Windows下DNS ID欺骗的原理与实现.doc

域名系统（DNS）是一种用于TCP/IP应用程序的分布式数据库，它提供主机名字和IP地址之间的转换信息。通常，网络用户通过UDP协议和DNS服务器进行通信，而服务器在特定的53 端口监听，并返回用户所需的相关信息。 　　一．DNS协议的相关数据结构 　　DNS数据报： typedef struct dns { 　unsigned short id； 　//标识，通过它客户端可以将DNS的请求与应答相匹配； 　unsigned short flags； 　//标志：[QR | opcode | AA| TC| RD| RA | zero | rcode ] 　unsigned short quests； 　//问题数目； 　unsigned short answers； 　//资源记录数目； 　unsigned short author； 　//授权资源记录数目； 　unsigned short addition； 　//额外资源记录数目； }DNS,*PDNS； 　　在16位的标志中：QR位判断是查询/响应报文，opcode区别查询类型，AA判断是否为授权回答，TC判断是否可截断，RD判断是否期望递归查询，RA判断是否为可用递归，zero必须为0，rcode为返回码字段。 　　DNS查询数据报： typedef struct query { 　unsinged char　*name； 　//查询的域名,这是一个大小在0到63之间的字符串； 　unsigned short type； 　//查询类型，大约有20个不同的类型 　unsigned short classes； 　//查询类,通常是A类既查询IP地址。 }QUERY,*PQUERY； DNS响应数据报： typedef struct response { 　unsigned short name； 　//查询的域名 　unsigned short type； 　//查询类型 　unsigned short classes； 　//类型码 　unsigned int　 ttl； 　//生存时间 　unsigned short length； 　//资源数据长度 　unsigned int　 addr； 　//资源数据 }RESPONSE,*PRESPONSE； 二．Windows下DNS ID欺骗的原理 　　我们可以看到，在DNS数据报头部的id（标识）是用来匹配响应和请求数据报的。现在，让我们来看看域名解析的整个过程。客户端首先以特定的标识向DNS服务器发送域名查询数据报，在DNS服务器查询之后以相同的ID号给客户端发送域名响应数据报。这时客户端会将收到的DNS响应数据报的ID和自己发送的查询数据报ID相比较，如果匹配则表明接收到的正是自己等待的数据报，如果不匹配则丢弃之。 　　假如我们能够伪装DNS服务器提前向客户端发送响应数据报，那么客户端的DNS缓存里域名所对应的IP就是我们自定义的IP了，同时客户端也就被带到了我们希望的网站。条件只有一个，那就是我们发送的ID匹配的DSN响应数据报在DNS服务器发送的响应数据报之前到达客户端。下图清楚的展现了DNS ID欺骗的过程： Client ＜--response--| . . . . . .. . . . . . . . . . DNS Server 　　　　　　　　　　|＜--[a.b.c == 12]-- Your Computer 　　到此，我想大家都知道了DNS ID欺骗的实质了，那么如何才能实现呢？这要分两种情况： 　　1. 本地主机与DNS服务器，本地主机与客户端主机均不在同一个局域网内,方法有以下几种：向客户端主机随机发送大量DNS响应数据报，命中率很低；向DNS服务器发起拒绝服务攻击，太粗鲁；BIND漏洞，使用范围比较窄。 　　2. 本地主机至少与DNS服务器或客户端主机中的某一台处在同一个局域网内：我们可以通过ARP欺骗来实现可靠而稳定的DNS ID欺骗，下面我们将详细讨论这种情况。 　　 　　首先我们进行DNS ID欺骗的基础是ARP欺骗，也就是在局域网内同时欺骗网关和客户端主机（也可能是欺骗网关和DNS服务器，或欺骗DNS服务器和客户端主机）。我们以客户端的名义向网关发送ARP响应数据报，不过其中将源MAC地址改为我们自己主机的MAC地址；同时以网关的名义向客户端主机发送ARP响应数据报，同样将源MAC地址改为我们自己主机的MAC地址。这样以来，网关看来客户端的MAC地址就是我们主机的MAC地址；客户端也认为网关的MAC地址为我们主机的MAC地址。由于在局域网内数据报的传送是建立在MAC地址之上了，所以网关和客户端之间的数据流通必须先通过本地主机。 　　在监视网关和客户端主机之间的数据报时，如