什么是DNS劫持?

DNS劫持就是通过劫持了DNS服务器,通过某些手段取得某域名的解析记录控制权,进而修改此域名的解析结果,导致对该域名的访问由原IP地址转入到修改后的指定IP,其结果就是对特定的网址不能访问或访问的是假网址,从而实现窃取资料或者破坏原有正常服务的目的。DNS劫持通过篡改DNS服务器上的数据返回给用户一个错误的查询结果来实现的。

DNS劫持症状:在某些地区的用户在成功连接宽带后,首次打开任何页面都指向ISP提供的“电信互联星空”、“网通黄页广告”等内容页面。还有就是曾经出现过用户访问Google域名的时候出现了百度的网站。这些都属于DNS劫持。

再说简单点,当你输入google.com这个网址的时候,你看到的网站却是百度的首页。

目录

一、什么是DNS

二、DNS原理

三、什么是DNS劫持及危害

四、DNS劫持方法

五、如何防止DNS劫持(网络层面)

六、如何防止DNS劫持(应用层面)

七、历史著名劫持案例

一、什么是DNS

在网络中,机器之间只认识IP地址,机器之间最终都要通过IP来互相访问。但是为了方便记忆,可以为IP地址设置一个对应的域名,通过访问域名,就可以找到对应IP地址的网站。

比如,我们访问今日头条官网的时候,在浏览器地址栏输入头条地址

看似我们访问的是域名,而实际上是通过IP地址访问的今日头条官网。

可以在终端命令窗口ping 今日头条官网域名,就可以看到该域名对应的IP地址了。

从 到 202.108.250.213 的转换工作称为域名解析域名被劫持最佳处理办法,域名解析需要由专门的域名解析服务器来完成,DNS就是进行域名解析的服务器(Domain Name System 或Domain Name Service)。

(注:直接使用 202.108.250.213是无法访问今日头条官网的,这是因为今日头条的服务器做了设置,限制IP访问。

一般的网站会选择放在虚拟主机,且在主机上放置了很多个网站,而每个网站绑定1个或以上域名、虚拟主机上。例如Apache主机的配置会将对应的ip解析到对应的网站目录的,实现一台服务器上配置多个站点;一般用户在访问的时候,会产生一个http请求报文,上面的host信息可以提供给服务器,告诉服务器要访问的域名,从而实现一台主机绑

定一个IP,即使有多个网站,也不会相互干扰。但使用IP访问,主机不知道用户访问的具体目录,请求便会出现错误。)

二、DNS原理

DNS 查询时,会先在本地缓存中尝试查找,如果不存在或是记录过期,就继续向 DNS 服务器发起递归查询,这里的 DNS 服务器一般就是运营商的 DNS 服务器。

1、DNS工作原理

第一步:

客户机提出域名解析请求,并将该请求发送给本地的域名服务器。

第二步:

当本地的域名服务器收到请求后,就先查询本地的缓存,如果有该纪录项,则本地的域名服务器就直接把查询的结果(域名对应的IP地址)返回。

第三步:

如果本地的缓存中没有该纪录,则本地域名服务器就直接把请求发给根域名服务器,然后根域名服务器再返回给本地域名服务器一个所查询域(根的子域) 的主域名服务器的地址。

第四步:

本地服务器再向上一步返回的域名服务器发送请求,然后接受请求的服务器查询自己的缓存,如果没有该纪录,则返回相关的下级的域名服务器的地址。

第五步:

重复第四步,直到找到正确的纪录。

第六步:

