1. 首页
  2. 服务器

什么是DNS欺骗攻击

何为DNS欺骗攻击?

DNS欺骗攻击,属于DNS攻击中的一种,DNS欺骗攻击就是攻击者在域名解析请求的过程中冒充DNS域名服务器进行响应,然后回复给用户一个虚假的地址。

DNS欺骗攻击原理是什么?

DNS欺骗攻击就是利用了DNS协议设计时的的安全缺陷,因为所有DNS解析服务都是采用标准的一问一答模式,DNS服务器的IP地址和端口号都是对外公布的。

现在的Internet上存在的DNS服务器有绝大多数都是用bind来架设的,使用的bind版本主要为bind 4.9.5+P1以前版本和bind 8.2.2-P5以前版本。所有的DNS服务器有个共同的特点,就是会缓存(Cache)所有已经查询过的结果,这个问题就引起了下面的几个问题的存在.

在域名解析请求的过程中DNS没有提供认证机制:DNS服务本质上是通过客户/服务器方式提供域名解析服务,但它自己没有提供认证机制,查询者在收到应答时无法确认应答信息的真假,这样极易导致欺骗。同样地每一台DNS服务器也无法知道请求域名服务的主机或其他的DNS服务器是否合法,是否盗用了地址。

DNS解析缓存:

由于DNS服务器实际上是在存储主机域名和IP地址的映射,这些都是通过DNS解析缓存来进行存储的,当一个服务器收到有关的映射信息后,就会把他们存入到高速缓存中,这样遇到下一个相同的请求时,则直接调用缓存中存储的数据而不用访问根DNS服务器及权威DNS服务器,这种缓存以时间单位进行更新,如果有人更改了这个缓存数据,那么后续其他请求就会获得被篡改后的域名和IP地址的对应信息。

DNS信息劫持:

原则上来讲,TCP/IP协议严禁向内部添加仿冒数据,但是入侵者一旦监听到了用户和DNS服务器之间的通讯,了解了用户和DNS服务器的ID,敌手就可以在用户和真实的DNS服务器进行交互之前,冒充DNS服务器向用户发送虚假消息,将用户诱骗到之前设计的网站上。

先欺骗者向目标机器发送构造好的ARP应答数据包,ARP欺骗成功后,嗅探到对方发出的DNS请求数据包,分析数据包取得ID和端口号后,向目标发送自己构造好的个DNS返回包,对方收到DNS应答包后,发现ID和端口号全部正确,即把返回数据包中的域名和对应的IP地址保存进DNS缓存表中,而后来的当真实的DNS应答包返回时则被丢弃。

如果可以冒充域名服务器,然后把查询的IP地址设为攻击者的IP地址,这样的话,用户上网就只能看到被篡改后的地址,而不是用户想要取得的网站的地址了,这就是DNS欺骗的基本原理。

原创文章,作者:夜风博客,如若转载,请注明出处:https://www.homedt.net/19012.html

联系我们

联系QQ:28575315