详细解析中间人攻击 DNS欺骗.docx

详细解析中间人攻击 DNS欺骗摘要：DNS欺骗是这样一种中间人攻击形式，它是攻击者冒充域名服务器的一种欺骗行为，它主要用于向主机提供错误DNS信息。?DNS欺骗DNS欺骗是这样一种中间人攻击形式，它是攻击者冒充域名服务器的一种欺骗行为，它主要用于向主机提供错误DNS信息，当用户尝试浏览网页，例如IP地址为XXX.XX.XX.XX ，网址为，而实际上登录的确实IP地址YYY.YY.YY.YY上的 ，用户上网就只能看到攻击者的主页，而不是用户想要取得的网站的主页了，这个网址是攻击者用以窃取网上银行登录证书以及帐号信息的假冒网址，DNS欺骗其实并不是真的“黑掉”了对方的网站，而是冒名顶替、招摇撞骗罢了。整个操作过程其实非常简单，下面我们将探讨DNS欺骗攻击是如何实现的以及如何抵御这种攻击。正常DNS通信域名系统(DNS)协议在RFC 1034/1035中是这样定义的：它被认为是互联网使用中最重要的协议之一。当你在浏览器输入网址时(例如)，就会向DNS服务器发送一个DNS请求以便找到与该网址相对应的IP地址。这是因为与互联网互连的路由器和设备并不知道，它们只知道IP地址，如03。DNS服务器本身的工作原理是，存储IP地址到DNS名称映射的记录(称为资源记录)数据库，联系这些资源记录与客户端，并将这些资源记录与其他DNS服务器联系。整个企业和整个互联网的DNS服务器架构是有点复杂的，事实上，有很多关于DNS架构的专门书籍，但在本文中我们将不会涵盖DNS架构或者所有不同DNS通信类型的内容，不过我们将介绍基本的DNS通信，如图1所示。?　　图1： DNS查询和响应DNS函数是属于查询/响应类型的格式，当客户端希望解析DNS域名为IP地址时，就会向DNS服务器发送一个查询，然后服务器会将对应的作为回复。从客户端的角度来看，看到的只有两个数据包：查询和响应。　　图2: DNS查询和响应数据包而当我们进一步考虑DNS递归问题时，这种情况就会变得更加复杂。由于互联网DNS结构的层次性，DNS服务器需要能够互相通信以便获取客户端发送的查询所对应的答案。我们的内部DNS服务器可能知道本地局域网络服务器的IP地址映射，但是我们不能指望内部DNS服务器知道全世界网络的IP地址映射。这也就是递归发挥作用的地方，就是当一台DNS服务器代表客户端的名义向另一台DNS服务器发送查询请求，也就是说，这种情况下，DNS服务器变成了客户端，如图3所示。　　图3： DNS通过递归的查询和响应欺骗DNS执行DNS欺骗攻击的方法有很多，在这里我们将使用一种称为DNS ID欺骗的技术。每个通过互联网发送的DNS请求都包含一个独特的识别码，其目的在于辨识查询和响应，并将对应的查询和响应配对在一起。这就意味着，如果我们的攻击计算机可以拦截目标设备发送的DNS查询，我们就只需要做一个包含该识别码的假数据包，这样目标计算机就会根据识别码而接受我们发送的查询结果。我们将使用一个简单的工具分两个步骤来完成整个操作。首先，我们对目标设备进行ARP缓存中毒攻击以重新路由通过攻击主机的目标设备的通信，这样我们就能够拦截DNS查询请求，然后我们就能够发送欺骗性的数据包。这样做的目的是为了让目标网络的用户访问我们制造的恶意网址而不是他们试图访问的网址，如图4所示。　　图4： 使用DNS ID欺骗方法的DNS欺骗攻击有几种不同的工具可以用于执行DNS欺骗攻击，我们选择使用Ettercap，它包含windows和Linux两个版本，大家可以点击此处下载该工具。如果你稍微研究一下这个网址就会发现Ettercap包含很多除DNS欺骗外的功能，它可以用于很多形式的中间人攻击。如果你是在windows系统中安装Ettercap，你会发现它包含一个很强大的图形用户界面，不过对于DNS欺骗的情况，我们只需要使用命令行界面。在操作Ettercap之前，需要进行一些配置。Ettercap的核心是数据包嗅探器，主要利用不同的插件来执行不同的攻击。dns_spoof插件是用于本文示例的工具，所以我们需要修改与该插件相关的配置文件。在windows系统中，该文件位于C:\Program Files (x86)\EttercapNG\share\etter.dns以及/usr/share/ettercap/etter.dns，这个文件很简单并且包含你想要欺骗的DNS记录。对于我们而言，我们希望所有试图打开的用户被定向到本地网络的主机上，所以我们加入了一些条目，正如图5中所示。　　图5： 添加欺骗性的DNS记录到etter.dns这些信息就是告诉dns_spoof插件这样的信息：当它发现针对 或者的DNS查询请求时，就发送IP地址00作为响应。在实际情况下，00会运行某种web服务器软件向用户展现假冒网站。一旦文件配置好并保存