本地域名服务器把返回的结果保存到缓存,以备下一次使用,同时还将结果返回给客户机。

2、查询过程

虽然只需要返回一个IP地址,但是DNS的查询过程非常复杂,分成多个步骤。

工具软件dig可以显示整个查询过程。

$ dig math.stackexchange.com

上面的命令会输出六段信息。

第一段是查询参数和统计。

第二段是查询内容。

上面结果表示,查询域名math.stackexchange.com的A记录,

A是address的缩写。

第三段是DNS服务器的答复。

上面结果显示,math.stackexchange.com有四个A记录,即四个IP地址。

600是TTL值(Time to live 的缩写),表示缓存时间,即600秒之内不用重新查询。

第四段显示 stackexchange.com的NS记录(Name Server的缩写),即哪些服务器负责管理stackexchange.com的DNS记录。

上面结果显示stackexchange.com共有四条NS记录,即四个域名服务器,向其中任一台查询就能知道stackexchange.com的IP地址是什么。

第五段是上面四个域名服务器的IP地址,这是随着前一段一起返回的。

第六段是DNS服务器的一些传输信息。

上面结果显示,本机的DNS服务器是192.168.1.253,查询端口是53(DNS服务器的默认端口),以及回应长度是305字节。

如果不想看到这么多内容,可以使用+short 参数。

$ dig +short math.stackexchange.com

#返回:

151.101.129.69

151.101.65.69

151.101.193.69

151.101.1.69

上面命令只返回math.stackexchange.com对应的4个IP地址(即A记录)。

3、DNS服务器

下面我们根据前面这个例子,一步步还原,本机到底怎么得到域名math.stackexchange.com的IP地址。

首先,本机一定要知道DNS服务器的IP地址,否则上不了网。通过DNS服务器域名被劫持最佳处理办法,才能知道某个域名的IP地址到底是什么。

DNS服务器的IP地址,有可能是动态的,每次上网时由网关分配,这叫做DHCP机制;也有可能是事先指定的固定地址。Linux系统里面,DNS服务器的IP地址保存在/etc/resolv.conf文件。

上例的DNS服务器是192.168.1.253,这是一个内网地址。有一些公网的DNS服务器,也可以使用,其中最有名的就是Google的8.8.8.8和Level 3的4.2.2.2。

本机只向自己的DNS服务器查询,dig命令有一个@参数,显示向其他DNS服务器查询的结果。

$ dig @4.2.2.2 math.stackexchange.com

上面命令指定向DNS服务器4.2.2.2查询。

4、域名的层级

DNS服务器怎么会知道每个域名的IP地址呢?

答案是分级查询。

请仔细看前面的例子,每个域名的尾部都多了一个点。

比如,域名math.stackexchange.com显示为math.stackexchange.com.这不是疏忽,而是所有域名的尾部,实际上都有一个根域名。

举例来说,

真正的域名是

简写为。

因为,根域名.root对于所有域名都是一样的,所以平时是省略的。

根域名的下一级,叫做”顶级域名”(top-level domain,缩写为TLD),比如.com、.net;

再下一级叫做”次级域名”(second-level domain,缩写为SLD),比如里面的.example,这一级域名是用户可以注册的;

再下一级是主机名(host),比如里面的www,又称为”三级域名”,这是用户在自己的域里面为服务器分配的名称,是用户可以任意分配的。

总结一下,域名的层级结构如下。

主机名.次级域名.顶级域名.根域名

# 即host.sld.tld.root

5、根域名服务器

DNS服务器根据域名的层级,进行分级查询。

需要明确的是,每一级域名都有自己的NS记录,NS记录指向该级域名的域名服务器。

这些服务器知道下一级域名的各种记录。

所谓”分级查询”,就是从根域名开始,依次查询每一级域名的NS记录,直到查到最终的IP地址,过程大致如下。

仔细看上面的过程,你可能发现了,没有提到DNS服务器怎么知道”根域名服务器”的IP地址。

回答是”根域名服务器”的NS记录和IP地址一般是不会变化的,所以内置在DNS服务器里面。

下面是内置的根域名服务器IP地址的一个例子。

上面列表中,列出了根域名(.root)的三条NS记录

A.ROOT-SERVERS.NET、

B.ROOT-SERVERS.NET、

C.ROOT-SERVERS.NET,

以及它们的IP地址(即A记录)

198.41.0.4、

192.228.79.201、

192.33.4.12。

另外,可以看到所有记录的TTL值是3600000秒,相当于1000小时。

也就是说,每1000小时才查询一次根域名服务器的列表。

目前,世界上一共有十三组根域名服务器,

从A.ROOT-SERVERS.NET 到

M.ROOT-SERVERS.NET。

6、分级查询的实例

dig 命令的+trace参数可以显示DNS的整个分级查询过程。

$ dig +trace math.stackexchange.com

上面命令的第一段列出根域名.的所有NS记录,即所有根域名服务器。

根据内置的根域名服务器IP地址,DNS服务器向所有这些IP地址发出查询请求,询问math.stackexchange.com的顶级域名服务器com的NS记录。

最先回复的根域名服务器将被缓存,以后只向这台服务器发请求。

接着是第二段。

上面结果显示.com域名的13条NS记录,同时返回的还有每一条记录对应的IP地址。

然后,DNS服务器向这些顶级域名服务器发出查询请求,询问math.stackexchange.com 的次级域名stackexchange.com的NS记录。

上面结果显示 stackexchange.com 有四条NS记录,同时返回的还有每一条NS记录对应的IP地址。

然后,DNS服务器向上面这四台NS服务器查询 match.stackexchange.com的主机名。

上面结果显示,match.stackexchange.com有4条A记录,即这四个IP地址都可以访问到网站。

并且还显示,最先返回结果的NS服务器是

ns-463.awsdns-57.com,

IP地址为205.251.193.207。

7、NS 记录的查询

dig命令可以单独查看每一级域名的NS记录。

$ dig ns com

$ dig ns stackexchange.com

+short

参数可以显示简化的结果。

$ dig +short ns com

$ dig +short ns stackexchange.com

8、DNS的记录类型

域名与IP之间的对应关系,称为”记录”(record)。根据使用场景,”记录”可以分成不同的类型(type),前面已经看到了有A记录和NS记录。

常见的DNS记录类型如下。

一般来说,为了服务的安全可靠,至少应该有两条NS 记录,而A记录和MX记录也可以有多条,这样就提供了服务的冗余性,防止出现单点失败。

CNAME

记录主要用于域名的内部跳转,为服务器配置提供灵活性,用户感知不到。

举例来说,

facebook.github.io这个域名就是一个 CNAME记录。

上面结果显示,facebook.github.io的CNAME记录指向github.map.fastly.net。

也就是说,用户查询facebook.github.io的时候,实际上返回的是github.map.fastly.net的IP地址。

这样的好处是,变更服务器IP地址的时候,只要修改github.map.fastly.net这个域名就可以了,用户的facebook.github.io域名不用修改。

由于CNAME记录就是一个替换,所以域名一旦设置CNAME记录以后,就不能再设置其他记录了

(比如A记录和MX记录),这是为了防止产生冲突。

举例来说

foo.com

指向bar.com,而两个域名各有自己的MX记录,如果两者不一致,就会产生问题。由于顶级域名通常要设置MX记录,所以一般不允许用户对顶级域名设置CNAME记录。

PTR

记录用于从IP地址反查域名。dig 命令的-x参数用于查询PTR记录。

上面结果显示,192.30.252.153这台服务器的域名是pages.github.com。

逆向查询的一个应用,是可以防止垃圾邮件,即验证发送邮件的IP地址,是否真的有它所声称的域名。

dig

命令可以查看指定的记录类型。

$ dig a github.com

$ dig ns github.com

$ dig mx github.com

三、什么DNS劫持以及危害

1、什么是DNS劫持

DNS劫持又称域名劫持,是指通过某些手段取得某域名的解析控制权,修改此域名的解析结果,导致对该域名的访问由原IP地址转入到修改后的指定IP,其结果就是对特定的网址不能访问或访问的是假网址。

如果可以冒充域名服务器,然后把查询的IP地址设为攻击者的IP地址,这样的话,用户上网就只能看到攻击者的主页,而不是用户想要取得的网站的主页了,这就是DNS劫持的基本原理。

DNS劫持其实并不是真的“黑掉”了对方的网站,而是冒名顶替、招摇撞骗罢了。

2、DNS劫持危害

四、DNS劫持方法

1、利用DNS服务器进行DDOS攻击

正常的DNS服务器递归查询过程可能被利用成DDOS攻击。假设攻击者已知被攻击机器的IP地址,然后攻击者使用该地址作为发送解析命令的源地址。这样当使用DNS服务器递归查询后,DNS服务器响应给最初用户,而这个用户正是被攻击者。那么如果攻击者控制了足够多的肉鸡,反复的进行如上操作,那么被攻击者就会受到来自于DNS服务器的响应信息DDOS攻击。

如果攻击者拥有着足够多的肉鸡群,那么就可以使被攻击者的网络被拖垮至发生中断。利用DNS服务器攻击的重要挑战是,攻击者由于没有直接与被攻击主机进行通讯,隐匿了自己行踪,让受害者难以追查原始的攻击来。

2、DNS缓存感染

攻击者使用DNS请求,将数据放入一个具有漏洞的的DNS服务器的缓存当中。这些缓存信息会在客户进行DNS访问时返回给用户,从而把用户客户对正常域名的访问引导到入侵者所设置挂马、钓鱼等页面上,或者通过伪造的邮件和其他的server服务获取用户口令信息,导致客户遭遇进一步的侵害。

3、DNS信息劫持

TCP/IP体系通过序列号等多种方式避免仿冒数据的插入,但入侵者如果通过监听客户端和DNS服务器的对话,就可以猜测服务器响应给客户端的DNS查询ID。每个DNS报文包括一个相关联的16位ID号,DNS服务器根据这个ID号获取请求源位置。攻击者在DNS服务器之前将虚假的响应交给用户,从而欺骗客户端去访问恶意的网站。假设当提交给某个域名服务器的域名解析请求的DNS报文包数据被截获,然后按截获者的意图将一个虚假的IP地址作为应答信息返回给请求者。原始请求者就会把这个虚假的IP地址作为它所要请求的域名而进行访问,这样他就被欺骗到了别处而无法连接想要访问的那个域名。

4、DNS重定向

攻击者将DNS名称查询重定向到恶意DNS服务器上,被劫持域名的解析就完全在攻击者的控制之下。

演示DNS重定向:

首先,我们要用一个无线网卡来伪造ap。

启动伪ap前的准备

Ifconfig –a 查看当前网卡情况

Ifconfig wlan0 up 激活无线网卡

Airmon-ng start wlan0 将你的无线网卡开启“Monitor”模式

如果这里有其他进程干扰的话就先把干扰进程kill掉再进行。在设置监听模式前先输入airmon-ng check kill结束进程。

探测目标ap,为伪ap的假设做准备,airodump-ng wlan0mon.

在上面探测ap中,我们可以了解到WiFi名称(ssid)、加密方式以及信道等信息。

接下来我们就可以启动伪ap了。airbase-ng wlan0mon -e “xiaoqin00” -c 6 (这里环境不同,启动方式也不一样,我这里是kali2.0的环境所以这样,以前版本启动方式为airbase-ng mon0 -e “xiaoqin00” -c 6)

这个时候我们就可收到我们伪造的ap了,但是这个ap无法行使正常的功能,你连接的话它会一直保持获取ip中的状态。

接下来就需要我们配置和这个伪ap配套的dhcp了。

apt-get install udhcpd

修改/etc/udhcpd.conf配置文件,自定义IP池、网关、DNS、interface等等。

推荐用gedit工具来编辑文件:

gedit /etc/udhcpd.conf

修改IP池

192.168.x.y

192.168.x.z

修改执行dhcp功能的接口

可以用过ifconfig -a或者iwconfig命令来查看接口

修改DNS、网关、netmask等

修改/etc/default/udhcpd,修改dhcpd功能为yes。

DHCPD_ENABLE=”yes”

