《从原理到测试全面解析DNS欺骗攻与防.doc》由会员上传分享，免费在线阅读，更多相关内容在学术论文-天天文库。

1、从原理到测试全面解析DNS欺骗攻与防作者：甘肃/老五出处：IT专家网2008-01-0811:33　　【IT专家网独家】你有没有遭遇过这样的情况?当你在浏览器中输入正确的URL地址，但是打开的并不是你想要去的网站。或者是114的查询页面，或者是互联星空的网站，或者一个广告页面，或者是一个刷流量的页面，甚至是一个挂马的网站。这样的话，极有可能你遭遇了DNS欺骗。最近闹得沸沸扬扬的“互联星空”事件，是电信在DNS上进行了重定向，本质上就是来自电信对用户的DNS欺骗。并且这种欺骗在笔者本地仍然在继续。下面我们就来解析一下DNS欺骗是如何实现的，并找出应对的措施。　　一、欺骗原理　　

2、我们以IT专家网为例，看看正常的DNS请求和被劫持的DNS请求的不同　　1、正常的DNS请求流程为：　　(1).在浏览器输入http://security.ctocio.com.cn;　　(2).计算机将会向DNS服务器发出请求;　　(3).DNS服务器进行处理分析得到ttp://security.ctocio.com.cn的相应地址为58.xxx.209.xxx;　　(4).DNS将把次IP地址58.xxx.209.xxx返回到发出请求的计算机;　　(3).你正常登录到http://security.ctocio.com.cn的网站。　　2、被DNS欺骗以后的DNS请求为：

3、　　(1).在浏览器输入http://security.ctocio.com.cn;　　(2).计算机将会向DNS服务器发出请求(这里注意：实际上你发起的请求被发送到了攻击者那里);　　(3).攻击者对请求处理进行伪造DNS回复报告，返回给计算机的是攻击者指定的IP地址;　　(3).你登录到的网站实际上不是http://security.ctocio.com.cn，而是掉进了攻击者设计好的“陷阱网站”。二、解析DNS报文　　DNS报文是我们了解DNS攻击所必须了解的知识。　　1.格式：(图1)　　图1　　2.DNS报文结构分为　　标识(id)，用来签证每个DNS报文的印记，由

4、客户端设置，由服务器返回，它可以让客户匹配请求与响应。参数(flag)，参数被分成好几步分。(图2)　　　　图2QR如果QR位设置为0表示报文是查询，如果为1表示响应　　opcode通常是0，指标准查询，1是反向查询，2是服务器状态查询　　AA如果此位为1，表示服务器对问题部分的回答是权威性的　　TC截断，如果UDP包超过512字节将被截流　　RD表示希望递归，如果它设为1的话，表示递归查询　　RA如果设为1，表示递归可用　　Zero如它的名称一样，总是0　　rcode0表示有错误，3表示名字错误　　3.DNS查询报文，图3为DNS报文查询的格式。　　　　图3　　4.DNS响

5、应报文，如图4。　　　　图4　　响应报文有个共同的格式，我们称之为资源记录---RR响应报文的格式(RR)如下：　　域名：域名是与下面的资源数据对应的名字，它的格式同前面讲到的查询一样。　　类型：类型标识了RR类型代码号，它同前面查询类值一样。　　类：通常为1，表示因特网数据。　　生存时间：表示客户方将RR放在高速缓存里的时间，RRs的TTL通常为2天。　　资源数据长度：标识资源数据的大小。　　概念：说到这里，对于网络基础知识有一定了解的朋友都知道，当客户向一台服务器发送请求服务时，服务器会根据客户的IP地址反向解析出该IP对应的域名。这种反向城名解析就是一个查DNS(域名解

6、析服务器)的过程。　　我们换一下思路，如果服务器在进行DNS查询时能够人为地给它我们自己的应答信息，那么结果会怎样呢?　　答案显然不用我说了，这就是所谓的DNS欺编(dnsspoofing)。说实话，“DNS欺骗”威力巨大，如果被攻击者巧妙利用，在BBS上隐藏IP是轻而易举，人侵局域网更是痛快淋漓。　三、欺骗测试　　为了让大家多DNS欺骗有切实的认识，我用虚拟机搭建了一个测试环境：　　操作系统：Windows2003　　Web服务器：IIS6.0　　服务器IP地址：192.168.0.5　　物理主机的IP地址：192.168.0.6　　工具：　　dnshack.exe：DNS

7、欺骗的工具　　使用方法:　　dnshack.exe你在局城网的IP你要欺骗的IP　　记事本　　第一步：打开记事本创建一个简单的html文件，主要是用来看欺骗的效果。把如下的html代码保存为index.html文件：

这是一个DNS的欺骗页面

如果你看到这个页面说明欺骗成功了！

甘肃老五