4.2   前题条件:客户端必须用电信的DNS和网关。

3.4.3   现像:监控用户的HTTP请求是否有流量,如果有流量就劫持HTTP会话,篡改HTTP请求,指向广告WEB服务器

3.4.4   实例:当客户端的DNS为上海电热线DNS,ping adc2.hotsales.net 的时候,这个二级域名肯定没有解析的,但上海热线DNS返回一个Pinging adc2.hotsales.net [218.83.175.155],218.83.175.155这个IP是上海电信114页面的IP,如果直接访问这个域名的时候并不是显示打不开,而是打开上海电信114的页面。

3.4.5   电信HTTP劫持是DNS自己主动产生的。

4、   总结:DNS劫持的方法及预防

4.1          DNS劫持是网络安全界常见的一个名词,意思是通过某些手段取得某一目标域名的解析记录控制权,进而修改此域名的解析结果,通过此修改将对此域名的访问由原先的IP地址转入到自己指定的IP,从而实现窃取资料或者破坏原有正常服务的目的。

4.2          劫持方法及预防:这个可以从DNS的解析过程来看。

l  取得域名解析记录控制权,直接修改域名的解析记录

如:2010年1月12日BAIDU.COM的访问异常就是这类

预防:做好域名管理权限的管理,ISP加强安全管理

l   DNS缓存入侵:修改DNS缓存服务器里的内容,让查询这个服务器的请求被骗。

如:2009年4月巴西Bandesco银行遭受了DNS缓存入侵攻击,受到影响的用户会被重定向至一个假冒的银行网站,该假冒网站试图窃取用户密码并安装恶意软件

预防:ISP及时打好补丁,加强DNS缓存服务器安全

l   DNS信息劫持:通过监听客户端和DNS服务器的对话,就可以猜测服务器响应给客户端的DNS查询ID。每个DNS报文包括一个相关联的16位ID号,DNS服务器根据这个ID号获取请求源位置。攻击者在DNS服务器之前将虚假的响应交给用户,从而欺骗客户端去访问恶意的网站。

如:上海电信HTTP劫持,所有没有解析的域名访问都会到114页面。

预防:使用opendsn等这样的不做相应操作的DNS服务器,并加强通信安全,防止ARP等类型的信息监听。

l   DNS重定向:攻击者如果将DNS名称查询重定向到恶意DNS服务器。那么被劫持域名的解析就完全至于攻击者的控制之下

预防:限制好网络配置,尽量用手动填写DNS

l  本机劫持:本机劫持有hosts文件篡改、本机DNS劫持、SPI链注入、BHO插件等方式,虽然并非都通过DNS环节完成,但都会造成无法按照用户意愿获得正确的地址或者内容的后果

预防:限制HOST文件的修改,或是用MACFEE等软件限制修改操作

相关推荐