解析中間人攻擊(2/4)---DNS欺騙


  在上篇文章中,我們討論了正常ARP通信以及ARP緩存中毒是如何利用潛在惡意信息通過另一台設備重定向設備網絡通信的問題,這看似高級的中間人攻擊形式(即ARP緩存攻擊)其實是非常容易實現的。而在本文中我們將討論一種類似的中間人攻擊,即DNS欺騙。

  DNS欺騙

  DNS欺騙是這樣一種中間人攻擊形式,它是攻擊者冒充域名服務器的一種欺騙行為,它主要用於向主機提供錯誤DNS信息,當用戶嘗試瀏覽網頁,例如IP地址為XXX.XX.XX.XX ,網址為www.bankofamerica.com,而實際上登錄的確實IP地址YYY.YY.YY.YY上的www.bankofamerica.com ,用戶上網就只能看到攻擊者的主頁,而不是用戶想要取得的網站的主頁了,這個網址是攻擊者用以竊取網上銀行登錄證書以及帳號信息的假冒網址,DNS欺騙其實並不是真的“黑掉”了對方的網站,而是冒名頂替、招搖撞騙罷了。整個操作過程其實非常簡單,下面我們將探討DNS欺騙攻擊是如何實現的以及如何抵御這種攻擊。

  正常DNS通信

  域名系統(DNS)協議在RFC 1034/1035中是這樣定義的:它被認為是互聯網使用中最重要的協議之一。當你在瀏覽器輸入網址時(例如http://www.google.com),就會向DNS服務器發送一個DNS請求以便找到與該網址相對應的IP地址。這是因為與互聯網互連的路由器和設備並不知道google.com,它們只知道IP地址,如74.125.95.103。

  DNS服務器本身的工作原理是,存儲IP地址到DNS名稱映射的記錄(稱為資源記錄)數據庫,聯系這些資源記錄與客戶端,並將這些資源記錄與其他DNS服務器聯系。整個企業和整個互聯網的DNS服務器架構是有點復雜的,事實上,有很多關於DNS架構的專門書籍,但在本文中我們將不會涵蓋DNS架構或者所有不同DNS通信類型的內容,不過我們將介紹基本的DNS通信,如圖1所示。

  DNS查詢和響應

  圖1: DNS查詢和響應

  DNS函數是屬於查詢/響應類型的格式,當客戶端希望解析DNS域名為IP地址時,就會向DNS服務器發送一個查詢,然后服務器會將對應的作為回復。從客戶端的角度來看,看到的只有兩個數據包:查詢和響應。

DNS查詢和響應數據包

  圖2: DNS查詢和響應數據包


免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM