什么是DNS欺骗攻击

何为DNS欺骗攻击?

DNS欺骗攻击，属于DNS攻击中的一种，DNS欺骗攻击就是攻击者在域名解析请求的过程中冒充DNS域名服务器进行响应，然后回复给用户一个虚假的地址。

DNS欺骗攻击原理是什么？

DNS欺骗攻击就是利用了DNS协议设计时的的安全缺陷，因为所有DNS解析服务都是采用标准的一问一答模式，DNS服务器的IP地址和端口号都是对外公布的。

现在的Internet上存在的DNS服务器有绝大多数都是用bind来架设的,使用的bind版本主要为bind 4.9.5+P1以前版本和bind 8.2.2-P5以前版本。所有的DNS服务器有个共同的特点,就是会缓存(Cache)所有已经查询过的结果,这个问题就引起了下面的几个问题的存在.

在域名解析请求的过程中DNS没有提供认证机制：DNS服务本质上是通过客户/服务器方式提供域名解析服务，但它自己没有提供认证机制，查询者在收到应答时无法确认应答信息的真假，这样极易导致欺骗。同样地每一台DNS服务器也无法知道请求域名服务的主机或其他的DNS服务器是否合法，是否盗用了地址。

DNS解析缓存：

由于DNS服务器实际上是在存储主机域名和IP地址的映射，这些都是通过DNS解析缓存来进行存储的，当一个服务器收到有关的映射信息后，就会把他们存入到高速缓存中，这样遇到下一个相同的请求时，则直接调用缓存中存储的数据而不用访问根DNS服务器及权威DNS服务器，这种缓存以时间单位进行更新，如果有人更改了这个缓存数据，那么后续其他请求就会获得被篡改后的域名和IP地址的对应信息。

DNS信息劫持：

原则上来讲，TCP/IP协议严禁向内部添加仿冒数据，但是入侵者一旦监听到了用户和DNS服务器之间的通讯，了解了用户和DNS服务器的ID，敌手就可以在用户和真实的DNS服务器进行交互之前，冒充DNS服务器向用户发送虚假消息，将用户诱骗到之前设计的网站上。

先欺骗者向目标机器发送构造好的ARP应答数据包，ARP欺骗成功后，嗅探到对方发出的DNS请求数据包，分析数据包取得ID和端口号后，向目标发送自己构造好的个DNS返回包，对方收到DNS应答包后，发现ID和端口号全部正确，即把返回数据包中的域名和对应的IP地址保存进DNS缓存表中，而后来的当真实的DNS应答包返回时则被丢弃。

如果可以冒充域名服务器，然后把查询的IP地址设为攻击者的IP地址，这样的话，用户上网就只能看到被篡改后的地址，而不是用户想要取得的网站的地址了，这就是DNS欺骗的基本原理。