域名系统(DNS,Domain Name System),是网站域名和IP地址互相投射的一个分布式数据库,它可以使用户更便捷地访问互联网技术,而无需去记牢要访问的服务器IP地址。根据IP地址,最后获得该IP地址相匹配的IP地址的历程称为解析域名。
根据DNS的解析域名作用,DNS欺骗便是攻击者假冒服务器域名的一种欺骗个人行为,攻击者将用户要想查找的网站域名相匹配的IP地址改为攻击者的IP地址,当用户访问这一网站域名时,访问到的实际上是攻击者的IP地址,那样就到达了冒名的实际效果。
1. DNS欺骗原理
DNS 欺骗进攻,是攻击者假冒服务器域名,把用户查看的网站域名地址拆换成攻击者的 IP地址,随后攻击者将自身的首页替代用户的首页,那样访问用户首页的过程中只能表明攻击者的首页,这就是DNS欺骗的原理。DNS欺骗并并不是“黑掉”了真正意义上的网络服务器的首页,反而是换成攻击者的首页,将真实的网络服务器首页掩藏起來没法访问罢了。
DNS欺骗的完成,是运用了DNS协议书设计方案时的一个安全性缺点。
在一个局域网络内,攻击者最先应用ARP欺骗,使总体目标服务器的全部数据流量都根据攻击者的服务器。以后攻击者根据网络嗅探总体目标服务器发送的DNS要求分类,分析数据分组的ID和端口后,向总体目标服务器推送攻击者结构好的 DNS 回到分类,总体目标服务器接到 DNS 回复后,发觉 ID和端口所有恰当,即把回到的数据信息分类中的网站域名和相对应的IP地址储存进DNS缓存文件,而后抵达的真正DNS回复分类则被丢掉。
总体目标服务器一开始的DNS查看如下所示。
以后,假定攻击者网络嗅探到总体目标服务器推送的DNS要求分类,如下图1所显示。
图1 总体目标服务器推送的DNS要求分类
攻击者根据仿冒后的回复分类如下图2所显示。
图2 仿冒回复分类
总体目标服务器这时的DNS缓存文件表如下所示。>nslookup www.zjut.edu.cn
根据DNS欺骗,www.zjut.edu.cn的地址就被偏向了局域网络内的192.168.31.113上。
2. DNS欺骗伤害
DNS 欺骗产生的危害性是较为严重的,其作用是对指定的互联网不可以反映或访问的是假网址,假如DNS分析以后IP地址被偏向攻击者的镜像劫持网址或者运用了对于相应系统软件和电脑浏览器的系统漏洞,那麼很有可能会给系统软件产生意想不到的毁坏。如下图3所显示,DNS欺骗后访问首页被偏向了一个木马程序免费下载。
图3 DNS欺骗实例
由于攻击者将网址仿制得和真正网址一样,因此用户对下載的程序流程造成猜疑的概率不大,假如用户安装了木马程序而且运作起來,那麼服务器将被攻击者操纵。
3. DNS欺骗预防
DNS欺骗自身并并不是病毒感染或木马病毒,因为它使用的是tcp协议自身的薄弱点,因而难以开展有效的防御力。被攻击者大多数状况下是在黑客攻击以后才会发觉,针对防止 DNS 欺骗,可以有下列好多个下手点。
(1)在DNS欺骗以前一般必须应用ARP攻击来相互配合完成,因而,最先可以搞好对ARP欺骗的防守工作中,如设定静态数据ARP投射、安裝ARP服务器防火墙等。
(2)应用服务器代理开展通信网络,当地服务器对根据服务器代理的全部总流量都能够数据加密,包含DNS信息内容。
(3)尽可能访问含有https标志的网站,含有https标志的网站由于有SSL证书,无法仿冒伪造,假如电脑浏览器左上方的https为鲜红色叉号,必须保持警惕,如下图4所显示。
图4 https警示标识
(4)应用DNSCrypt等专用工具,DNSCrypt是OpenDNS公布的数据加密DNS专用工具,可数据加密DNS总流量,阻拦普遍的 DNS 进攻,如中间人攻击、观查进攻、时钟频率进攻、重放攻击和分析仿冒进攻。DNSCrypt适用Mac OS和Windows,是避免DNS环境污染的极佳专用工具,如下图5所显示。DNSCrypt应用类似SSL的数据加密联接向DNS服务器获取分析,因此可以合理抵抗DNS挟持、DNS环境污染及其重放攻击。
图5 DNSCrypt