开启dhcp服务,service udhcpd start。

配置好dhcp后,我们还需要解决流量问题,这里192.168.2.0/24中的流量需要通过主机网卡eth0与外界进行交互。我们用iptables来解决这个。

再接着就是配置dns服务了。这里我们使用msf中的fakedns来提供dns服务。

我们将的域名劫持到192.168.2.1上。

当这都配置好后,我们来连接这个伪ap。现在,只要被攻击者一进入,他就会被劫持到错误的站点,这算是钓鱼的一种方法吧。

当你完成这些之前,如果目标主机已经连接上WiFi,可以对它的WiFi用mdk3等工具进行ddos攻击强制目标断开连接。

*在智能手机中,如果两个WiFi一样,那么手机会保持当前连接并对新出现的WiFi自动进行屏蔽。

*构造伪dhcp服务器有很多种方法。

5、ARP欺骗

ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞,攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,造成网络中断或中间人攻击。ARP攻击主要是存在于局域网网络中,局域网中若有一台计算机感染ARP病毒,则感染该ARP病毒的系统将会试图通过”ARP欺骗”手段截获所在网络内其它计算机的通信信息,并因此造成网内其它计算机的通信故障。

ARP欺骗通常是在用户局域网中,造成用户访问域名的错误指向。如果IDC机房也被ARP病毒入侵后,则也可能出现攻击者采用ARP包压制正常主机、或者压制DNS服务器,以使访问导向错误指向的情况。

我们可以使用ettercap或者arpspoof来实现dns劫持。

6、本机劫持

本机的计算机系统被木马或流氓软件感染后,也可能会出现部分域名的访问异常。如访问挂马或者钓鱼站点、无法访问等情况。本机DNS劫持方式包括hosts文件篡改、本机DNS劫持、SPI链注入、BHO插件等方式。

本机dns劫持的操作比较简单,就是将目标主机的dns缓存给偷偷篡改掉。上面我们已经知道了dns的查询过程是先查询本地dns文件,找不到的话再去服务器查询。所以这种本机dns劫持的效果还是挺给力的。

就像这样,进入hosts文件改掉dns。等机主上机时,如果他要访问的话,它的会话会被劫持到192.168.2.1上。

当然,你也可以破解路由器,直接更改路由器的dns设置。

五、如何防止DNS劫持(网络层面)

1、互联网公司准备两个以上的域名,一旦黑客进行DNS攻击,用户还可以访问另一个域名。

2、手动修改DNS:

3、修改路由器密码:

六、如何防止DNS劫持(应用层面)

发表回复

后才能评论

本站所有资源版权均属于原作者所有,这里所提供资源均只能用于参考学习用,请勿直接商用。若由于商用引起版权纠纷,一切责任均由使用者承担。更多说明请参考 VIP介绍。

最常见的情况是下载不完整: 可对比下载完压缩包的与网盘上的容量,若小于网盘提示的容量则是这个原因。这是浏览器下载的bug,建议用百度网盘软件或迅雷下载。 若排除这种情况,可在对应资源底部留言,或联络我们。

对于会员专享、整站源码、程序插件、网站模板、网页模版等类型的素材,文章内用于介绍的图片通常并不包含在对应可供下载素材包内。这些相关商业图片需另外购买,且本站不负责(也没有办法)找到出处。 同样地一些字体文件也是这种情况,但部分素材会在素材包内有一份字体下载链接清单。

如果您已经成功付款但是网站没有弹出成功提示,请联系站长提供付款信息为您处理

源码素材属于虚拟商品,具有可复制性,可传播性,一旦授予,不接受任何形式的退款、换货要求。请您在购买获取之前确认好 是您所需要的资源